Was ist Datensicherheit? Standards & Technologien
Datensicherheit ist ein wichtiges Thema für alle Unternehmen und Behörden. Erfahren Sie hier mehr über Bedrohungen, Maßnahmen und den rechtlichen Rahmen.
Beratung IT-Sicherheit Herne
Vertrauenswürdige Experten für IT-Sicherheit Herne
Unsere zertifizierten IT-Sicherheitsexperten prüfen Ihre IT-Systeme aus dem Blickwinkel eines Angreifers und Hackers. Ein IT-Security Audit ist einer der effektivsten Wege die eigene IT-Sicherheit gründlich zu prüfen und die aufgedeckten Sicherheitslücken zu beseitigen.
Sprechen Sie jetzt mit einem IT-Sicherheitsexperten!
Ihre Vorteile auf einen Blick
Mit unseren Penetration-Tests und Sicherheitsaudits identifiziert Redlings zuverlässig Sicherheitslücken, die unsere Kunden gefährden. Profitieren Sie von unseren praxiserfahrenen Penetration-Testern.
Zertifizierte
Spezialisten für IT-Security
Kostenlose
Erstberatung
Herstellerunabhängig
und individuell
Unsere IT-Security Experten
Unsere IT-Sicherheitsexperten für IT-Security Audits haben langjährige Erfahrung in der Durchführung von Sicherheitsprüfungen. Durch regelmäßige Schulungen und Weiterbildungen sind sie immer auf dem aktuellsten Stand.
Wer wir sind
Redlings ist ein auf die Durchführung von IT-Security Audit spezialisertes Unternehmen mit Sitz in Deutschland.
Stellen Sie sicher, dass Ihre Verteidigung aktuellen Bedrohungen gewachsen ist. Mit unseren manuellen Deep-Dive-Engagements identifizieren wir Sicherheitsschwachstellen welche Kunden gefährden. Mit unserem Serviceangebot "Continuous Collaborative Testing" verfolgen wir einen langfristigen Sicherheitsansatz und arbeiten mit unseren Kunden zusammen, um sicherzustellen, dass sich ihre Sicherheitslage stetig verbessert.
Gründe
für einen
IT-Security Audit
Jeder Sicherheitsaudit von Redlings unterliegt strengen Richtlinien und ethischen Grundsätzen.
1
Konsequenzen eines IT-Sicherheitsvorfalls verstehen
IT-Security Audits geben Ihnen eine ungeschminkte Rückmeldung über mögliche Konsequenzen eines IT-Sicherheitsvorfalls wie beispielsweise eines Ransomware-Angriffs.
2
Priorisierung von IT-Risiken
Mit einem IT-Security Audit können Sie feststellen, welche vorhandenen Sicherheitslücken die größten Auswirkungen auf Ihre Web-Applikationn und Ihr Netzwerk haben. Setzten Sie damit Ihre Ressourcen und Zeit effizienter ein.
3
Aufdecken von Sicherheitslücken
IT-Security Audits greifen Ihr Netzwerk und Ihre Web-Applikationen wie ein Hacker an - allerdings ohne Schaden anzurichten. Damit könenn Sie Sicherheitslücken vor den Angreifern finden und beheben.
4
Erfüllung von COMPLIANCE-Anforderungen
Vorschriften wie PCI-DSS, aber auch ISO 27001/2 u.a. können regelmäßige Penetrations-Tests erfordern. Auch manche vertragliche Regelung kann eine solche Anforderung enthalten.
5
Evidenzbasierte Investition
Investitionen in Sicherheitsmaßnahmen sollten immer mit konkreten Nachweisen unterstützt werden, um den Wert für das Unternehmen zu belegen. Wenn Sie Ihrem Führungsteam den Wert einer Investition zeigen, können Sie Ihren Bedarf nach mehr Ressourcen begründen.
6
Schützen Sie Ihre wichtigsten Daten und das Vertrauen Ihrer Kunden
Unternehmens- und Kundendaten gelten als Lebenselixier eines Unternehmens und können in den falschen Händen äußerst schädlich sein. Mit einem Sicherheitsaudit kann Ihr Unternehmen die Datenbestände besser schützen und damit möglichst auch Angriffe verhindern.
7
Steigerung derEffektivität vorhandener Sicherheitstechnologien
Unsere IT-Sicherheitsexperten sind zertifizierte Experten auf ihrem Gebiet und decken häufig Möglichkeiten auf wie bereits vorhandene (und bezahlte) Sicherheitstechnologien besser genutzt und die Schutzwirkung verstärkt werden kann.
8
Umsetzung der Sicherheitsleitlinie
Fehlen wichtige Patches oder werden Anwendungen und Betriebssysteme nicht gehärtet? Wenn Ihre IT-Sicherheitsexperten zeigen können, dass Applikationen und Netzwerkbereiche mit guter Umsetzung weniger Sicherheitslücken aufweisen, motiviert dies die Sicherheitsleitlinien besser zu befolgen.
9
Weiterbildung des internen IT-Teams
Die Ergebnisse eines IT-Security Audits können Ihren Entwicklern und Administratoren helfen, weniger Fehler zu machen. Ein Sicherheitsaudit erkennt Fehlkonfigurationen, Programmierfehler und andere Schwachstellen.
Vorgehen bei einem IT-Security Audit
1
Kick-Off
Der Projektablauf wird im Rahmen des gemeinsamen Kick-Off Gespräches geplant und vorbereitet. Unter anderem folgen dabei Abstimmungen zu den folgenden Punkten:
- Austausch von Kontaktinformationen
- Start- und Enddatum, ggf. Testzeitfenster
- Bestätigung des genauen Projektumfangs
- Vorstellung des Testgegenstands
- Bereistellung von Informationen für die Tester (z.B. API-Dokumentation im Falle eines API-Tests)
- Abstimmung zur Testumgebung und den Vorgehensweisen
2
Durchführung des Sicherheitsaudits
Nun erfolgt die eigentliche Sicherheitsprüfung. Sie besteht dabei üblicherweise aus einem (oder mehreren) in Auftrag gegebenen Prüfmodulen.
- Interner NetzwerkIT-Security Audit
- Externer NetzwerkIT-Security Audit
- Web Application & Web-API IT-Security Audit
- Red Team
- Social Engineering
- Wifi IT-Security Audit
- Active Directory Security Assessment
- IoT/Hardware Security Assessment
3
Report
Die Testergebnisse werden in einem Bericht zusammengetragen. Darin enthalten sind unter anderen die nachfolgend aufgeführten Abschnitte:
- Kurzfassung der Resultate und Darstellunge der Rahmenparameter
- Liste und Darstellung der aufgedeckten Sicherheitsprobleme mit Einschätzung des Risikos sowie Vorschlägen zur Korrektur
- Detaillierte Dokumentation der aufgedeckten Sicherheitslücken
4
Abschlussgespräch
Die Resultate des durchgeführten Sicherheitsaudits werden in einem Abschlussgespräch besprochen. Dabei ist uns bewusst, dass die gefundenen Sicherheitsprobleme nur ein erster Schritt sind. Konkrete Folgemaßnahmen zur Erhöhung der Sicherheit sind zu definieren und auch umzusetzten.
Lassen Sie sich kostenlos beraten!
Prüfen Sie mit einem IT-Security Audit welchen Schaden Hacker bei Ihnen anrichten können.
Als IT-Sicherheitsexperten und Ethical Hacker emulieren wir Angriffe auf die IT von Unternehmen mit den gleichen Werkzeugen und Methoden wie sie kriminelle Organisationen täglich in Herne, Deutschland, Europa und weltweit durchführen.
So erreichen Sie uns
Häufige Fragen
Ein IT-Security Audit, kurz "Sicherheitsaudit", ist eine Sicherheitsüberprüfung, bei der ein Angriff durch eine böswillige Partei auf ein Netzwerk oder eine Anwendung emuliert wird, um Sicherheitslücken zu identifizieren. Dieser Test wird im Vorfeld koordiniert und so durchgeführt, dass kein System beschädigt wird. Am Ende des Tests erhalten Sie einen Bericht, der die gefundenen Probleme und Schwachstellen zusammen mit Vorschlägen zu deren Behebung enthält.
Sowohl IT-Security Audits als auch automatisierte Schwachstellenscans sind nützliche Werkzeuge zum Erkennen von technischen Risiken und Sicherheitslücken.
Obwohl es sich um unterschiedliche Testmethoden handelt, ergänzen sie sich und sollten beide durchgeführt werden.
Ein Schwachstellen-Scan ist eine automatisierte, kostengünstige Methode zum Testen gängiger Netzwerk- und Server-Schwachstellen.
Dies wird manchmal auch als automatisierter Pen-Test bezeichnet.
Es gibt viele automatisierte Tools, und die meisten lassen sich vom Endbenutzer leicht so konfigurieren, dass sie zeitgesteuert nach veröffentlichten Schwachstellen scannen.
Ein automatisierter Schwachstellen-Scan ist zwar sehr effizient und kostengünstig, wenn es darum geht, allgemeine Schwachstellen wie fehlende Patches, Fehlkonfigurationen von Diensten und andere bekannte Schwachstellen zu identifizieren, aber sie sind nicht so genau, wenn es darum geht, die Richtigkeit von Schwachstellen zu überprüfen, und sie bestimmen auch nicht vollständig die Auswirkungen durch Ausnutzung.
Automatisierte Scanner sind anfälliger für die Meldung von False Positives (falsch gemeldete Schwachstellen) und False Negatives (nicht identifizierte Schwachstellen, insbesondere solche, die Webanwendungen betreffen).
Automatisiertes Schwachstellen-Scanning wird durch den Payment Card Industry Data Security Standard (PCI DSS) vorgeschrieben.
Bekannte Schwachstellen-Scanner sind beispielweise und OpenVAS.
Beispiele für Scanner, welche auf das Finden von Schwachstellen von Webapplikationen spezialisiert sind Netsparker Security Scanner und Acunetix Vulnerability Scanner.
Ein IT-Security Audit konzentriert sich auf die Umgebung als Ganzes. In vielerlei Hinsicht knüpft er dort an, wo die Scanner aufhören, um eine umfassende Analyse der gesamten Sicherheitslage zu liefern.
Obwohl Skripte und Tools von einem IT-Security Auditer eingesetzt werden, ist ihre Verwendung weitgehend auf Erkundungsaktivitäten beschränkt.
Der Großteil eines IT-Security Audits ist von Natur aus manuell.
Ein IT-Security Audit identifiziert Schwachstellen, die Scanner nicht erkennen können, wie z. B. Schwachstellen in drahtlosen Systemen, Schwachstellen in Webanwendungen und noch nicht veröffentlichte Schwachstellen.
Darüber hinaus beinhaltet ein IT-Security Audit Versuche, Schwachstellen sicher auszunutzen, Privilegien zu erweitern und letztendlich zu demonstrieren, wie ein Angreifer Zugang zu sensiblen Informationsbeständen erlangen könnte.
Bei IT-Security Audits werden häufig auch unternehmensspezifische "Testszenarien" angewendet.
IT-Security Audits und automatisierte Schwachstellen-Scans erfüllen beide einen Zweck und beide Arten von Tests gehören in ein umfassendes Programm zur Schwachstellenbewertung.
Automatisierte Schwachstellen-Scans sollten in regelmäßigen Abständen, idealerweise mindestens wöchentlich, durchgeführt werden,
während IT-Security Audits für das Netzwerk vierteljährlich oder bei geplanten signifikanten Änderungen an der Umgebung geplant werden sollten.
Wie bei jeder Unternehmensdienstleistung variieren auch die Kosten für einen IT-Security Audits
in Abhängigkeit von mehreren Faktoren erheblich.
Scoping-Details wie Netzwerk-IP-Adressen, Komplexität und Anzahl der (Web-)Anwendungen und Mitarbeiter
für Social Engineering sind Schlüsselfaktoren zur Bestimmung der Projektgröße.
Unter Berücksichtigung dieser Variablen arbeitet unser Team sorgfältig daran,
die Details des Umfangs mit den Sicherheitsanforderungen Ihrer Organisation abzustimmen.
Dennoch lassen sich einige Erfahrungswerte, die als erste Anhaltspunkte dienen können, nennen.
Ein hochwertiger, professioneller und von Experten durchgeführter Sicherheitsaudit kostet
üblicherweise ab etwa €8.000, kann aber bei großen Projekten
auch deutlich über diesem Betrag liegen.
Redlings bietet auch Rabatte für Mehrjahresverträge an ("Continuous-Sicherheitsauditing"), um sicherzustellen,
dass Ihr Unternehmen einen beständigen Sicherheitsauditing-Partner hat und
das Sicherheitsbudget weiter strecken kann.
Zugegeben, das ist gar nicht so einfach - wenn Ihnen jemand erzählt, dass
er nur mit den besten IT-Sicherheitsexpertenn arbeitet, mag das schwer nachzuprüfen sein.
IT-Sicherheitsexperten mit mehr Erfahrung und aufwändigerer Ausbildung
sind auch häufig teurer. Denken Sie einfach daran, dass Sie das bekommen, wofür Sie bezahlen.
Hüten Sie sich vor IT-Sicherheitsexpertenn, die Preise anbieten, die zu gut sind, um wahr zu sein.
Sie machen wahrscheinlich keine gründliche Arbeit.
Ich schlage vor, nach IT-Security Auditern zu suchen, die eine oder - besser - mehrere anerkannte
IT-Sicherheitsexperten-Zertifizeriungen haben.
Zu den in Sicherheitskreisen am meisten geachteten (und aufwändigsten) Zertifizierungen im
Bereich Penetration Testing gehören die Zertifizierungen von
Offensive Security (insbes. OSCP - Offensive Security Certified Professional,
OSCE - Offensive Security Certified Expert) und von SANS/GIAC.
Zu Beginn des Prozesses versuchen wir, uns mit Ihrem Unternehmen und dem Arbeitsumfang
vertraut zu machen, damit wir in der Lage sind, ein genaues Angebot zu erstellen.
Wir sammeln diese Informationen absichtlich, damit wir nicht zurückkommen
und um mehr Testzeit (und zusätzliche Kosten) bitten.
Je mehr Informationen Sie bereit sind, uns mitzuteilen,
desto besser können wir eine Einschätzung abgeben.
Manche Kunden wünschen jedoch einen Blackbox-Ansatz,
bei dem nur wenige Informationen zur Verfügung gestellt werden,
um einen realen Angriff und die Reaktion darauf zu simulieren.
In diesem Fall müssen wir immer noch die Größe/Komplexität erfassen,
die für das Testen erforderlich ist, und haben daher einige
grundlegende Fragen zum Umfang.
Ein IT-Sicherheitsaudit untersucht die Sicherheit der IT-Systeme eines Unternehmens aus einer ganzheitlichen Perspektive. Sicherheitsbedrohungen können nicht nur durch Angriffe entstehen, sondern auch durch technische Vorfälle, organisatorische Mängel oder höhere Gewalt.
Sicherheitsaudits finden oft im Rahmen eines ISMS (Informationssicherheits-Managementsystems) und prüfen nicht nur technische Sicherheitselemente, sondern auch die Einhaltung der eigenen Standards und Richtlinien, Sicherheitsprozesse, Schulung der Mitarbeiter (Stichwort Information Security Awareness) und ähnliche Aspekte.
Manche Sicherheitsaudits beinhalten auch Elemente eines Schwachstellen-Scans.
Allerdings geht ein Sicherheitsaudit meist nicht so sehr ins technische Detail wie ein manueller IT-Security Audit.
Aktuelle Beiträge
Authentifizierung: Unterschiede zur Authentisierung und Autorisierung
Authentisierung, Authentifizierung und Autorisierung sind Begriffe, die in der IT-Security verwendet werden. Sie mögen ähnlich klingen, sind aber völlig...
Angriffsvektor und Angriffsfläche
Ein Angriffsvektor ist eine Möglichkeit für Angreifer, in ein Netzwerk oder IT-System einzudringen. Zu den typischen Angriffsvektoren gehören ...,
Karriereguide Pentester
Wie wird man eigentlich Pentester? Was verdient ein Pentester? Haben Quereinsteiger auch eine Chance? Und was macht ein Penetration Tester so den ganzen Tag?...
