Was ist Datensicherheit? Standards & Technologien
Datensicherheit ist ein wichtiges Thema für alle Unternehmen und Behörden. Erfahren Sie hier mehr über Bedrohungen, Maßnahmen und den rechtlichen Rahmen.
Unsere zertifizierten IT-Securityexperten prüfen die IT-Sicherheit aus der Perspektive und mit Mitteln eines Hackers. Ein Sicherheitsaudit ist einer der effektivsten Wege die eigene IT-Sicherheit auf Herz und Nieren zu prüfen um anschließend die aufgedeckten Schwachstellen zu beseitigen.
Mit unseren Penetration-Tests und Sicherheitsaudits identifiziert Redlings zuverlässig Sicherheitslücken, die unsere Kunden gefährden. Profitieren Sie von unseren praxiserfahrenen Penetration-Testern.
Unsere IT-Sicherheitsexperten für IT-Security Audits haben langjährige Erfahrung in der Durchführung von Sicherheitsprüfungen. Durch regelmäßige Schulungen und Weiterbildungen sind sie immer auf dem aktuellsten Stand.
Redlings ist ein auf die Durchführung von IT-Security Audit spezialisertes Unternehmen mit Sitz in Deutschland.
Mit uns können Sie gewährleisten, dass Ihre Verteidigungsmaßnahmen angmessen für die aktuellen Bedrohungen sind. Durch unser detaillierten technischen Analysen "in Handarbeit" können wir Sicherheitsschwachstellen aufdecken, die Kunden angreifbar machen. Mit unserem kontinuierlichen Sicherheitsaudit-Ansatz arbeiten wir langfristig mit unseren Kunden an einer Verbesserung der IT-Sicherheitssituation.
Vorschriften wie PCI-DSS, aber auch ISO 27001/2 u.a. können regelmäßige Penetrations-Tests erfordern. Auch manche vertragliche Regelung kann eine solche Anforderung enthalten.
Die Ergebnisse eines IT-Security Audits können Ihren Entwicklern und Administratoren helfen, weniger Fehler zu machen. Ein Sicherheitsaudit erkennt Fehlkonfigurationen, Programmierfehler und andere Schwachstellen.
IT-Security Audits geben Ihnen eine ungeschminkte Rückmeldung über mögliche Konsequenzen eines IT-Sicherheitsvorfalls wie beispielsweise eines Ransomware-Angriffs.
Unternehmens- und Kundendaten gelten als Lebenselixier eines Unternehmens und können in den falschen Händen äußerst schädlich sein. Mit einem Sicherheitsaudit kann Ihr Unternehmen die Datenbestände besser schützen und damit möglichst auch Angriffe verhindern.
Unsere IT-Sicherheitsexperten sind zertifizierte Experten auf ihrem Gebiet und decken häufig Möglichkeiten auf wie bereits vorhandene (und bezahlte) Sicherheitstechnologien besser genutzt und die Schutzwirkung verstärkt werden kann.
Mit einem IT-Security Audit können Sie feststellen, welche vorhandenen Sicherheitslücken die größten Auswirkungen auf Ihre Web-Applikationn und Ihr Netzwerk haben. Setzten Sie damit Ihre Ressourcen und Zeit effizienter ein.
IT-Security Audits greifen Ihr Netzwerk und Ihre Web-Applikationen wie ein Hacker an - allerdings ohne Schaden anzurichten. Damit könenn Sie Sicherheitslücken vor den Angreifern finden und beheben.
Investitionen in Sicherheitsmaßnahmen sollten immer mit konkreten Nachweisen unterstützt werden, um den Wert für das Unternehmen zu belegen. Wenn Sie Ihrem Führungsteam den Wert einer Investition zeigen, können Sie Ihren Bedarf nach mehr Ressourcen begründen.
Fehlen wichtige Patches oder werden Anwendungen und Betriebssysteme nicht gehärtet? Wenn Ihre IT-Sicherheitsexperten zeigen können, dass Applikationen und Netzwerkbereiche mit guter Umsetzung weniger Sicherheitslücken aufweisen, motiviert dies die Sicherheitsleitlinien besser zu befolgen.
Der Projektablauf wird im Rahmen des gemeinsamen Kick-Off Gespräches geplant und vorbereitet. Unter anderem folgen dabei Abstimmungen zu den folgenden Punkten:
Nun erfolgt die eigentliche Sicherheitsprüfung. Sie besteht dabei üblicherweise aus einem (oder mehreren) in Auftrag gegebenen Prüfmodulen.
Die Testergebnisse werden in einem Bericht zusammengetragen. Darin enthalten sind unter anderen die nachfolgend aufgeführten Abschnitte:
Der IT-Security Audit und dessen Ergebnis werden in einem Abschluss-Meeting mit allen Beteilgten besprochen. Wir verstehen sehr genau, dass die aufgedeckten und dokumentierten Sicherheitslücken nur der erste Schritt sind. Konkrete Maßnahmen zur Verbesserung der IT-Sicherheit müssen abgeleitet und auch umgesetzt werden.
Prüfen Sie mit einem IT-Security Audit welchen Schaden Hacker bei Ihnen anrichten können.
Als IT-Sicherheitsexperten und Ethical Hacker emulieren wir Angriffe auf die IT von Unternehmen mit den gleichen Werkzeugen und Methoden wie sie kriminelle Organisationen täglich in Schwerin, Deutschland, Europa und weltweit durchführen.
Ein IT-Security Audit, kurz "Sicherheitsaudit", ist eine Sicherheitsüberprüfung, bei der ein Angriff durch eine böswillige Partei auf ein Netzwerk oder eine Anwendung emuliert wird, um Sicherheitslücken zu identifizieren. Dieser Test wird im Vorfeld koordiniert und so durchgeführt, dass kein System beschädigt wird. Am Ende des Tests erhalten Sie einen Bericht, der die gefundenen Probleme und Schwachstellen zusammen mit Vorschlägen zu deren Behebung enthält.
Bei einem White-Box-Test erhält der IT-Sicherheitsexperten alle relevanten Informationen über das oder die Zielsystem(e). Der Vorteil ist, dass dieses Vorgehen Zeit – und damit Kosten – spart. Auch generell gilt, dass White-Box-Tests bei der Verbesserung der Sicherheit von IT-Systemen effektiver sind und üblicherweise bevorzugt werden sollten.
Allgemein gilt, dass Black-Box-Tests ein geeignetes Mittel sein können um Sicherheitsprobleme gegenüber einer Spezifikation (z.B. einer Web-API Schnittstelle) aufzudecken, jedoch nur sehr wenig geeignet sind um Fehler innerhalb von bestimmten Komponenten zu identifizieren. Im letzteren Falls sollten White-Box-Tests das bevorzugte Mittel sein.
Die Begriffe "IT-Security Auditer" (kurz auch „IT-Sicherheitsexperten“), "White Hat Hacker" und "Ethical Hacker" werden oft synonym verwendet. Die Begriffe „Ethical Hacker“ und „White Hat Hacker“ umfassen die gesamte Hacking-Aktivität zur Verbesserung der IT-Sicherheit. Allen gemein ist, dass Aktivitäten die rechtswidrig oder nicht dem Code of Ethics entsprechen unterlassen werden.
Formal ist ein IT-Security Audit nur ein „Ethical Hack“ mit sehr klar vereinbarten Regeln, einem formalen Vorgehen sowie einem definierten Ziel.
Ähnlich wie bei den Kosten, hängt die Dauer von IT-Security Audits von mehreren Faktoren ab. IT-Security Audits sind eine praktische Bewertung, die sich nicht für kurze, schnelle Sprints eignet. Bei Redlings neigen wir dazu, Sicherheitsauditingprojekte ab etwa einer Woche beginnen zu lassen, aber viele Projekte können sich auch über einen deutlich längeren Zeitraum erstrecken.
Wie bei jeder Unternehmensdienstleistung variieren auch die Kosten für einen IT-Security Audits
in Abhängigkeit von mehreren Faktoren erheblich.
Scoping-Details wie Netzwerk-IP-Adressen, Komplexität und Anzahl der (Web-)Anwendungen und Mitarbeiter
für Social Engineering sind Schlüsselfaktoren zur Bestimmung der Projektgröße.
Unter Berücksichtigung dieser Variablen arbeitet unser Team sorgfältig daran,
die Details des Umfangs mit den Sicherheitsanforderungen Ihrer Organisation abzustimmen.
Dennoch lassen sich einige Erfahrungswerte, die als erste Anhaltspunkte dienen können, nennen.
Ein hochwertiger, professioneller und von Experten durchgeführter Sicherheitsaudit kostet
üblicherweise ab etwa €8.000, kann aber bei großen Projekten
auch deutlich über diesem Betrag liegen.
Redlings bietet auch Rabatte für Mehrjahresverträge an ("Continuous-Sicherheitsauditing"), um sicherzustellen,
dass Ihr Unternehmen einen beständigen Sicherheitsauditing-Partner hat und
das Sicherheitsbudget weiter strecken kann.
Im Gegensatz zu IT-Security Audits wird bei der Schwachstellenbewertung nicht im Detail ermittelt, ob die Schwachstelle tatsächlich ausgenutzt werden kann oder welche Auswirkungen sie hat. Ein Vulnerability Scan nutzt normalerweise automatisierten Schwachstellen-Scanner wie Nessus oder auch Nmap. Die Schwachstellen-Scanner decken nur Standardszenarien ab und berücksichtigen nicht die Besonderheiten der jeweiligen IT-Infrastruktur.
Vulnerability Scans sind daher eher ein erster Schritt in der technischen Analyse von Schwachstellen als ein vollständiger Prozess zur Absicherung von Systemen. Sie werden auch oft als Teil eines Sicherheitsaudits oder als einer der ersten Schritte bei IT-Security Audits eingesetzt. In allen Fällen geht der IT-Security Audit weiter und untersucht die entdeckten Schwachstellen im Detail.
Der IT-Sicherheitsexperten versucht, die Schwachstellen auszunutzen und die sich daraus ergebenden Möglichkeiten für den Angreifer zu bewerten. Dies hilft, die Auswirkungen einer Schwachstelle zu bestimmen. Aufgrund der manuellen Natur eines IT-Security Audits und der Kreativität des IT-Sicherheitsexpertens sind die Chancen, schwerwiegende Schwachstellen zu finden, bei professionell durchgeführten IT-Security Audits wesentlich höher als bei standardisierten Vulnerability Scans.
Datensicherheit ist ein wichtiges Thema für alle Unternehmen und Behörden. Erfahren Sie hier mehr über Bedrohungen, Maßnahmen und den rechtlichen Rahmen.
Authentisierung, Authentifizierung und Autorisierung sind Begriffe, die in der IT-Security verwendet werden. Sie mögen ähnlich klingen, sind aber völlig...
Ein Angriffsvektor ist eine Möglichkeit für Angreifer, in ein Netzwerk oder IT-System einzudringen. Zu den typischen Angriffsvektoren gehören ...,
Wie wird man eigentlich Pentester? Was verdient ein Pentester? Haben Quereinsteiger auch eine Chance? Und was macht ein Penetration Tester so den ganzen Tag?...