IT-Sicherheitsüberprüfungen, Audits bzw. Penetrationstests

Kaum ein Audit ist beim näheren Hinsehen wie ein anderer – dies macht es immer spannend.

In der Angebotsphase werden Vorgespräche geführt und am besten ein näherer Blick auf die zu überprüfende Umgebung geworfen. Daraus resultiert dann unser Angebot mit einer Vorabplanung. In der Regel ist dies ein Schätzpreis, der meistens so stimmt. So wissen Sie, welche Arbeitspositionen und welche Untersuchungstiefe Sie erwarten können und werden nicht mit einer geringen Anzahl von Beratertagen gelockt, die dann nach kurzer Zeit revidiert werden muss.
   Dieses Angebot ist in der Regel kostenlos.

Wir bieten Audits/IT-Sicherheitsüberprüfungen für folgende Umgebungen an:

  • Jedwede Art von Webanwendungen
  • APIs
  • Container-Umgebungen, selbstverständlich mit Orchestrierung
  • Cloud-Umgebungen
  • Unix- und Windows-Systeme
  • Mobile Anwendungen (Android)
  • Embedded Linux
  • Netzwerkinfrastruktur

Typischerweise können sie bei einer Sicherheitsüberprüfung folgendes erwarten:

  • Analyse der derzeitigen technischen Schwachstellen
  • Aufdecken konzeptioneller und administrativer Schwachpunkte
  • Ein manuell angefertigter Bericht mit nachvollziehbaren Findings
  • Empfehlungen zur Beseitigung der Findings
  • Optional: Managementteil im Report: Risiken verständlich formuliert
  • Optional: Penetration, d.h. simulierter Eindringversuch

Grundsätzlich ist für uns ist ein Audit/ eine IT-Sicherheitsüberprüfung eine Beratungsleistung. Wir überlassen nichts "dem Tool", sondern unserer langjährigen Erfahrung, kritischen Augen, Expertenwissen und Kreativitat. Voll- oder halbautomatisierte Scans sollten eher bei einer Masse von Applikationen eingesetzt oder lediglich als eine Baseline verstanden werden – automatisisert findet man bei einer Webapplikation je nach Tool und Schwachstelle nur zirka 10-60%. Auch eine Risikoabschätzung im Kontext und eine Verifizierung muss wieder ein Mensch durchführen. Wir arbeiten mit einer Reihe von Werkzeugen. Dies sind freie Tools, wenige kommerzielle Programme, die als verlängerter Arm eingesetzt werden und viele im Laufe der Zeit selbstgeschriebene Helferlein, die entweder eigenständige Aufgaben erledigen (wie testssl.sh oder andere einzelne abzuprüfende Punkte eines Testplans automatisieren. Zu vielen weiteren Open-Source-Tools haben wir Beiträge geleistet, darunter einingen Scannern und OWASP-Projekten wie den OWASP Top 10 und den OWASP Docker Top 10. Die Vorgehensweise orientiert sich am OWASP Testing Guide (Webapplikationen) sowie am Durchführungskonzept für Penetrationstests vom BSI.
  Nach Abschluss bekommen Sie von uns einen individuellen, umfassenden, klar strukturierten und manuell angefertigten Report in gutem Deutsch oder auch gutem Englisch mit

  • den aufgedeckten technischen, konzeptionellen u.a. Schwachstellen
  • für Sie reproduzierbaren Findings
  • die nach technischem Risiko priorisiert sind
  • mit eindeutigen Klassifizierungen und Risiken der Schwachstellen
  • inklusive Lösungsvorschläge zur Beseitigung identifizierter Sicherheitsprobleme
  • (optional inklusive negativer Befunde, also Tests ohne identifiziertes Problem)
  • ohne falsch-positive Befunde, da sorgsam überprüft und ausgesiebt

Der manuell angefertigte Report wendet sich im Technical Summary an die technischen Mitarbeiter: Technische Details mit Erklärung des Befunds liefern Ihnen ein komplettes Bild über den Status Quo und somit die optimalen Voraussetzungen, um Ihr Sicherheitsniveau zu verbessern. Optional erhalten Sie einen Management Summary, der in wenig technischen Termini, Findings mit Grafiken und Tabellen zusammenzufasst und ggf. Tipps zur nachhaltigen Steuerung der IT-Sicherheit gibt. Gerne können wir auch die Befunde im Rahmen einer Ergebnispräsentation mit Ihnen diskutieren — online oder vor Ort.

Gerne beantworten wir Ihnen weitere Fragen, oder kontaktieren Sie uns einfach für ein Angebot!

Wir bieten für Sie auch Security-Monitoring an. Kontaktieren Sie uns für weitere Informationen gerne.