Beratung & Analyse

Im Bereich Sicherheit gibt es neben Schulungen grunsätzlich zwei Arten von Dienstleistungen: Beratung, zum erhöhen der Sicherheit, und Audits, zum prüfen der Sicherheit.

  • Beratung: hierunter fallen allen Fragestellungen rund um IT-Sicherheit, beispielsweise die Beratung bei unterschiedlichen Phasen von Entwicklungsprojekten, der Analyse der Infrastruktur oder der Priorisierung von Sicherheitsprojekten.
  • Audits: üblicherweise fallen in diese Kategorie das prüfen von Sicherheitsumsetzungen anhand von Katalogen, wie beispielsweise der BSI-Grundschutz, aber auch die Analyse der IT-Infrastruktur sowie Penetrations-Tests.
  • Reifegradanalyse: eine solche Analyse enthält üblicherweise viele Aspekte von beiden Kategorien. Die Infrastruktur und organisatorischen Maßnahmen werden verwendet um den aktuellen Sicherheitsstand einzuordnen. Das Reifegradmodell kann dann weiter verwendet werden um möglichst gut zu integrierende, komplementäre Sicherheitsmaßnahmen zu ergänzen. Hierdurch wird vermieden einen Angriffsvektor stark zu schützen und andere zu vernachlässigen.

    Mit anderen Worten: Was bringt einem das modernste Türschloß, wenn man die Fenster offen stehen lässt?

Sie können uns gerne kontaktieren für mehr Informationen.

Im folgenden erläutern wir das Szenario des Web-Penetration Testing als konkretes Beispiel wie ein Penetrationstest aussehen kann.

Beispiel: Web-Penetration Testing

„Fehler lassen sich beim Betrieb von Webanwendungen nie vollständig ausschließen. Durch regelmäßig durchgeführte Sicherheitstests können Sicherheitslücken jedoch frühzeitig identifiziert und geschlossen werden.“

– Prof. Dr. Michael Backes

Der Einsatz von unterschiedlichen Webanwendungen zur Kommunikations- und Prozessabwicklung ist in vielen Unternehmen mittlerweile nicht mehr wegzudenken. Das Einsatzgebiet dieser Anwendungen erstreckt sich von unternehmensinternen Anwendungen für nur wenige Mitarbeiter bis zu Anwendungen mit mehreren Millionen Endkunden.

Die Angreifbarkeit dieser Systeme ist aufgrund ihrer ständigen und teilweise anonymen Erreichbarkeit – im Gegensatz zu Offline-Systemen – stark erhöht. Ein erfolgreicher Angriff kann für ein Unternehmen erheblichen Schaden verursachen, da sensible Unternehmensinformationen oder Kundendaten entwendet oder kritische Systeme zum Ziel von Cyberangriffen werden können. Viele dieser Angriffe sind mittlerweile automatisiert und werden wahllos ausgeführt, sodass jedes Unternehmen zum Ziel eines Angriffs werden kann.

Gefahren

  • Störung von essentiellen Unternehmensprozessen.
  • Hohe Kosten durch Wiederinstandsetzung.
  • Ausspähen von Kunden- und/oder Unternehmensdaten.
  • Gefährdung des Kundenvertrauens.

Ziele

Deshalb muss IT-Sicherheit sowohl bei der Entwicklung, als auch beim Betrieb von Webanwendungen eine zentrale Rolle spielen. Eine regelmäßige Prüfung der Unternehmens-IT und der betriebenen Systeme und Plattformen ist unumgänglich.

Web-Penetrations-Tests betrachten IT-Systeme aus dem Blickwinkel eines Angreifers und haben zum Ziel unberechtigten Zugriff auf die Plattform zu erhalten. Durch die aktive Herangehensweise können Sicherheitslücken identifiziert werden, auf die auch ein Hacker stoßen kann, wenn er versucht unberechtigt in ein System einzudringen. Durch abschließende Handlungsempfehlungen können diese Lücken geschlossen werden, bevor diese von einem Angreifer aktiv ausgenutzt werden.

Umfang

  • IT-Sicherheitsanalyse existierender Anwendungen
  • Bewertung der eingesetzten Infrastruktur
  • Prüfung auf potentielle Sicherheitslücken (Cross-Site-Scripting (XSS), Cross-Site-Request-Forgery (CSRF), Session-Hijacking und SQL-Injections)
  • Datensicherheit sensibler Nutzerdaten (z.B. Passwörter)
  • Abschließende Maßnahmen-Empfehlungen zur Abwehr von Angriffen

Zielgruppe

  • Unternehmen, die Webanwendungen unternehmensintern oder extern betreiben.
  • Unternehmen, die Webanwendungen entwickeln und vertreiben.

Fordern Sie ein unverbindliches Angebot an!

Anrede:*

Titel:

Name:*

Vorname:*

E-Mail-Adresse:*

Telefonnummer:*

Firma:*

Branche:*

Anliegen:*

Details:

* Mit der Angabe meiner Daten stimme ich zu von der Backes SRT GmbH kontaktiert zu werden.

Ich möchte über Neuigkeiten der Backes SRT informiert werden.

Mit * markierte Felder sind Pflichtfelder