Leistungsportfolio Positionsbestimmung

Die regelmäßige Bestimmung des Status-Quo der Informationssicherheit liefert wichtige Kennzahlen für den Informationssicherheits- und Risikomanagementprozess und ist ein elementares Werkzeug der kontinuierlichen Verbesserung. Die Überprüfung und Bewertung auf sowohl technischer als auch organisatorischer Ebene erlaubt eine ganzheitliche Sicht und ermöglicht eine priorisierte Optimierung der relevanten Prozesse und Verfahren. Je nach Anforderungen sind die hier beschriebenen Leistungen sowohl einzeln als auch in Kombination möglich. Dies richtet sich nach den Bedürfnissen des Auftraggebers, die in der Regel im Rahmen einer Vorbesprechung ermittelt werden. Eine detaillierte Leistungsbeschreibung bildet im Anschluss die Grundlage für Beauftragung und Durchführung.

Schwachstellenscan (Vulnerability Scan)

Ein Schwachstellenscan ist die automatisierte Überprüfung von IT-Systemen auf Sicherheitslücken und simuliert somit einen ungerichteten Angriff. Dies beinhaltet neben der Identifikation von Schwachstellen in Hard- und Software, wie z.B. Konfigurationsfehler oder Sicherheitslücken in veralteter Software auch die Prüfung auf schwache Zugangsdaten (z.B. Auslieferungskennwörter). Schwachstellenscans geben einen ersten Anhaltspunkt bezüglich der Sicherheit von IT-Systemen (Simulation eines ungerichteten Angriffs) und können Hinweise auf prozessuale bzw. organisatorische Mängel offenbaren.

Penetrationstest (Penetration Test)

Ein Penetrationstest ist die Simulation eines gezielten Angriffs und beinhaltet die manuelle Verifikation der Relevanz von Sicherheitslücken durch die versuchte Ausbeutung von identifizierten Schwachstellen. Das Ziel ist, innerhalb des veranschlagten Zeitraums, mögliche Schwachstellen zu identifizieren und hinsichtlich ihrer Relevanz und Kritikalität zu bewerten. Dies wird durch aktive Eindringversuche sowie eine möglichst weitreichende Eskalation der Zugriffsrechte erreicht. Penetrationstests liefern somit konkrete Aussagen zur aktuellen Gefährdungslage sowie risikogewichtete Empfehlungen für Gegenmaßnahmen.

Red Teaming (Red Team Assessment)

Bei einem Red Team Assessment handelt es sich um einen zielgerichteten Angriff, bei dem die Fähigkeiten des Auftraggebers bezüglich der Abwehr bzw. der Erkennung und Reaktion von Angriffen überprüft wird. Das Ziel ist in der Regel, möglichst unerkannt privilegierten Zugriff auf interne IT-Systeme zu nehmen und an vertrauliche Informationen zu gelangen. Jedoch ist auch die Überprüfung einzelner Teilbereiche möglich (z.B. Zutrittsschutz, Netzwerkzugriffsschutz). Das Vorgehen schließt dabei eine Vielzahl von Techniken und Werkzeugen ein (z.B. Überwinden physischer Schutzmaßnahmen, Einbringen von Netzwerkwanzen, Social Engineering). Red Team Assessments liefern konkrete Hinweise auf Schwachstellen bei der Erkennung und Abwehr von anspruchsvollen externen Angriffen (z.B. Wirtschaftsspionage) sowie risikogewichtete Empfehlungen zur Optimierung von Sicherheitsmaßnahmen.

Schwachstellenanalyse (Vulnerability Analysis)

Bei Schwachstellenanalysen werden dediziert einzelne Applikationen oder IT-Systeme einer detaillierten manuellen Überprüfung hinsichtlich potentieller Schwachstellen unterzogen, wobei insbesondere die Aspekte Architektur, Konfiguration, Administration und Programmierung im Fokus stehen. Identifizierte Schwachstellen werden hinsichtlich des Risikos für das untersuchte IT-System gewichtet; eine Schwachstellenanalyse liefert daher risikogewichtete Empfehlungen für die Optimierung der Sicherheit. Typische Untersuchungsgegenstände sind Server, PCs/Notebooks, Tablets und Smartphones aber auch Telefonanlagen oder Embedded Systeme (z.B. Industrielle Steuerungen, IoT-Devices, etc.). Eine Besonderheit stellen Web Applikationen dar, die nach besonderen Kriterien (z.B. OWASP) überprüft werden.

Security Audit

Bei einem Security Audit wird überprüft, ob die Anforderungen der zu Grunde gelegten Richtlinien oder Standards erfüllt werden. Im Bereich der Informationssicherheit ist die Basis in der Regel ein anerkannter Standard zum Informationssicherheitsmanagement, wie z.B. ISO 27001, BSI IT-Grundschutz oder die VdS-Richtlinien 3473 – Cyber-Security für kleine und mittlere Unternehmen (KMU). Auch eine Überprüfung der technischen und organisatorischen Maßnahmen auf Basis von Best Practices ist möglich, bietet jedoch eine geringere Aussagekraft und Vergleichbarkeit. Audits können als Vorbereitung für ein Zertifizierungsaudit dienen. In Verbindung mit einer technischen Sicherheitsanalyse erhält der Auftraggeber eine ganzheitliche Aussage zum Status-Quo der Informationssicherheit.

Security Assessment

Ein Security Assessment bewertet den Reife- bzw. Erfüllungsgrad des angestrebten Informationssicherheitsniveaus. Dieses Niveau wird in der Regel durch einen anerkannten Standard zum Management von Informationssicherheit, wie ISO 27001 oder VdS 3473 definiert. Dabei werden sowohl die implementierten Verfahren als auch die technischen und organisatorischen Maßnahmen hinsichtlich ihres jeweiligen Umsetzungsgrades sowie ihrer Qualität, Effektivität und Effizienz bewertet. Durch ein Assessment werden Schwachpunkte identifiziert und Verbesserungspotential aufgedeckt; es dient daher gleichwohl einer allgemeinen Positionsbestimmung als auch zur Aufwandseinschätzung für eine erfolgreiche Zertifizierung.

Risikoanalyse (Risk Analysis)

Die Risikoanalyse ist ein systematisches Vorgehen zur Identifikation und Bewertung von Risiken. Die Vorgehensweise orientiert sich dabei an anerkannten Standards und wird insbesondere für kleine und mittlere Unternehmen empfohlen, die noch keine eigene Methodik für die Risikoanalyse- und Behandlung etabliert haben. Risikoanalysen werden in der Regel in Workshops zusammen mit den Geschäftsprozessinhabern durchgeführt und liefern konkrete Maßnahmenempfehlungen für die Behandlung. Sie helfen, bestehende Konzepte oder Lösungen zu bewerten oder bereits im Vorfeld von Projekten das jeweilige Risiko zu bestimmen und die damit notwendigen kompensierenden Sicherheitsmaßnahmen festzulegen.

Vorteile bei der Beauftragung der Michael Wiesner GmbH

  • Belastbare Resultate durch fachliche Kompetenz, langjährige Erfahrung und aussagekräftige Zertifizierungen
  • Reproduzierbare Ergebnisse durch die Konformität mit gängigen Empfehlungen und Standards unter kontrollierten Rahmenbedingungen
  • Größtmöglicher Nutzen durch interdisziplinäre Kompetenzen im Bereich Informationssicherheits- und Risikomanagement