Unternehmen verfügen heute über die verschiedensten IT-Sicherheitsinfrastrukturen und geschäftskritischen Anwendungen. Sie stellen sich immer wieder die Frage, wie sicher diese Anwendungen und Strukturen sind. Sicherheit ist dabei kein dauerhafter Zustand. Sie wird ständig durch Änderungen in den Anwendungen und an Komponenten wie Firewalls, die Inbetriebnahme neuer Dienste sowie immer wieder neu entstehende Bedrohungen in Frage gestellt.

Vergleichbare Fragestellungen ergeben sich auch auf der organisatorischen Ebene der IT-Sicherheit. Auch hier ist immer wieder zu überprüfen, ob der Sicherheitsprozess, das Management der IT-Risiken, die vorhandenen Richtlinien zur IT-Sicherheit oder die sicherheitsrelevanten Betriebsprozesse (z.B. Security Incident Handling, Berechtigungsvergabe und -entzug, Schwachstellenmanagement) noch den Anforderungen entsprechen und der Bedrohungslage angemessen sind.Wir bieten Ihnen umfassende technische, konzeptionelle bzw. organisatorische Untersuchungen der Sicherheit Ihrer Anwendungen, Systeme, Infrastrukturen oder Prozesse an.

Die technischen Untersuchungen können sich dabei sowohl auf die Netzwerk- und Serverinfrastruktur, Betriebsprozesse, Bestandteile der Sicherheitsinfrastruktur (z.B. Firewalls, VPNs oder IDS) als auch auf Anwendungen und deren Komponenten (z.B. Webapplikations-Server und Datenbanken) erstrecken. Das Spektrum reicht von klassischen externen Penetrationstests über Applikationsuntersuchungen bis hin zu manuellen Überprüfungen vor Ort.

Durch unsere detaillierten Kenntnisse der aktuellen Angriffstechniken und Methoden, ist es uns möglich, Ihre IT-Lösungen nicht nur auf potentielle Sicherheitsrisiken hin zu untersuchen, sondern auch Schwachstellen zu finden und angemessen zu bewerten.

Zur Überprüfung der Sicherheit von Anwendungen stellen sich beispielsweise klassische Netzwerk-Scans als ungeeignet dar. Hierzu sind andere Methoden erforderlich, die auf der Ebene der Anwendung ansetzen, wie beispielsweise Manipulationsversuche über Eingabefelder, z.B. SQL Injection, oder auch die Analyse der Quelltexte von Anwendungskomponenten. Wir sind einer der wenigen Anbieter, die sich seit vielen Jahren auf diesen Bereich von Sicherheitsüberprüfungen spezialisiert haben.

Ihrem Wunsch entsprechend kann die Untersuchung eher mit einer "Black Box"-Sicht, d.h. ohne Insiderwissen, oder eher mit einer "White Box"-Sicht durchgeführt werden, bei der detaillierte Informationen über die zu untersuchenden Infrastrukturen zur Verfügung gestellt werden. Als Angriffswege sind dabei lokale Netze, externe Verbindungen wie Internet- und RAS-Zugänge, VPNs sowie weitere Arten von Zugängen wie WLANs denkbar.

Sicherheitsüberprüfungen sind ein sehr individuelles Thema, bei dem es keine Universalrezepte gibt. Eine vollständige Überprüfung aller sicherheitsrelevanten Aspekte in größeren Unternehmen müsste alle technischen Bereiche der IT und mindestens ebenso viele organisatorische Aspekte berücksichtigen. In der Praxis würden vollständige Überprüfungen aller Bereiche Jahre dauern und sind meist nicht durchführbar. Deshalb muss vor einer Sicherheitsüberprüfung der Rahmen der Untersuchung abgesprochen werden. Wir beraten Sie schon im Vorfeld, welche Bereiche und Prüfungen im Einzelfall für Sie sinnvoll sind.