Assessment Technisch-Organisatorische Überprüfung von Infrastrukturen und Services (Vorgehens

Vorgehensmodell Kickoff Klassifizieren Business Prozesse Identifizieren Assets Klassifizieren Assets Zeitplan Review Points Incident Vereinbarungen Teilnehmer Schwachstellen und Aufnahme Manuelle Prüfung Toolgestützter Scan Auswertung Reporting Beratung Maßnahmenverfolgung Compliance* Basis Definition Manuelle Prüfung Toolgestützte Prüfung Organisatorische Prüfung Prozessuale Prüfung Report Beratung Maßnahmenverfolgung In-Depth Assessment Pen Test APT Assessment Application Inspektion Personal Assessment Vereinbarung Rahmenbedingungen Report, Beratung Code/Binary Prüfung Maßnahmenverfolgung 1 bis 2 Tage + Vor- und Nachbereitung 1 bis n Tage Abhängig von Asset –und Findinganzahl 3 bis n Tage Abhängig von Asset –und Findinganzahl 5 bis n Wochen Abhängig von Rahmenbedingungen *Siehe auch Seite „Compliance Prüfungen gegen … Phase 1 Phase 2 Phase 3 Phase 4

Empfehlung für Neukunden Workshop maximal 1 Tag Ziel Critical Services/Assets werden identifiziert Beschlussfassung über weiteres Vorgehen Schwachstellen-und Aufnahmescan bis hin zur Maßnahmendefinition und Entscheidung über weiteres Vorgehen (maximal 5 bis 7 Tage) Weiteres Vorgehen (Optionen) Maßnahmenverfolgung für kritische und schwere Schwachstellen Compliance Check kritischer Services Prozessqualität und Dokumentation (ISMS) Maßnahmendefinition Penetration Test ausgewählter System oder Systemgruppen Es wird mit einer beschränkten Zielumgebung gestartet. So kann sich der Auftraggeber mit der Leistungsart und der Form der Erbringung vertraut machen.

Sonstige Anmerkungen Die jeweilige Vorgehensweise wird im Kickoff grob und im Abschlußbericht detailliert beschrieben. Die technischen Methoden werden jeweils dem Kenntnisstand über die aktuelle Technik angepasst. Im Rahmen von Pen -oder APT-Assessments ist der persönliche Kontakt zum Personal oder anderen Bezugspersonen nicht ausgeschlossen. Im Rahmen von Pen- oder APT-Assessments kann es zum formell unerlaubten Betreten von Unternehmensbereichen ggf. auch in Bezug befindlichen Räumen kommen. Während in Phase 2 oft nur ein Mitarbeiter genügt, kommen in Phase 3 und Phase 4 zwei und mehr Mitarbeiter zum Einsatz. Alle Aktivitäten werden im Vorfeld abgestimmt und durch die berechtigten Personen beim Auftraggeber schriftlich genehmigt. Um Risiken auszuschließen oder zu verdeutlichen wird im Rahmen der Genehmigung auch immer Umfang und Tiefe der jeweiligen Prüfung definiert.

Team Unser Prüfer sind Pen-Tester und CISOs mit Erfahrungen aus Unternehmen und Behörden. Die meisten sind nicht nur als Prüfer im Einsatz, sondern auch als Digital Forensic Examiners im Rahmen von staatlichen und nicht-staatlichen Ermittlungen und kennen somit auch die Auswirkungen von nicht geschlossenen Schwachstellen sehr gut. Zudem verfügen einige über anerkannte Qualifikationen wie CISSP, SSCP, CISA, CCFP, GCFE und GCFA.

Typische Fehlannahmen Penetrationtest != Schwachstellencheck Umgangssprachlich wird noch häufig von einem Pen Test gesprochen, auch wenn lediglich eine Prüfung auf Schwachstellen erforderlich beziehungsweise gemeint ist. Pentests können beliebig aufwendig sein. Machen Sie erstmal einen Pentest! Sie sind sich sicher, das Sie alles Ihnen Bekannte getan haben, um Ihre Systeme zu schützen und wollen nun wissen, ob es noch Schwachstellen gibt über man tatsächlich einbrechen kann. Eventuell starten Sie mit einem Schwachstellencheck und überprüfen Sie inwiefern Ihre Infrastruktur compliant zu gängigen oder für Ihr Umfeld erforderlichen Anforderungen ist.

Compliance Prüfung gegen … ISO 2700x BSI DIACAP (US Department of Defense, DoDI ) HIPAA FDA Cybersecurity Guideline PCI BYOD Verification CoCo DISA (Checklist und STIG) GLBA NSA Hardening Guides IBM Series Conf Audits OWASP best practice Empfehlungen Tenable Empfehlungen Energy Sector Cybersecurity Framework IATA Cyber Security Framework