Security Audit

Ein wichtiger Bestandteil des Security Managements ist die Überprüfung, ob die getroffenen Sicherheitsmaßnahmen greifen.

Zu diesem Zweck bieten wir Ihnen eine Überprüfung Ihrer IT-Sicherheit an. Dabei können je nach Wunsch Sicherheitsüberprüfung in  verschiedenen Ausprägungen durchgeführt werden. Der Aufwand kann dabei von einem Personentag bis zu mehreren Personenmonaten gehen.

  • Vollständige Sicherheitsüberprüfung nach OSSTMM
  • Sicherheitsaudit inklusive Überprüfung der Konfiguration der IT-Systeme
  • Teilautomatisierte Sicherheitsüberprüfungen mit diversen OpenSource Methoden
  • Automatisiertes Network Security Scanning

Eine Sicherheitsüberprüfung Ihres Firmennetzes umfasst je nach Wunsch folgende Punkte:

Sammeln von Daten über die IT-Infrastruktur des Testnetzes
Mit verschiedenen Scan-Techniken werden die Systeme des Testnetzes untersucht und erfasst. Eingesetzt werden können hier Dial-In-Scans (War-Dialing), IP-Adress-Scanning und Port-Scanning. Interessantestes Testnetz ist zumeist die Internet-Anbindung eines Unternehmens, da hier auch das größte Gefahrenpotential lauert. Es werden sowohl die dort bereitgestellten Dienste (z.B. Web-, Mail-, DNS- und FTP-Server) als auch die aktiven Komponenten wie Router untersucht.

Distributed Denial-of-Service (DDoS) Tests
Testen der Verwundbarkeit durch Denial-of-Service-Angriffe. Vielfach ist das Stören der Verfügbarkeit der Online-Dienste eines Unternehmens kritisch für die Unternehmensziele. So ist zum Beispiel die Verfügbarkeit von Online-Banking Diensten oder Geldautomaten für Banken von größter Bedeutung. Die Tests erstrecken sich von einfachen manuell zu prüfenden Buffer-Overflows bis hin zu automatisierten DoS-Tools.
Finden von vorhandenen Applikationsschwachstellen

Als Beispiele für Systeme mit häufig ausgenutzten Schwächen seien hier stellvertretend genannt:

  • DNS-Server (BIND, MS DNS)
  • Mail-Server (sendmail, smail, qmail, Exchange mit den Protokollen X.400, SMTP, POP, IMAP)

Penetrationstests
Sind bei den eingesetzten Diensten Schwachstellen vorhanden, so wird unser Team versuchen, diese Schwächen zu nutzen, um administrative Rechte auf den Zielsystemen zu erlangen. Auf diesem Weg können Informationen wie Benutzer-Paßwörter oder Firmendaten ausgespäht werden.

Dokumentation und Präsentation

  • Detaillierte Protokollierung der Angriffe mit Datum, Uhrzeit, Art der Aktion
  • Als Maßstab für ein funktionierendes aktives Security Management können z.B. die Reaktionen der Administratoren auf die Test-Aktivitäten herangezogen werden.
  • Abschließender Bericht mit Bewertung der Sicherheitsstandards im Testnetz
  • Präsentation der Ergebnisse im Managementkreis

Weiterführende Tätigkeiten
In einer zweiten Phase können auf Wunsch weiterführende Techniken zum Einsatz kommen, für die es zumeist notwendig ist, interne Ortskenntnisse auszunutzen. Bei einem solchen Einsatz (auch vor Ort) können zum Beispiel durch Social Engineering Techniken sehr gezielt Informationen gesammelt werden. Als Social Engineering (eigentlich angewandte Sozialwissenschaft) bezeichnet man im IT Security Bereich die versteckte Manipulation von Mitarbeitern, z.B. indem man diese durch die Vorspiegelung falscher Tatsachen dazu bewegt, ihr Paßwort preiszugeben. Auch das Verschleiern von erfolgreichen Angriffen durch das Löschen bzw. Fälschen von Log-Dateien gehört zu den Zusatzleistungen im Rahmen einer möglichen zweiten Phase.

Wir garantieren die Vertraulichkeit der Ergebnisse. Sämtliche gesammelte Daten werden an den Auftraggeber übergeben bzw. gelöscht. Alle Team-Mitglieder werden zur Wahrung der Betriebsgeheimnisse verpflichtet. Wir weisen bereits an dieser Stelle darauf hin, dass die Zustimmung des Betriebsrats, des Sicherheits- und Datenschutzbeauftragten für die Durchführung einer Sicherheitsüberprüfung erforderlich ist.