Mit einem Penetrationstest finden Sie Schwachstellen und sind so in der Lage, die Folgen von Angriffen abzuschätzen und Gegenmaßnahmen einzuleiten. Zusätzlich verringert ein gehärtetes System Ausfälle, wie sie durch Denial-Of-Service-Angriffe verursacht werden. Ein Penetrationstest hilft Ihnen dabei, Wirtschaftsspionage vorzubeugen und Sabotage durch Eindringlinge zu unterbinden. Unsere Penetrationstests werden von OSCP zertifizierten Auditoren begleitet.
Angriffe auf die digitale Infrastruktur von Unternehmen sind keine Seltenheit mehr. Diese Art von zielgerichteten Angriffen wird durch einen Penetrationstest simuliert. Penetrationstests beginnen mit einer umfassenden Analyse der zu untersuchenden, externen oder internen IT-Infrastruktur. In Absprache mit dem Auftraggeber werden dann Bedrohungsvektoren definiert, aus denen sich unterschiedliche Angriffsszenarien ableiten.
Sie erhalten bei einem Penetrationstest regelmäßige Fortschrittsberichte, die Sie über den aktuellen Stand der Sicherheitsüberprüfung aufklären. Als Ergebnis erhalten Sie die in einem Abschlussbericht zusammengefasste Bewertung der definierten Bedrohungsszenarien. Dabei ist zu jedem Angriffsszenario eine Priorisierung, die sich nach den Auswirkungen der Sicherheitslücke richtet sowie ein Maßnahmenkatalog enthalten, der konkrete Lösungen beschreibt.
Industrielle Kontrollsysteme (ICS) und kritische Infrastrukturen (KRITIS) werden häufig unter dem Begriff SCADA zusammengefasst. Sie bestehen aus einer großen Anzahl an hoch- spezialisierten Geräten, deren Aufgabe es ist, industrielle Prozesse zu überwachen und zu steuern. Auch kleinste Fertigungsanlagen bestehen aus programmierbaren Steuereinheiten (SPS/PLC), Aktoren und Sensoren. Durch eine zunehmenden Vernetzung, beispielsweise im Rahmen von Industrie 4.0, entstehen neue Zugriffspunkte und Angriffsszenarien.
Bei einem Audit analysieren wir relevante Angriffsvektoren und verifizieren identifizierte Sicherheitslücken gegebenenfalls über Angriffssimulationen. Um die Sicherheit Ihrer Industrie 4.0 Anlagen zu untersuchen, werden SCADA-spezifische Vektoren wie die Manipulation von Aktoren und Sensoren genauso berücksichtigt, wie Angriffe über kompromittierte Webserver. Neben Handlungsvorschlägen erarbeiten wir gemeinsam mit Ihnen ein Incident Management, welches ein Vorgehen im Fall von Angriffen oder anderen sicherheitsrelevanten Problemen vorgibt. Ein weiterer Schwerpunkt liegt auf der Separierung von OT/IT-Netzwerken und Defense in Depth, um ein maximales Sicherheitsniveau zu erreichen.
Web-Applikationen sind aufgrund Ihrer großen Verbreitung und der weltweiten Erreichbarkeit einer konstanten Bedrohung ausgesetzt. Bei einen Audit führen wir zielgerichtete, realistische Angriffe auf die Applikation durch, um so Schwachstellen aufzudecken. Das umfasst sowohl die Anwendungsumgebung wie Web-Server und Betriebssysteme als auch die Anwendung selbst. Die Angriffe erfolgen aus der Perspektive eines externen Angreifers und eines privilegierten Nutzers.
Als Grundlage für den Web-Applikationsaudit verwenden wir unter anderem die anerkannten Methoden der non-profit OWASP (Open Web Application Security Project) Organisation. Dabei stellen unter anderem der im OWASP erstellte Application Security Verification Standard (ASVS) 2013 und die Penetration Testing Guidelines eine Basis für die Überprüfung von Web-Applikationen dar.
Ein typischer Sicherheitsaudit besteht aus verschiedenen Phasen. Die Phasen können von Audit zu Audit einen unterschiedlichen Umfang aufweisen, weisen aber in der Regel folgende Punkte auf: