Security Audits
Ein Security Audit, zu Deutsch Sicherheitsprüfung, beschreibt die Maßnahmen zur Risiko- und Schwachstellenanalyse eines IT-Systems oder Computerprogrammes. Wir führen diese Tests im Rahmen des Qualitätsmanagements von Unternehmen durch und tragen so zum positiven Ausbau der Netzwerk- und Informationssicherheit bei.
Die Sicherheitsprüfungen werden in Verbindung mit LAN-Analysen in lokalen Netzwerken, aber auch extern durchgeführt, um zu anaylsieren, wie die IT-Infrastruktur eines Unternehmens gestaltet ist. Sie dienen zum Aufzeigen von potenziellen Sicherheitslücken. Bei der Umsetzung von Security Audits halten wir uns an die definierten Management-Standards für IT-Sicherheitsaudits aus der Norm ISO/IEC 27001. Dabei liegt unser Fokus auf der intensiven Planung, akribischen Dokumentation und innovativen Weiterentwicklung Ihres firmeninternen Informationsnetzwerkes sowie Sicherheitsmanagementsystems.
Wie sieht ein Security Audit aus?
Eine umfassende Sicherheitsüberprüfung lässt sich in der Regel in fünf Phasen unterteilen:
-
Vorbereitungsphase:
In der Vorbereitung kommunizieren wir sehr intensiv mit dem Kunden und erstellen eine Art „Testaufbau“. Des Weiteren stimmen wir mit dem Kunden, in Anlehnung an die Security Policy der Firma, Risikoanalysestrategien ab und setzen die Ziele des Audits fest. -
Informationsbeschaffungsphase:
Die zweite Phase dient der Bestandsaufnahme, in der wir mittels professionellen Scan- und Sniffing-Tools (z.B. Portscanner) eine IT-Strukturanalyse vornehmen. Darunter fallen unter anderem das Sammeln von öffentlich zugänglichen Informationen sowie das Bestimmen der Zielnetzwerke oder Applikationen. Die Analyse bildet die Grundlage für weiteres Vorgehen und ist der Ausgangspunkt für den eigentlichen Test. -
Testphase:
In der Testphase nehmen wir mit Genehmigung des Kunden passive und aktive Angriffe vor. Die Attacken auf das Unternehmenssystem sind unterschiedlich abgestuft sowie skaliert und beinhalten daher meist eine Vielzahl an Szenarien. -
Auswertungsphase:
Die gewonnenen Informationen werden detailliert ausgewertet und in einem Sicherheitsbericht präsentiert. -
Nachbereitungsphase
Abschließend legen wir dem Kunden Empfehlungen zur Optimierung des Systems nahe und schlagen konkrete Maßnahmen vor. Diese erscheinen in einem Maßnahmenkatalog.
Wer führt den Test durch?
Die durchführende Person eines Security Audits wird Auditor (Sicherheitsanalyst) genannt. Dieser besitzt neben einem umfangreichen Wissensschatz in puncto Sicherheitsfragen auch die Fähigkeit, sich in einen potentiellen Angreifer hinein zu versetzen.
Durch jahrelange Berufserfahrung ist uns der Wunsch des Kunden nach Sicherheit und vertraulicher Behandlung von sensiblen Daten bekannt. Um den höchstmöglichen Standard für Ihr Unternehmen zu sichern, setzen wir auf die akribische Dokumentation der einzelnen Arbeitsschritte. Ferner beraten unsere Sicherheitsexperten Sie hinsichtlich der Gründe und Ziele einer Sicherheitsüberprüfung, der angewandten Methodik sowie des Umfangs und der Dauer des Security Audits.
Die Mitarbeiter von curesec GmbH sind der Geheimhaltung (Non-Disclosure Agreements, NDA) verpflichtet und wurden zu zertifizierten Sicherheitsexperten ausgebildet.
Welche Maßnahmen gehören zu einer Sicherheitsanalyse?
Die Maßnahmen sind so verschieden wie die in der Praxis vorzufindenden IT-Infrastrukturen. So reichen manuelle Maßnahmen von der Anwendung von Security-Scans mittels Software-Tools bis hin zur Überprüfung von Systemzugängen und der Analyse des physischen Zugangs zum System und einzelnen Applikationen.
Der Penetrationstest stellt den wesentlichen Bestandteil eines vollen IT-Sicherheitsaudits dar und beinhaltet die Simulation von Angriffen außerhalb und innerhalb des Unternehmensnetzwerks.
Neben diesen manuellen Maßnahmen können auch computerunterstützte Auditing-Techniken (engl. Computer Assisted Auditing Techniques, CAAT) und systemgenerierte Audit-Reports zum Einsatz kommen.
Was sind potenzielle Sicherheitslücken?
Die meisten Sicherheitslücken lassen sich auf strukturelle, technische oder personelle Defizite zurückführen. Unter strukturellen Defiziten verstehen wir mangelnde Wartungskonzepte, nicht hinreichendes Monitoring und lückenhafte Security Policies. Auf der technischen Seite fallen einfache, unverschlüsselte Verbindungen, mangelhafte Konfigurationen (Betriebseinstellungen) von Netzwerkgeräten oder Anwendungen, fehlerhafte oder schlecht programmierte Software und die Verwendung unsicherer Dienste (wie z.B. telnet, SNMP oder RDP) ins Gewicht. Das Ende der Fehlerkette bildet aber wie so oft der Mensch, nämlich durch mangelnde Sicherheits-, Wartungs- und Programmierkompetenzen. Diese bekannten Risiken gilt es in der Praxis durch Scans und Analysen zu erkennen, zu priorisieren und im Idealfall zu vermeiden.
Wir bieten in der Curesec-Akademie Weiterbildungsseminare und Workshops für Ihre Mitarbeiter an. Dort werden Sie durch erfahrene Dozenten geschult, Sicherheitslücken zu erkennen und selbst präventiv im eigenen Unternehmen tätig zu werden.