Set it and forget it – das gilt nicht für IT-Sicherheit. Infrastrukturen wachsen, neue Anwendungen kommen hinzu, neue Schnittstellen entstehen. Um den bestmöglichen Schutz Ihrer digitalen Unternehmenswerte sicherzustellen, müssen Unternehmen IT-Systeme regelmäßig überprüfen lassen. Wir greifen auf ein breites Spektrum an Methoden zurück, um Ihre Systeme umfassend zu bewerten – und bei Bedarf fortlaufen zu optimieren.
Buchen Sie einzelne Prüfungen oder lassen Sie sich von unseren Cybersecurity-Expert*innen beraten, welche Tests in Ihrer individuellen Situation empfehlenswert sind.
Je komplexer ein System, desto schwieriger ist zu erkennen, wo überhaupt Sicherheitsprobleme auftreten können. Threat Modeling ist ein strukturierter Prozess, um Software und angrenzende Systeme zu analysieren und potenzielle Bedrohungen zu identifizieren. Der Ansatz ist ein idealer Ausgangspunkt, um tiefergehende Sicherheitsanalysen zu priorisieren und effektiver zu gestalten.
Wir führen Threat Modelings in interdisziplinären Teams durch, um ein System aus möglichst vielen unterschiedlichen Perspektiven zu bewerten. Dabei arbeiten wir nach dem Prinzip „Think like a Hacker“, sodass Sie ein umfassendes und realistisches Bild Ihrer Sicherheitslage gewinnen.
Jede Software ist anfällig für Bugs und Sicherheitslücken. Nach der Installation ist die Zahl möglicher Einfallstore für Cyberkriminelle meist noch gering, in der Regel nimmt sie aber im Laufe der Zeit zu, selbst wenn die Anwendung nicht verändert wird.
Beim Vulnerability Scanning werden solche Schwachstellen gesucht und gemeldet. Die Prüfung erfolgt im Idealfall automatisiert und bereits während der Entwicklung. Auf diese Weise können Probleme bereits vor dem Produktiveinsatz behoben und Produktivitätseinbußen vermieden werden.
Attack Surface Management ist ein proaktiver Ansatz, der die Angriffsflächen eines Systems oder einer Anwendung minimiert. Dabei werden zunächst potenzielle Angriffspunkte identifiziert, auf ihr Gefährdungspotenzial bewertet und Schutzmaßnahmen ergriffen. Anschließend werden Technologien und Sicherheitsrichtlinien in regelmäßigen Intervallen überprüft, um das Sicherheitsniveau zu halten.
Für IT-Verantwortliche ist es meist schwierig, einen vollständigen Überblick über externe Angriffsflächen zu gewinnen. Mithilfe unserer Expertise und geeigneten Tools liefern wir eine objektive Risikoeinschätzung und installieren ein Monitoring-System, das Administratoren sofort informiert, sollten neue Sicherheitsschwachstellen auftreten.
Viele Risiken ergeben sich aus dem Code einzelner Anwendungen und lassen sich bei gründlicher Code-Analyse leicht erkennen, ehe Schaden entstanden ist. Wir führen Code Reviews sowohl im Entwicklungsprozess als auch im Produktivbetrieb durch. Dabei greifen wir, je nach Einsatzgebiet, auf unterschiedliche Methoden zurück.
Secure Code Analysis:
Wir setzen statische Analysen zusammen mit Dependency-Analysen ein, um Schwachstellen einer Software zu identifizieren, zu beheben und damit das Risiko von Exploits und Angriffen drastisch zu minimieren.
Datenflussanalysen:
Wir simulieren, das Eindringen von Angriffsvektoren in Ihre Software und prüfen, ob die Software diese Angriffe erkennt und unschädlich macht, bevor sie Schaden anrichten.
Am besten finden Sie Schwachstellen in Software bereits während der Entwicklung und folgen dem sogenannten Secure Software Development Lifecycle. Diese Prüfung auf Risiken wird dabei automatisiert, optimalerweise schon in der Build Pipeline durchgeführt.
Wir unterstützen Sie bei der Planung und Konzeption eines SSDL und begleiten Ihr Team bei der erfolgreichen Umsetzung – von der Entwicklung eines Rollen- und Berechtigungskonzepts über die Ausarbeitung einer Sicherheitsarchitektur bis zum Testing und Qualitätsmanagement.
Angriff ist die beste Verteidigung! Um die Sicherheit Ihrer IT-Systemen einzuschätzen, nehmen wir die Perspektive des Angreifers ein. Denn nur wer die Schwachstellen kennt, kann sie auch verteidigen. Das Mittel der Wahl hierfür sind Penetrationstests, kurz Pen-Tests.
Bei Penetration Tests versucht ein autorisierter Sicherheitsexperte in einem strukturierten Prozess, Schwachstellen in einem System zu identifizieren, diese auszunutzen und zu dokumentieren. Er simuliert reale Angriffsszenarien, um die Sicherheitsmaßnahmen eines Unternehmens auf die Probe zu stellen. Unsere Cybersecurity-Experten arbeiten dabei mit den gleichen Techniken und Tools, die auch Hacker verwenden, damit Sie eine realistisches Bild Ihrer IT-Sicherheitslage erhalten.
Wir organisieren Pen-Tests in der Regel in fünf Phasen.
Nach Abschluss des Penetrationstests erstellen wir einen detaillierten Bericht. Sie erhalten eine Zusammenfassung der ausgeführten Tests, identifizierter Schwachstellen und deren potenzieller Auswirkungen. Außerdem zeigen wir Ihnen auf, wie Sie die Schwachstellen abmildern oder ganz beseitigen können, um ein hohes Sicherheitsniveau zu erreichen.
Ein simulierter Hackerangriff, der Ihre IT-Sicherheit maximal herausfordert: Das Red Team Assessment ist eine Erweiterung des Pen-Tests und stellt Ihre Sicherheitssysteme und -maßnahmen unternehmensweit auf die Probe.
Für Unternehmen der kritischen Infrastruktur, hochregulierte Branchen und besonders schutzwürdige Ziele in Unternehmen jeder Branche ist das Red Team Assessment der Sicherheitscheck der Wahl.
Unser Red Team schlüpft in die Rolle von potenziellen Angreifern, um sowohl Ihre technischen als auch menschlichen Verteidigungsmaßnahmen auf die Probe zu stellen. Wir nutzen modernste Methoden, um zu versuchen, die Sicherheits- und Verteidigungsmaßnahmen Ihrer Organisation zu umgehen. Ihre Mitarbeiter bilden ein Blue Team, das versucht, den Angriff abzuwehren bzw. den Schaden gering zu halten. Auf diese Weise werden nicht nur die technischen Detektions- und Abwehrmaßnahmen auf ihre Effektivität geprüft. Sie sehen auch, ob Ihre Mitarbeitenden Notfallpläne wie geplant aktivieren und ausführen.
Das Red Team Assessment ist wesentlich umfangreicher, intensiver und dynamischer als ein Pen-Test, der nach einem standardisierten Kriterienkatalog prüft. Lassen Sie sich beraten, ob eine Investition in ein Red Team Szenario für Ihre Unternehmenssituation angeraten ist.
Wenn Sie mehr über unsere Methoden und Vorgehensweise erfahren möchten oder sich für eine Analyse interessieren, die wir hier nicht vorgestellt haben, kontaktieren Sie uns. Wir stehen Ihnen gerne Rede und Antwort und beraten Sie zu sinnvollen nächsten Schritten.
*Pflichtangaben
