"Penetrationtesting? Ja, aber als professionelles Maßnahmenpaket!"
ID: 1367255
Kommentar: zehn Punkte für mehr IT-Sicherheit
Patrick Jung, Leiter Professional Services bei secion(firmenpresse) - Bei der Konzeption einer nachhaltigen IT-Sicherheitsstrategie sind Penetrationstests ein wichtiger Bestandteil, um zu gewährleisten, dass Schwachstellen in der IT-Infrastruktur entdeckt werden, bevor Angreifer dies tun. Damit ein umfassender, individualisierter Penetrationstest sowohl für den Kunden als auch für den Tester nachhaltig erfolgreich ist, empfehlen wir von secion zehn essentielle Verhaltens- bzw. Maßnahmenregeln. In der Konsequenz wird Penetrationtesting zum Bestandteil eines erweiterten Maßnahmenpakets.
Ein Kommentar von Patrick Jung, Leiter Professional Services bei secion
Erst kürzlich haben neue Bedrohungen wie die schnelle Verbreitung des Erpressungstrojaners Locky gezeigt, dass ausschließlich passive und punktuell durchgeführte Schutzmaßnahmen längst nicht mehr ausreichen, um die IT-Infrastruktur von Firmen und Organisationen dauerhaft zu schützen. Die Problematik: IT-Sicherheitsüberprüfungen wie Penetrationstests finden in der Regel nur unregelmäßig statt. Der Zeitraum zwischen den einzelnen Audits ist zu lang, um neue Angriffe auszuschließen. Die zentrale Frage lautet daher: Wie kann sich ein Unternehmen heutzutage bestmöglich und nachhaltig absichern? Um in der heutigen IT-Systemlandschaft sicher zu sein, müssen Schwachstellen fortlaufend, proaktiv und automatisiert geprüft werden. Daher empfehlen wir unseren Kunden, den Penetrationstest als Basis eines erweiterten Maßnahmenpakets einzusetzen.
Um dieses Maßnahmenpaket zu vervollständigen, bieten sich 24/7-Schwachstellen-analysen als ressourcenschonendes Security-as-a-Service-Modell an. Eine entsprechende Lösung sollte zudem automatisch individualisierte Reports generieren sowie Handlungsempfehlungen konkret und priorisiert benennen. Zu empfehlen ist darüber hinaus ein separater Report für die Geschäftsführung bzw. das Management, der weniger in die technische Tiefe geht, sondern einen umfassenden Überblick über die derzeitige Sicherheitslage der IT-Infrastruktur gibt.
Generell gilt es, bei der Planung bzw. Durchführung eines Penetrationstests folgende Punkte zu beachten, um die Erwartungen des Kunden mit einem effizienten Ergebnis zufriedenzustellen oder gar zu übertreffen:
1. Enge Zusammenarbeit zwischen Kunden und Dienstleister: Informationen müssen schnell, am besten telefonisch, ausgetauscht werden, da die Reaktionszeit so gering wie möglich gehalten werden muss (bspw. bei der Identifizierung kritischer Schwachstellen). Benennen Sie feste Ansprechpartner auf beiden Seiten und nutzen Sie den kurzen Dienstweg.
2. Definieren Sie die Ziele des Audits! Auf welche Fragen möchten Sie eine Antwort erhalten? Werden beispielsweise bestimmte Compliance-Vorgaben eingehalten? Funktioniert das Patch-Management? Wie regelmäßig werden Server gewartet? Und nicht zu vergessen: Welche Zielgruppe wird den Audit-Bericht erhalten?
3. Nutzen Sie zweistufige Pen-Tests (Blackbox + Whitebox bzw. Greybox), um die realen Bedrohungen mit Ihrer Wahrnehmung abzugleichen. So ist feststellbar, ob ein Angreifer ein bestimmtes Ziel fokussiert. Nutzen Sie auch Tests mit Zugangsdaten, um die Gefahren und Möglichkeiten eines internen Angreifers einschätzen zu können.
4. Definieren Sie Handlungsgrenzen: Darf eine Schwachstelle ausgenutzt oder soll sie nur theoretisch bewertet werden? Geben Sie konkrete Zeitrahmen für die aktiven Tests vor, damit gewährleistet ist, dass die betreffenden Fachabteilungen bzw. Ressourcen effizient besetzt bzw. eingeplant sind. secion empfiehlt, grundsätzlich eine moderate "Angriffsstärke" zu wählen.
5. Informationen über kritische Schwachstellen, die durch einen Penetrationstest aufgedeckt wurden, müssen sofort an den Kunden weitergegeben werden. Nur so kann gewährleistet werden, dass sie ohne Verzögerung behoben werden.
6. Besprechen Sie Pen-Tests auch mit Ihren Dienstleistern und lassen Sie auch deren Infrastruktur prüfen. Häufig bezahlen Sie für bestimmte Sicherheitsdienstleistungen. So können Sie prüfen, ob diese richtig umgesetzt und wirksam sind.
7. Bereits gemeldete und beseitigte Schwachstellen sollten im Audit-Bericht entsprechend deklariert sein. Nur so kann das Management die Dringlichkeit der zu treffenden Maßnahmen einschätzen. Außerdem wird die Arbeit der IT-Verantwortlichen positiv hervorgehoben.
8. Nutzen Sie die Ergebnispräsentation vor Ort, damit sowohl das Management als auch die Administratoren ihre Fragen platzieren können und ein Know-how-Transfer stattfindet.
9. Regelmäßiges Re-Audit, z.B. alle sechs Monate, zeigen, ob die beschlossenen Maßnahmen erfolgreich durchgeführt wurden oder ob Nachbesserungen erforderlich sind. Generell ist zu beachten, dass sich die Ist-Situation hinsichtlich bestehender und neuer Schwachstellen ständig ändert. Re-Audits stellen sicher, dass regelmäßig auf den gegenwärtigen Ist-Zustand reagiert wird.
10. Planen Sie genügend Vorlauf ein, da einige Dokumente zusätzlich zur
Beauftragung geprüft und unterzeichnet werden müssen (u.a. Datenschutzerklärung, Haftbarkeits- und Vertragsvereinbarungen). Hier sind i.d.R. die Rechtsabteilung und die Geschäftsleitung beteiligt, daher sollten vier Wochen vor Beginn des Audits alle Unterlagen vorliegen bzw. auf Vollständigkeit geprüft werden.
Wie die IT-Sicherheitsexperten im Bereich Next Generation Pentesting vorgehen, lesen Sie unter https://www.secion.de/pressemitteilungen/it-sicherheitsspezialist-secion-leitet-naechsten-level-von-penetrationtesting-ein.html (https://www.secion.de/pressemitteilungen/it-sicherheitsspezialist-secion-leitet-naechsten-level-von-penetrationtesting-ein.html).Weitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
Über die secion GmbH:
Gegründet im Jahr 2004, hat sich die secion GmbH als führender Spezialist für IT-Sicherheit in Deutschland etabliert. Das Unternehmen mit Sitz in Hamburg hat sich insbesondere auf Lösungen und Consulting in den Bereichen E-Mail-Security, Data Leakage Prevention, Network Security, Gateway und Endpoint Protection spezialisiert. Zudem engagiert sich secion für die Sensibilisierung in puncto IT-Sicherheit und bietet Unternehmen individuelle Security Workshops an. Spezielle Awareness-Schulungen vermitteln Mitarbeitern essenzielles Wissen rund um IT-Sicherheit. Nicht zuletzt ist secion Partner der Allianz für Cyber-Sicherheit, einer Initiative des Bundesamts für Sicherheit in der Informationstechnik (BSI). Über die Partnerschaft teilt das Unternehmen Erfahrungswerte und Analysen. Darüber hinaus bietet secion umfassende Expertise im Bereich Output Management. Dies umfasst unter anderem das Erstellen und Verwalten von Geschäftsdokumenten sowie die Anbindung und Steuerung verschiedener Druckertypen. - https://www.secion.de
Sprengel & Partner GmbH
Marius Schenkelberg
Nisterstraße 3
56472 Nisterau
ms(at)sprengel-pr.com
+49 (0)2661-912600
http://www.sprengel-pr.com
Datum: 10.06.2016 - 09:05 Uhr
Sprache: Deutsch
News-ID 1367255
Anzahl Zeichen: 5751
Kontakt-Informationen:
Ansprechpartner: Patrick Jung
Stadt:
Hamburg
Telefon: +49 (40) 389071-0
Kategorie:
Information & TK
Diese Pressemitteilung wurde bisher 704 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
""Penetrationtesting? Ja, aber als professionelles Maßnahmenpaket!""
steht unter der journalistisch-redaktionellen Verantwortung von
secion GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Die Allianz für Cyber-Sicherheit (ACS) lädt am 11. September gemeinsam mit dem IT-Sicherheitsspezialisten secion zum 24. Cyber-Sicherheits-Tag nach Hamburg ein. Die Veranstaltung findet mit freundlicher Unterstützung der Handelskammer Hamburg unter dem Motto "Lass Dir nichts anhängen! - Sic
100% Erfolgsquote: Jedes secion IT-Security Audit legt Schwachstellen offen ...
Hamburg, 02. Mai 2018 - Der Hamburger IT-Sicherheitsspezialist secion verzeichnet stark steigende Nachfragen im Bereich der IT-Security Audits. Vor allem der Anteil an Awareness-Trainings zum Schutz vor Social Engineering-Attacken ist 2017 im Vergleich zum Vorjahr um mehr als das Zehnfache gestiegen
RATINGCY: EU-DSGVO-Check für rechtskonformen Datenschutz ...
Hamburg, 06. Februar 2018 - RATINGCY, der neue Geschäftsbereich des Hamburger IT-Sicherheitsspezialisten secion, unterstützt Unternehmen bei der Umsetzung der Europäischen Datenschutz-Grundverordnung (EU-DSGVO). Mit RATINGCY bietet die secion GmbH ein valides Instrument, das Unternehmen auf ihrem
Weitere Mitteilungen von secion GmbH
Ob Konzern oder KMU: Sicherheit ist für alle ein wichtiges Thema ...
Auf der diesjährigen Security Essen zeigt Axis Communications seine neuesten Lösungen für kleine, mittlere und große Unternehmen. Denn das Prinzip von einem Sicherheitssystem für alle, egal ob es sich um einen kleinen Shop oder eine große Filiale handelt, hat ausgedient. Maßgeschneiderte Lös
Hidden Champions - für IT-Anbieter aufgespürt ...
Waghäusel, 06.06.2016 Der auf diese Branche spezialisierte Smartdata-Spezialist ama eröffnet erstmals den direkten Zugang zu den "Hidden Champions". Das ama Research-Team identifizierte in den letzten Wochen rund 1.300 Unternehmen, die entweder zu den Hidden Champions oder zu den TO
Kein Nutzen, viel Aufwand: Verpflichtende Identitätsprüfung bei Prepaid-SIM-Karten ...
Die von der Bundesregierung geplante Einführung einer verpflichtenden Identitätsprüfung beim Kauf von Prepaid-SIM-Karten führt nach Einschätzung des Digitalverbands Bitkom zu nichts ? außer zu mehr Bürokratie. ?Es ist völlig unklar, inwiefern eine verpflichtende Identitätsprüfung bei der
QRP: Agil ohne Practitioner- nur bis Ende des Jahres ...
PRINCE2 Agile ? agiler geht es nicht! PRINCE2 Agile ist die derzeit vollständigste Integration von Projektmanagement mit agilen Methoden. PRINCE2 Agile agiert als Prozessmanagementsystem, indem es eine Verknüpfung zwischen dem Projektmanagement und den zu integrierenden agilen Her
