Klarheit über den Stand der Informationssicherheit

PROFI Security Checks

Klarheit über den Stand der Informationssicherheit

Beschreibung

Die Security Checks der PROFI AG bieten die Möglichkeit, verschiedenste Aspekte der IT-Security zu analysieren, zu dokumentieren und zielgerichtete Aktionen daraus abzuleiten und zu priorisieren. Die Bandbreite der untersuchten Themenfelder reicht dabei von externen und internen Schwachstellen an Servern und Webanwendungen über Datenverkehrs-Analysen bis hin zur übergreifenden Analyse der gesamten Security-Infrastruktur und -Organisation.

Die Aufgabenstellung

In fast allen Unternehmen ist das Bewusstsein für die Wichtigkeit von Datenschutz und Datensicherheit deutlich geschärft worden, nicht zuletzt durch das regelmäßige Bekanntwerden von Sicherheitsvorfällen in Industrie, Wirtschaft und bei öffentlichen Institutionen. Üblicherweise sind die technischen Grundlagen der IT-Security auch bereits vorhanden, trotzdem bleiben Fragen, denen sich Sicherheitsverantwortliche im Unternehmen dennoch stellen müssen:

  • Passen die Sicherheitsmaßnahmen zu meinem Unternehmen? Genügen sie für unseren Schutzbedarf?
  • Gibt es Verbesserungsmöglichkeiten in der Organisation der Informationssicherheit?
  • Welche Angriffsfläche bieten meine Systeme, zum Beispiel durch veraltete Konfigurationen und Softwarestände?
  • In welchen Themenfeldern besteht der dringendste Handlungsbedarf, und wo sind wir schon ausreichend gut aufgestellt?

Die Lösung

Die PROFI AG bietet die Durchführung von Security Checks an, die mit Blick auf die wesentlichen und aktuellen Bedrohungsszenarien konzipiert wurden. Die Ergebnisse dieser Checks versetzen unsere Kunden in die Lage, Klarheit über den aktuellen Stand der Informationssicherheit im Unternehmen zu erlangen, bereits präventiv bestehende Lücken zu schließen und die Entscheidungsgrundlage für strategische Investitionen in die Informationssicherheit zu verbessern:

  • Network Vulnerability Scan: Aufdecken fehlerhafter Policies, veralteter Dienste, ‘vergessener Server‘ an externen und internen Systemen
  • Web Application Security Scan: Finden von Schwachstellen wie SQL-Injections, XSS usw. in Web-Anwendungen und Apps, als Blackbox oder Sourcecode-Analyse
  • Network Security Checkup: Scannt den tatsächlichen Internet-Traffic, findet Angriffe, Botnetze, besuchte URL-Kategorien etc. und zeigt so Verbesserungspotenzial in Firewall, Proxy und IPS auf.
  • Penetration Test: Manuelle Versuche der System-Kompromittierung durch einen erfahrenen Penetration Tester, optional mit realitätsnahem Social Engineering
  • SAP Security: Überprüfung von Custom ABAP Code auf Schwachstellen und Optimierungspotenzial; Aufdecken von Fehlkonfigurationen.
  • VdS 3473 Check: Analyse des Informationssicherheits-Niveaus in Bezug auf eine mögliche Zertifizierung gemäß ISMS Standard VdS 3473.
Allen Checks liegen erprobte Strukturen und Vorgehensweisen zugrunde, die auf die jeweilige Kundensituation und den individuellen Bedarf angepasst und kombiniert werden können.

Ihr Nutzen

  • Gewinnen Sie die Kontrolle zurück - Sichern Sie Ihre Anwen dungen und Apps gegen Eindringlinge ab und schützen Sie Ihr vielleicht wichtigstes Gut: Ihre Daten.
  • Sichern Sie sich die Möglichkeit zu agieren statt zu reagieren – Erhalten Sie einen Überblick über den aktuellen Stand der Informationssicherheit in Ihrem Unternehmen und schließen Sie Lücken, bevor Sie von Angreifern genutzt werden können.
  • Erreichen Sie auch im komplexen Security-Umfeld die Möglichkeit, zielgerichtet statt ereignisgetrieben zu handeln – Treffen Sie die richtigen Entscheidungen bezüglich zukünftiger Investitionen in die Informationssicherheit auf Basis fundierter und umfassender Informationen.

Referenzen (Auszug)

Öffentliche Institution, ca. 350 Mitarbeiter:

Durch einen externen Scan wurden kritische Lücken in der externen Firewall festgestellt. Die weitere Analyse zeigte, dass ein DMZ Server bereits kompromittiert war und die Fernsteuerung noch aktiv genutzt wurde. Nach dem Abstellen dieser als Sofort-Reaktion wurde ein neues Perimeter-Design gemeinsam geplant und umgesetzt.

Produzierendes Unternehmen aus der Automatisierungsbranche, ca. 4.500 Mitarbeiter:

Im Rahmen des IT Risk Compact Checks konnte dem Management ein Überblick über den Reifegrad der Informationssicherheit gegeben werden. Auf Basis dieser Informationen und Empfehlungen wurden Entscheidungen über kurz-, mittel- und langfristige Investitionen und Aktionen getroffen.

Unternehmen aus der Branche Befestigungs- und Montagetechnik, ca. 2.600 Mitarbeiter:

Im Rahmen der Perimeter-Analyse wird ein fast vergessener Server zur Bewerbung über Webformulare als kritische Schwachstelle ermittelt. Kompromittierung des Servers wäre trivial gewesen und hätte das Eindringen in die gesamte DMZ bedeutet. Durch die Einführung turnusmäßiger Systemprüfungen wird dies künftig wirksam unterbunden.

Preisbeispiele

  • Network Vulnerability Scan auf 16 externe IP-Adressen, mit Aufarbeitung der Funde
    • Ergebnis: Priorisierung und Handlungsempfehlung im Ergebnisdokument: EUR 2.500,-
  • Web Application Scan als Blackbox-Scan auf OWASP Anfälligkeiten, Webanwendung mit Login-Bereich und Datenbankanbindung
    • Ergebnis: Darstellung von Schwachstellen innerhalb der Anwendungen mit Handlunsgempfehlungen im Ergebnisdokument: EUR 6.600,-
  • Network Security Checkup als Mirrored Network Device am WAN; Analyse-Zeitraum 2 Wochen, einschließlich Vor- und Nachbesprechung
    • Ergebnis: Analyse-Ergebnis mit Auswertung des realen Traffics in Bezug auf Malware, Botnetze, IPS- Events und Top-Talkers EUR 2.500,-
  • VdS 3473 Check mit Dokumentensichtung, 2-3 Analyse-Tagen vor Ort, Interviews
    • Ergebnis: Berichterstellung und Abschlusspräsentation EUR 12.000,-

Gerne erstellen wir Ihnen auch ein individuelles Angebot unter Berücksichtigung Ihrer konkreten Ausgangssituation.

Andreas Rühl
Consultant
a.ruehl@profi-ag.de