IT-Security

IT-Security Assessment

Hacking is exploiting controls either technical, physical or human-based

Security Controls müssen auf den Prüfstand

Trotz Zunahme publizierter Cyber Attacken und schärferen gesetzlichen Auflagen gibt es immer Diskussionen ob Security Controls bedarfsgerecht sind oder nicht. Schließlich bilden umfassende Sicherheitsmaßnahmen einen nicht unerheblichen Anteil an den Kosten beim Hosting von Webanwendungen.

Insbesondere sehr effektive Security Controls wie Web Applikation Firewalls erfordern ein hohes Maß an Know-How in der Administration und eine intensive Zusammenarbeit mit der Applikationsentwicklung, um ein Optimum an Sicherheit zu gewährleisten. Viel Unternehmen stellen diese Aufwände in Frage und argumentieren nach dem Grundsatz "über das Ziel hinausschießen ist eben so schlimm, wie nicht ans Ziel kommen."

Bewertung von IT-Security Controls

Hacker schlafen nicht und entwickeln permanent neue Techniken um aus unterschiedlichen Beweggründen Webanwendungen zu kompromittieren. Security Controls müssen sich deshalb mit der gleichen Geschwindigkeit anpassen, um dieser Bedrohung standhalten zu können. Es gilt jedoch die Kosten für turnusmäßige Überprüfungen im Rahmen zu halten. Aus diesem Grund ist das Expertenwissen spezialisierter Unternehmen erforderlich, die dieses Wissen in automatisierten und intelligenten Software Tools bereitstellen.

Security Scans und Penetration Tests

Schwachstellen Scanner, Web Application Scanner und andere Software zur Unterstützung von Penetration Tests liefern wertvolle Hinweise über die Verwundbarkeit von Infrastruktur und Applikation. Sie beschleunigen den Prozess der Analyse erheblich und helfen die Kosten der Sicherheitsüberprüfung stark zu reduzieren.

Allen Software Tools zur automatisierten Sicherheitsanalyse ist jedoch gemein, dass die Ergebnisse durch ausgebildete Fachkräfte zu überprüfen sind, um sog. False Positives zu filtern. Dies sind protokollierte Schwachstellen, die sich nach einer manuellen Prüfung als Falschmeldung herausstellen.

Ein weiter Grund für die manuelle Kontrolle ist der Umstand, dass insbesondere Schwachstellen-Scans in einem nicht invasiven Modus betrieben werden, um bei produktiven Systemen Schäden und somit Betriebsstörungen zu vermeiden. Darunter leidet die Prüftiefe und Exaktheit der Ergebnisse, weil nicht vorhergesagt werden kann, wie die Schwachstelle von einem potentiellen Angreifer ausgenutzt werden kann.

Die Eliminierung von False Positives und die Dokumentation von Ausnutzbarkeit und Bedrohungsrisiko von Schwachstellen ist Bestandteil unserer Sicherheitsreports zur Überprüfung der Security Controls von Webanwendungen.

Network Scan

System Security Audit

Network Vulnerability Assessment
Network Configuration Assessment

System Fingerprinting
Vulnerability Assessment Scanning
Software Configuration Assessment

Application Scan

Web Application Audit

Input Validation Vulnerability
SQL Injection, Cross-Site Scripting, Command Injection

Authentication Vulnerability
Dictionary Formular Attack

Security Reporting

Security Reports

Dokumentation mit Bewertung der Risiken durch Sicherheitsexperten

Code-Reviews und Ausarbeitung von Lösungsvorschlägen oder Workarounds

Frequenz von Security Scans

Vor Übergabe neu installierter Hosting Systeme an den Kunden führen wir ein System Security Audit zur initialen Bestimmung des Sicherheitsniveaus durch. Nach der Installation der Applikationssoftware und vor Go-Live empfehlen wir die Durchführung eines Web Applikation Audits um rechtzeitig Maßnahmen zur Identifikation und Behebung von Schwachstellen ergreifen zu können. Die Ergebnisse dieses Audits liefern auch Erkenntnisse, ob die Security Policy zur Webapplikation angepasst werden muss und neue Security Controls erforderlich sind.

Im Idealfall sind Web Application Audits immer dann zu wiederholen, bevor größere Änderungen in der Applikationssoftware publiziert werden. Dies ist der beste Schutz davor, dass Angreifer Schwachstellen entdecken, bevor diese im Rahmen eines zyklisch stattfindenden Security Audits auffallen und geschlossen werden.

Insbesondere wenn umfassende Vorgaben zur Informationssicherheit bei Entwicklung der Applikationssoftware definiert und ausreichende Kontrollmechanismen etabliert sind, kommen auch turnusmäßige Security-Reports in Betracht, die wir für unsere Kunden erstellen. Bei Bedarf unterstützen wir unsere Kunden bei Code-Reviews zu gefundenen Schwachstellen und entwickeln Lösungsvorschlage oder temporäre Workarounds.

Unterstützung extern durchgeführter Security Audits

Umfassende Sicherheitsleistungen sind Bestandteil unserer Managed Hosting Services. Es ist somit verständlich, dass Kunden Security Audits oder Penetration Tests durch Dritte durchführen wollen, um ein unabhängiges Gutachten zur IT-Sicherheit der Hosting Infrastruktur zu erhalten, bzw. um die Kriterien von Sicherheitszertifizierungen zu erfüllen.

Damit vom Kunden beauftragte Auditoren einen schnellen Überblick bzgl. der zu testenden Prüfobjekte erhalten, stellen wir auf Wunsch umfangreiche Unterlagen zur Verfügung. Diese enthalten Netzpläne zur Private Cloud Infrastruktur des Kunden inkl. Netzkomponenten, Kommunikationsverbindungen und IP-Adresslisten. Zudem liefern wir eine grundsätzliche Beschreibung der Härtungsmaßnahmen und ein sog. ein Status-quo-Abbild des IT-Kundensystems. Der Status Quo umfasst u.a. eine Liste der installierten Betriebssysteme, Dienste und Komponenten der Applikationssoftware inkl. Versionierung und Patch-Level.

Zudem leisten wir unseren Kunden Hilfestellung bei der abschließenden Bewertung der Ergebnisse und bei der Definition und Umsetzung von Maßnahmen, um gefundene Schwachstellen effektiv zu beseitigen.