IT-Sicherheitsprüfungen

Security & Vulnerability Assessments

Das Ziel unserer IT-Sicherheitsüberprüfungen besteht darin, im Rahmen des zur Verfügung stehenden Prüfzeitraums möglichst viele sicherheitsrelevante Schwachstellen innerhalb des Prüfobjekts aufzudecken. Je mehr Informationen im Vorfeld über das Prüfobjekt bereitgestellt werden, desto aussagekräftiger sind üblicherweise die erzielten Ergebnisse. In Abhängigkeit von der gewünschten Detailtiefe und den zur Verfügung gestellten Informationen (Black-Box-, Grey-Box- oder White-Box-Ansatz) kombinieren wir im Rahmen unserer IT-Sicherheitsüberprüfungen in der Regel verschiedene Prüftechniken. Durch diese Vorgehensweise werden neben einer möglichst umfassenden Testabdeckung ebenfalls die Qualität unserer Ergebnisse sowie eine effiziente Durchführung sichergestellt.

Exemplarische Prüfobjekte

  • Webapplikationen
  • Mobile Apps
  • Desktop- und Server-Anwendungen
  • Netzwerkumgebungen
  • IT-Sicherheitslösungen

Exemplarische Prüftechniken

  • Manuelle und halbautomatisierte Prüfungen in direkter
    Interaktion mit dem Prüfobjekt (Fault Injection).
  • Quellcodeprüfungen (Source Code Review)
  • Binary-Analyse (Reverse Engineering)
  • Design- und Konzeptreviews

Fallbeispiele

  • Sie sind verantwortlich für eine über das Internet erreichbare Webapplikation und wollen sicherstellen, dass diese keine gravierenden Sicherheitslücken beinhaltet?
  • Sie sind verantwortlich für eine Apple iOS App und wollen noch vor deren Veröffentlichung im App Store bzw. vor der Bereitstellung innerhalb Ihres Unternehmens sicherstellen, dass weder die App noch das eventuell vorhandene Backend gravierende Sicherheitslücken beinhaltet?
  • Sie planen in Ihrem Unternehmen die Softwarelösung eines Drittherstellers einzusetzen und möchten zuvor eine unabhängige Sicherheitsbewertung dieses Produkts vornehmen lassen?
  • Sie möchten eine Inventarisierung Ihrer tatsächlich über das Internet erreichbaren Systeme und Dienste erstellen und diese darüber hinaus nach Schwachstellen untersuchen lassen?
  • Sie sind Hersteller einer Softwarelösung bzw. einer IT-Sicherheitslösung und möchten diese durch ein unabhängiges Unternehmen hinsichtlich sicherheitsrelevanter Schwachstellen prüfen lassen?

Dokumentation der Ergebnisse

Unsere Abschlussberichte enthalten stets ein Management Summary, eine tabellarische Übersicht über die identifizierten Schwachstellen und Risiken, sowie eine detaillierte technische Beschreibung jedes einzelnen Sicherheitsproblems. Darüber hinaus werden Handlungsempfehlungen zur Behebung der identifizierten Schwachstellen gegeben.

Zur Bewertung der einzelnen Schwachstellen und zur Ermittlung des jeweiligen Risikos setzen wir das von Microsoft entwickelte DREAD-Modell ein. Dieses international anerkannte Verfahren garantiert eine nachvollziehbare Bewertung sowie eine Vergleichbarkeit der Ergebnisse.

Kontakt

Sie haben Interesse an weiteren Informationen oder an einem individuellen Angebot?

Treten Sie mit uns in Kontakt. Wir freuen uns auf Ihre Anfrage!
Kontakt