IT-Systeme, Services und digitale Produkte sind zunehmend Angriffen über das Internet ausgesetzt. Dabei werden neben der Durchführung von automatisierten Schwachstellenscans oftmals auch gezielt Firmen oder ihre Produkte von Angreifern ins Visier genommen. Die regelmäßige Überprüfung der Sicherheit ist eine Voraussetzung für die effektive Abwehr von Cyber Attacken. Unentdeckte Schwachstellen können zur Bedrohung werden und es Angreifern ermöglichen, tief in Unternehmensnetze vorzudringen und an Kundendaten oder geistiges Eigentum zu gelangen. Ebenso besteht das Risiko, dass kritische Geschäftsprozesse manipuliert oder wichtige Services beeinträchtigt werden. Wie gut die bereits getroffenen Sicherheitsmaßnahmen wirklich sind, lässt sich objektiv nur durch eine Überprüfung von erfahrenen Sicherheitsexperten feststellen.
Aufgabe der ITCS Firma
Vorgehen bei der Umsetzung
Es wurde in einem gemeinsamen Kundenmeeting die Zielsetzung definiert. Dazu gehören die zu überprüfenden Systeme, Einschränkungen hinsichtlich der Aktivitäten und Techniken (Denial of Service, Fuzzing, SQL Injections, etc.) sowie die Menge und Art der Informationen die wir über das Ziel erhalten (Black/Grey/White Box Testing).
Nach einer Freigabe durch den Kunden (Letter of Authorization) wurden innerhalb des definierten Testzeitraums zahlreiche Techniken zur Identifikation von Sicherheitsschwachstellen angewandt und Exploits entwickelt. Abschließend wurde das Zielsystem wieder bereinigt und Reports erstellt, welche neben der allgemeinen Bewertung der identifizierten Schwachstellen auch persönliche Empfehlungen der Tester enthielt. Dadurch wurde eine realitätsnahe Bewertung erreicht, um das Risiko einer Attacke und deren Auswirkungen besser einschätzen zu können.
Kundennutzen
„Die laufende Durchführung von Penetrationstests unserer Produkte ist wesentlich, um unseren Kunden und Partnern die höchstmögliche Datensicherheit, Verfügbarkeit und Stabilität der Lösungen zu gewährleisten. Hierbei unterstützt uns BearingPoint nicht nur in der Planung – durch ein maßgeschneidertes Konzept – sondern vielmehr durch eine sehr professionelle Durchführung und Aufbereitung der Testergebnisse. Die so entdeckten Optimierungspotenziale wurden zusätzlich durch umfangreiches technisches Fachwissen untermauert und mögliche Szenarien aufgezeigt. Mit diesen Erkenntnissen können wir unsere Produkte nun noch besser absichern bzw. zukünftig noch sicherer entwickeln.“
Dr. Andreas Opelt, CMO – Member of the Executive Board, Saubermacher Dienstleistungs AG