IT-Systeme sind immer häufiger Angriffen ausgesetzt – ob über das Netzwerk, via Social Engineering oder mittels direktem physikalischem Zugriff, die Liste der Angriffsmöglichkeiten wird immer länger. Eine ähnliche Entwicklung zeichnet sich auch bei der Operational Technology (OT) oder ICS/IACS (Industrial Automation and Control Systems) ab, also den Systemen die technische und physikalische Prozesse steuern (beispielsweise SPSen, DCS oder SCADA-Systeme). Um die Risiken für die eigene Infrastruktur zu kennen und objektiv bewerten zu können, werden bei einem Security Assessment vorhandene Schwachstellen und Sicherheitsprobleme ermittelt und bewertet.
Wichtige Voraussetzung für die Durchführung eines Assessment ist die Definition der Zielsetzung, des Scopes und des Fokus. Auf Basis unserer langjährigen Erfahrung legen wir gemeinsam mit Ihnen diese Aspekte vorab fest, um mit optimalem Ressourceneinsatz das beste Ergebnis zu erzielen.
Je nach geplanten Zielen und gewünschter Tiefe können wir verschiedene Verfahren zur Überprüfung technischer und organisatorischer Sicherheitsaspekte anbieten.
Technische Security-Assessments von Systemen und Anwendungen
Gemeinsam mit organisatorischen Maßnahmen ist die technische Absicherung von IT-Systemen die wesentliche Grundlage jeder Sicherheitsarchitektur. Leider sind viele Systeme heute nicht “von Haus aus” sicher, sondern bieten viele Funktionen und flexible Konfigurationsmöglichkeiten – und genau in dieser Konfiguration liegt dann oft der Unterschied zwischen einem sicheren IT-System und einem, bei dem Angreifer mit einfachen Mitteln ihre Ziele erreichen können. In einem technisches Security Assessment werden die relevanten Sicherheitseinstellungen eines Systems untersucht und bewertet, und Schwachstellen und Verbesserungsmöglichkeiten aufgezeigt.
Auf Basis langjähriger Expertise und ständiger Weiterbildung können wir Sie mit Security-Assessments unter anderem in folgenden Bereichen unterstützen:
- Windows-Systeme – Prüfung von Sicherheitsmechanismen und Härtungsmaßnahmen beispielsweise bei Servern, Office-Clients, Mobilen Geräten, Engineering Workstations, Visualisierungssystemen/HMIs, Kiosk-Systemen, etc.
- Linux-Systeme – Prüfung von Sicherheitsmechanismen und Härtungsmaßnahmen beispielsweise bei Server, Clients, Embedded-Systemen, Kiosk-Systemen, etc.
- Mobile Geräte – Prüfung von Sicherheitsmechanismen und Härtungsmaßnahmen beispielsweise bei Smartphones, Tablets, Notebooks, Special Purpose Devices, etc.
- OT / IoT Geräte – Prüfung der Angriffsfläche und der Sicherheitsmechanismen von SPSen, Netzwerkgeräten, IoT Geräten/Komponenten, etc.
- Active Directory Security Assessment – Prüfung der Sicherheitseinstellungen und Konfiguration von Microsoft Active Directory Umgebungen, inkl. Prüfung von Berechtigungen, Authentifizierungsmechanismen, Konfigurationseinstellungen, etc.
- Anwendungen – Begutachtung und Bewertung von Sicherheitsaspekten einer Anwendung, z.B. hinsichtlich Datenschutzanforderungen, Geheimhaltung/Know-How Schutz, Nutzungskontrolle/Lizenzierung, Angriffssicherheit, etc.
Security Audits
Bei einem Security-Audit steht der Nachweis der Erfüllung bestimmter Anforderungen aus Normen oder Standards im Vordergrund. Je nach Kundenwunsch können wir bei der Vorbereitung unterstützen oder GAP-Analysen oder auch Audits durchführen. Für Zertifizierungsaudits arbeiten wir (wo erforderlich) mit akkreditierten Zertifizierungsstellen zusammen. Unter anderem bei den folgenden gängigen Standards können wir unterstützen:
- ISO/IEC 27001 – Informationssicherheits-Managementsysteme
- ISO/IEC 27018 – Schutz personenbezogener Daten in öffentlichen Cloud-Diensten
- ISO/IEC 27701 – Erweiterung zu ISO 27001 für Datenschutz-Management
- IEC 62443-2-1 – Security program requirements for IACS asset owners
- IEC 62443-2-4 – Security program requirements for IACS service providers
- IEC 62443-3-2 – Security risk assessment for system design
- IEC 62443-3-3 – System security requirements and security levels
- IEC 62443-4-1 – Secure product development lifecycle requirements
- IEC 62443-4-2 – Technical security requirements for IACS components
- ETSI 303 645 – Cyber Security for Consumer Internet of Things – Baseline Requirements
- ÖNORM A7700 – Sicherheit von Webapplikationen
Sicherheitsüberprüfungen nach NIS-G
Die B-SEC better secure KG ist Qualifizierte Stelle (QuaSte) nach NISV, und kann daher für Betreiber wesentlicher Dienste die gemäß NIS-G/NISV vorgeschriebenen Sicherheitsüberprüfungen durchführen.
Gutachten
Bei einem Gutachten steht die Beantwortung einer spezifischen Fragestellung durch einen sachverständigen Gutachter im Vordergrund. Hier unterstützen wir Sie gerne bei Fragestellungen im Themenbereich IT, OT und IoT Security. DI Thomas Bleier, MSc ist allgemein beeideter, gerichtlich zertifizierter Sachverständiger in diesem Fachgebiet.
Penetrationstests
Das Ziel eines Penetrationstest ist der Nachweis von Schwachstellen und Verwundbarkeiten in Systemen bzw. bei Organisationen. Je nach Anforderung können wir in folgenden Bereichen Penetrationstests durchführen:
- Network Penetration Testing – IT/OT Systeme und Netzwerke
- Web Application Pentesting – Webapplikationen und Webinterfaces
- Security-Analyse von IoT Systemen – Analyse von Verwundbarkeiten und Bedrohungen für IoT Architekturen / Geräte / Systeme
- Social Engineering – Prüfung der Wirksamkeit von Awarenessmaßnahmen
- Physikalische Penetrationstests – Prüfung der physikalischen Sicherheitsmaßnahmen wie Zutrittsmechanismen, etc.
- Red Team Assessment – Ganzheitliche Überprüfung von Organisationen auf Verwundbarkeiten
- Vulnerability Assessment – Einfache Überprüfung von Systemen auf bekannte technische Schwachstellen
Kontaktieren Sie uns zu Ihrem spezifisches Thema, dass gestestet werden sollte: Anfrage