IT / OT / IoT Security – Audit, Assessment, Penetrationstest

IT-Systeme sind immer häufiger Angriffen ausgesetzt – ob über das Netzwerk, via Social Engineering oder mittels direktem physikalischem Zugriff, die Liste der Angriffsmöglichkeiten wird immer länger. Eine ähnliche Entwicklung zeichnet sich auch bei der Operational Technology (OT) oder ICS/IACS (Industrial Automation and Control Systems) ab, also den Systemen die technische und physikalische Prozesse steuern (beispielsweise SPSen, DCS oder SCADA-Systeme). Um die Risiken für die eigene Infrastruktur zu kennen und objektiv bewerten zu können, werden bei einem Security Assessment vorhandene Schwachstellen und Sicherheitsprobleme ermittelt und bewertet.

Wichtige Voraussetzung für die Durchführung eines Assessment ist die Definition der Zielsetzung, des Scopes und des Fokus. Auf Basis unserer langjährigen Erfahrung legen wir gemeinsam mit Ihnen diese Aspekte vorab fest, um mit optimalem Ressourceneinsatz das beste Ergebnis zu erzielen.

Je nach geplanten Zielen und gewünschter Tiefe können wir verschiedene Verfahren zur Überprüfung technischer und organisatorischer Sicherheitsaspekte anbieten.

Security Audits

Bei einem Security-Audit steht der Nachweis der Erfüllung bestimmter Anforderungen aus Normen oder Standards im Vordergrund. Je nach Kundenwunsch können wir bei der Vorbereitung unterstützen oder GAP-Analysen oder auch Audits durchführen. Für Zertifizierungsaudits arbeiten wir (wo erforderlich) mit akkreditierten Zertifizierungsstellen zusammen. Unter anderem bei den folgenden gängigen Standards können wir unterstützen:

  • ISO/IEC 27001 – Informationssicherheits-Managementsysteme
  • ISO/IEC 27018 – Schutz personenbezogener Daten in öffentlichen Cloud-Diensten
  • ISO/IEC 27701 – Erweiterung zu ISO 27001 für Datenschutz-Management
  • IEC 62443-2-1 – Security program requirements for IACS asset owners
  • IEC 62443-2-4 – Security program requirements for IACS service providers
  • IEC 62443-3-2 – Security risk assessment for system design
  • IEC 62443-3-3 – System security requirements and security levels
  • IEC 62443-4-1 – Secure product development lifecycle requirements
  • IEC 62443-4-2 – Technical security requirements for IACS components
  • ETSI 303 645 – Cyber Security for Consumer Internet of Things – Baseline Requirements
  • ÖNORM A7700 – Sicherheit von Webapplikationen

Sicherheitsüberprüfungen nach NIS-G

Die B-SEC better secure KG ist Qualifizierte Stelle (QuaSte) nach NISV, und kann daher für Betreiber wesentlicher Dienste die gemäß NIS-G/NISV vorgeschriebenen Sicherheitsüberprüfungen durchführen.

Gutachten

Bei einem Gutachten steht die Beantwortung einer spezifischen Fragestellung durch einen sachverständigen Gutachter im Vordergrund. Hier unterstützen wir Sie gerne bei Fragestellungen im Themenbereich IT, OT und IoT Security. DI Thomas Bleier, MSc ist allgemein beeideter, gerichtlich zertifizierter Sachverständiger in diesem Fachgebiet.

Penetrationstests

Das Ziel eines Penetrationstest ist der Nachweis von Schwachstellen und Verwundbarkeiten in Systemen bzw. bei Organisationen. Je nach Anforderung können wir in folgenden Bereichen Penetrationstests durchführen:

  • Network Penetration Testing – IT/OT Systeme und Netzwerke
  • Web Application Pentesting – Webapplikationen und Webinterfaces
  • Security-Analyse von IoT Systemen – Analyse von Verwundbarkeiten und Bedrohungen für IoT Architekturen / Geräte / Systeme
  • Social Engineering – Prüfung der Wirksamkeit von Awarenessmaßnahmen
  • Physikalische Penetrationstests – Prüfung der physikalischen Sicherheitsmaßnahmen wie Zutrittsmechanismen, etc.
  • Red Team Assessment – Ganzheitliche Überprüfung von Organisationen auf Verwundbarkeiten
  • Vulnerability Assessment – Einfache Überprüfung von Systemen auf bekannte technische Schwachstellen

Kontaktieren Sie uns zu Ihrem spezifisches Thema, dass gestestet werden sollte:    Anfrage