Für Websites und andere aus dem Internet erreichbare Anwendungen und IT-Systeme haben sich sogenannte Penetrationstest etabliert, um deren Sicherheit vor Hacker-Angriffen zu prüfen und zu verbessern. Aber auch komplexe industrielle Steuerungssysteme (Industrial Control System, kurz ICS) wie bspw. Netzleitsysteme und Prozess­steuerungssysteme oder auch intelligente Messsysteme (Smart Metering) sind häufig anfällig für derartige Angriffe. Für die Überwachung, Steuerung und Datenerfassung derartiger technischer Anlagen werden vielfach komplexe SCADA-Systeme (Supervisory Control and Data Acquisition) eingesetzt, die neben einer Vielzahl integrierter Funktionen auch diverse Schnittstellen zu anderen Systemen beinhalten. Insbesondere diese Schnittstellen bieten häufig Angriffspunkte, mit denen kriminelle Hacker sensible Informationen stehlen oder kritische Parameter verändern können.

Im Rahmen eines Penetrationstest simulieren wir einen derartigen Angriff. Unsere erfahrenen und zertifizierten Experten nutzen dabei Methoden und Werkzeuge, die auch bei realen Angriffen eingesetzt werden. Die Anforderungen komplexer IT-Infrastrukturen erfordern eine individuelle Betrachtung möglicher Sicherheitsschwachstellen. Daher definieren wir zunächst mit Ihnen gemeinsam individuelle Angriffsszenarien, die anschließend manuell und teilweise automatisiert geprüft werden.

Insbesondere bei produktiv genutzten kritischen Anwendungen und IT-Systemen agieren wir zurückhaltend und zeigen Schwachstellen auf, ohne diese tatsächlich aktiv auszunutzen. Nur so können wir sicherstellen, dass der Penetrations­test zuverlässige Ergebnisse liefert, ohne dabei Ihren Geschäftsbetrieb negativ zu beeinflussen.

 

IHRE THEMEN

  • Erkennung von sicherheitsrelevanten Schwachstellen in den kritischen IT-Systemen, industriellen Steuerungssystemen und/oder Websites Ihres Unternehmens
  • Nutzung von unternehmensübergreifender Expertise und dem „Blick von außen“
  • Erfüllung von Anforderungen aus dem  Informationssicherheits­managementsystem (ISMS) zur Durchführung von technischen Prüfungen und Penetrationstests

 

UNSERE LEISTUNGEN

  • Durchführung von Penetrationstest und nicht-invasiven Schwachstellenscans für komplexe IT-Systeme wie industrielle Steuerungssysteme, Leitsysteme im KRITIS-Bereich (ICS/OT) und Web-Anwendungen (IT)
  • Standardisiertes, modulares Vorgehensmodell
  • Berücksichtigung gängiger Standards und international etablierter Vorgehensweisen wie OWASP und Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI), ENISA etc.
  • Durchführung durch zertifizierte Experten mit langjähriger Erfahrung
  • Bereitstellung eines umfangreichen Ergebnisberichts einschließlich einer Zusammenfassung (Management Summary) und auf Wunsch eine persönliche Vorstellung der Ergebnisse

IHR ANSPRECHPARTNER