ein Pentestingunternehmen, einen Test aus der Angreiferperspektive durchzuführen und so mögliche Schwachstellen aufzudecken.



Ähnliche Dokumente
Alle gehören dazu. Vorwort

Das Leitbild vom Verein WIR

Gutes Leben was ist das?

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

Das Persönliche Budget in verständlicher Sprache

Ist Fernsehen schädlich für die eigene Meinung oder fördert es unabhängig zu denken?

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Ihr Weg in die Suchmaschinen

1. Einführung. 2. Archivierung alter Datensätze

Europäischer Fonds für Regionale Entwicklung: EFRE im Bundes-Land Brandenburg vom Jahr 2014 bis für das Jahr 2020 in Leichter Sprache

Welche Bereiche gibt es auf der Internetseite vom Bundes-Aufsichtsamt für Flugsicherung?

Studieren- Erklärungen und Tipps

Ein Hinweis vorab: Mailkonfiguration am Beispiel von Thunderbird

SharePoint Demonstration

Was ist Sozial-Raum-Orientierung?

1. Was ihr in dieser Anleitung

Herzlich Willkommen beim Webinar: Was verkaufen wir eigentlich?

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

ANYWHERE Zugriff von externen Arbeitsplätzen

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Nicht über uns ohne uns

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Persönliche Zukunftsplanung mit Menschen, denen nicht zugetraut wird, dass sie für sich selbst sprechen können Von Susanne Göbel und Josef Ströbl

40-Tage-Wunder- Kurs. Umarme, was Du nicht ändern kannst.

Arbeitsblatt / Arbeitsblätter

Welches Übersetzungsbüro passt zu mir?

Ihrer Kunden, auf die vorderen Suchmaschinenplätze zu bringen. Das hatten Sie sich

B: bei mir war es ja die X, die hat schon lange probiert mich dahin zu kriegen, aber es hat eine Weile gedauert.

Anleitung zur Daten zur Datensicherung und Datenrücksicherung. Datensicherung

Versetzungsgefahr als ultimative Chance. ein vortrag für versetzungsgefährdete

Informationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:

Wichtige Forderungen für ein Bundes-Teilhabe-Gesetz

Die Post hat eine Umfrage gemacht

Patch-Management. Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011

Anmeldung und Zugang zum Webinar des Deutschen Bibliotheksverbandes e.v. (dbv)

Projektmanagement in der Spieleentwicklung

Datensicherung. Beschreibung der Datensicherung

Leichte-Sprache-Bilder

Pflegende Angehörige Online Ihre Plattform im Internet

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Platinen mit dem HP CLJ 1600 direkt bedrucken ohne Tonertransferverfahren

Adobe Photoshop. Lightroom 5 für Einsteiger Bilder verwalten und entwickeln. Sam Jost

Qualität und Verlässlichkeit Das verstehen die Deutschen unter Geschäftsmoral!

Penetrationtests: Praxisnahe IT-Sicherheit

Nicht kopieren. Der neue Report von: Stefan Ploberger. 1. Ausgabe 2003

DER SELBST-CHECK FÜR IHR PROJEKT

Damit auch Sie den richtigen Weg nehmen können die 8 wichtigsten Punkte, die Sie bei der Beantragung Ihrer Krankenversicherung beachten sollten:

WIR MACHEN SIE ZUM BEKANNTEN VERSENDER

Geld Verdienen im Internet leicht gemacht

Fotos verkleinern mit Paint

Dow Jones am im 1-min Chat

WLAN "Hack" Disclaimer:

geben. Die Wahrscheinlichkeit von 100% ist hier demnach nur der Gehen wir einmal davon aus, dass die von uns angenommenen

Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer

Protect 7 Anti-Malware Service. Dokumentation

Leit-Bild. Elbe-Werkstätten GmbH und. PIER Service & Consulting GmbH. Mit Menschen erfolgreich

Ihren Kundendienst effektiver machen

Anleitung über den Umgang mit Schildern

Internet online Update (Internet Explorer)

Speicher in der Cloud

Verpasst der Mittelstand den Zug?

COMPUTER MULTIMEDIA SERVICE

Anleitung zum DKM-Computercheck Windows Defender aktivieren

Wichtig ist die Originalsatzung. Nur was in der Originalsatzung steht, gilt. Denn nur die Originalsatzung wurde vom Gericht geprüft.

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft- Betriebssystem

ONLINE-AKADEMIE. "Diplomierter NLP Anwender für Schule und Unterricht" Ziele

Kurzanleitung fu r Clubbeauftragte zur Pflege der Mitgliederdaten im Mitgliederbereich

Die Industrie- und Handelskammer arbeitet dafür, dass Menschen überall mit machen können

Welche Gedanken wir uns für die Erstellung einer Präsentation machen, sollen Ihnen die folgende Folien zeigen.

Lizenzen auschecken. Was ist zu tun?

Einkaufen im Internet. Lektion 5 in Themen neu 3, nach Übung 10. Benutzen Sie die Homepage von:

Penetrationtests: Praxisnahe IT-Sicherheit

Berufsunfähigkeit? Da bin ich finanziell im Trockenen.

Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems

~~ Swing Trading Strategie ~~

2.1 Präsentieren wozu eigentlich?

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

INTERNETZUGANG WLAN-ROUTER ANLEITUNG FIRMWARE-UPDATE SIEMENS

Anmeldung und Zugang zum Webinar des Deutschen Bibliotheksverbandes e.v. (dbv)

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

Wir wollten schon immer ruhig schlafen. Rundum versichert mit der Kompakt-Police.

Erfahrungen mit Hartz IV- Empfängern

Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY

Ihre Informationen zum neuen Energieausweis.

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

Arbeitshilfe "Tipps für Gespräche mit Vorgesetzten und KollegInnen" Was gilt für mich?

L10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016

Welchen Weg nimmt Ihr Vermögen. Unsere Leistung zu Ihrer Privaten Vermögensplanung. Wir machen aus Zahlen Werte

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Musterdepot +134% seit Auflegung Trading Depot für alle kurzfristig orientieren Anleger

Anleitung zum ebanking KOMPLETT - Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Das große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten

Verwendung des IDS Backup Systems unter Windows 2000

Was meinen die Leute eigentlich mit: Grexit?

Alle alltäglichen Aufgaben können auch über das Frontend durchgeführt werden, das in den anderen Anleitungen erläutert wird.

Transkript:

SICHEHEIT Penetrationtests Hacken für mehr Sicherheit? Als Penetrationtests o auch kurz s bezeichnet man einen bezahlten Angriff auf ein Firmennetzwerk. Auftraggeber hierbei ist Betreiber des Netzwerks selbst. Ein Wispruch? Was bringt ein solches Vorgehen und warum machen es fast alle größeren Firmen ohne darüber zu sprechen? Dieser Beitrag beleuchtet einen oft von Mythen umgebenen Bereich. 32 06/06 IT-Sicherheit durch s Hand aufs Herz, wissen Sie, was genau ein ist? Nein? Dann stehen Sie nicht alleine da. Selbst manche Kunden, die s beauftragen, haben oft nur ungenaue Vorstellungen, wie ein funktioniert und warum gerade Attacken auf das eigene Netzwerk das Mittel Wahl sind, wenn es um IT-Sicherheit geht. Große Unternehmen lassen fast ausnahmslos s durchführen. Auf den folgenden Seiten erfahren Sie, was genau darunter zu verstehen ist. Ein ist zunächst einmal eine Sicherheitsüberprüfung in IT-Welt. Hierbei beauftragt ein Kunde ein ingunternehmen, einen Test aus Angreiferperspektive durchzuführen und so mögliche Schwachstellen aufzudecken. Angriffsziel ist normalerweise das Firmennetzwerk des Kunden, es kann aber auch ein sicherheitsrelevantes Produkt sein, wie zum Beispiel eine Software, die Kunde herstellt. Das entscheidende Merkmal dieser Defi nition ist die Angreiferperspektive. Ein guter ist immer sehr praxisnah. Es werden genau die Schwachstellen aufgedeckt, die in Praxis eine olle spielen. Dies funktioniert aber nur, wenn die Tester das Netzwerk mit den Augen eines Angreifers betrachten. Ein Beispiel aus Praxis soll dies verdeutlichen: Angriffsziel war das Unternehmensnetzwerk eines mittelständischen Unternehmens mit circa 200 Mitarbeitern und mehreren Gebäuden. Zuerst verschafften sich die Penetrationtester über verschiedene technische Möglichkeiten, etwa über Schwachstellen in Unternehmenswebseite, Zugriff auf interne Bereiche. Im zweiten Schritt konnten sie recht problemlos, aber profi tabel ein unscheinbares Netzwerkkabel auf dem Dach eines Gebäude angreifen. Dieses versorgte eine Laserstrecke, welche zur Anbindung eines zweiten Firmengebäudes diente. Dieses Kabel befand sich an Außenseite

und ein Angreifer und damit auch die er konnten sich über dieses Kabel direkt mit den internen Bereichen Firma verbinden. Somit waren dieses Kabel und die unverschlüsselten Daten, die darüber übertragen wurden, als genauso gefährdet einzustufen, wie die anen Schwachstellen, die ein Eindringen in den internen Bereich ermöglichten. Genau hier zeigt sich Wert Angreiferperspektive, die bei s eine große olle spielt: Ein echter Angreifer fi ndet solche Schwachstellen, also muss ein er diese ebenfalls fi nden. Chronologie eines s Wie läuft ein nun ab? Je beginnt noch vor Vertragsabschluss mit einem Vorgespräch, in dem abgeklärt wird, was grundsätzlich getestet werden soll und welche Testmöglichkeiten bestehen. Jedes Netzwerk ist unterschiedlich, und insofern muss zunächst ein sinnvoller Zeitrahmen für den gefunden werden. Es gibt immer eine Zeitschwelle, unter ein Test keine sinnvollen Ergebnisse bringen kann, genauso wie es eine obere Grenze gibt, ab vermutlich keine neuen relevanten Erkenntnisse aus dem Test gezogen werden können, die den Einsatz Mehrkosten rechtfertigen könnten. Das Vorgespräch dient also dazu, die Kosten und den Nutzen für den Auftraggeber noch vor eigentlichen Auftragserteilung kalkulierbar zu gestalten. Auch wenn es schwer vorstellbar erscheint: Die Praxis zeigt, dass ein erfahrener er die Zeitdauer relativ gut und genau abschätzen kann. Nach dem Vorgespräch kommt es zum Vertragsabschluss und kann beginnen. Dieser ist umrankt von Mythen, die aber nicht wirklich zutreffend sind: Ein er wird als professioneller Dienstleister niemals etwas unternehmen, was Kunde so nicht wünscht o genehmigt hat. Um auf obiges Beispiel zurückzukommen: Hier sind Mitarbeiter des Kunden mit auf das Dach gestiegen, um die Situation bereits während des Tests beurteilen zu können. Letztendlich lebt ein ingunternehmen von seinem uf und entsprechend wird kein zweifelhaftes ingunternehmen von einem größeren Unternehmen einen Auftrag erhalten. Der eigentliche Test lässt sich grob in vier Phasen einteilen, die aufeinanaufbauend immer wie durchlaufen werden: Der er kennt die Techniken Hacker econnaissance: In dieser ersten Phase werden die beauftragten er versuchen, möglichst viele relevante Informationen über den Auftraggeber und dessen Netze aus öffentlichen Quellen zu beschaffen. Oft fi nden sich bereits hierbei zahlreiche Hinweise, etwa mittels Suchmaschinen. So konnten zum Beispiel in einem Fall schon in dieser Phase komplette Log ininformationen für einen internen Datenbankserver gefunden werden, noch bevor überhaupt das betroffene Netzwerk selbst angegriffen wurde. Unmöglich, behaupten viele Firmen. Doch Fakt ist: Informationen, die einmal in Umlauf geraten sind, sind nicht mehr zu kontrollieren. er fi nden sie, echte Angreifer auch. Und gerade solche Informationen sind riskant: Die angegriffene Firma hat keine Chance einen solchen Angriff vor dem eigentlichen Zugriff auf die Datenbank festzustellen. Doch ist es dann meist schon zu spät. Enumeration: Hier wird nun direkt mit den echnern Firma kommuniziert. Eine klassische Methode ist unter anem ein Portscan, mögliche Dienste identifi ziert. Häufi g gefundene Dienste sind zum Beispiel Webserver o Mailserver, die heutzutage viele Unternehmen selbst betreiben. Zu jedem solchen Dienst wird soviel Information wie möglich beschafft. Oft sind die Server mitteilungsfreudig und informieren beispielsweise über genaue Versionsnummern und Betriebssysteme. Interessanterweise unterscheiden sich die gefundenen Informationen oft vom Vorgespräch. Gerne werden Server vergessen o sind sogar gänzlich unbekannt. Auch hier wie ein Beispiel aus Praxis: Im ahmen Enumeration wurde ein Server entdeckt, ein großes Sicherheitsrisiko für den Kunden darstellte, da er offen- 06/06 33

SICHEHEIT bar seit Jahren(!) nicht mehr auf aktuellem Stand gehalten worden war. Im Abschlussgespräch stellte sich heraus, dass niemand in Firma von diesem Server wusste und er offensichtlich von einem Administrator gepfl egt worden war, die Firma bereits fünf Jahre zuvor verlassen hatte. Exploitation: Hier geht es darum, die vermuteten Schwachstellen aktiv auszunutzen. Natürlich wird vorab entschieden, in wie weit dies für einen sinnvoll ist. So dürfte es kaum sinnvoll sein, morgens um 11 Uhr die Telefonanlage einer Firma anzugreifen. Dies kann genausogut nach ücksprache mit dem Auftraggeber am Abend passieren, ohne dass Test an Aussagekraft verliert, aber auch, ohne dass eventuell 200 Mitarbeiter ohne Telefon in ihrem Büro sitzen. Die verschiedenen Möglichkeiten des Exploitings würden den ahmen dieses Beitrags sprengen: Mit SQL-Injections, Bufferoverfl ows, Bruteforce-Angriffen sollen nur ein paar von vielen Stichwörtern genannt werden. Documentation: Sämtliche Schwachstellen werden während des Tests dokumentiert und in einem Abschlussbericht für den Kunden zusammengefasst. Dieser Abschlussbericht ist in egel durchaus umfangreich, da er die Angriffe für die Administratoren nachvollzieh- und wieholbar darstellt. Zu je Schwachstelle gibt es eine Einordnung in isikoklassen wie auch einen Lösungsvorschlag er. Neben sehr umfangreichen technischen Dokumentation wird im Managementkurzbericht auch eine kurze, konzise Zusammenfassung für Entschei gegeben, anhand die nächsten Maßnahmen einfach abgestimmt werden können. Im ahmen einer Abschlusspräsentation stellen die er dann dem Management wie auch dem technischen Personal die Ergebnisse und Lösungen vor und bieten die Möglichkeit, durch 34 06/06 econnaissance Documentation eine direkte Diskussion die Ergebnisse des s bestmöglich zu bewerten. So können innerhalb ersten Tage nach einem die meisten Sicherheitslücken bereits schnell und unkompliziert geschlossen werden. Im ahmen des s werden diese Phasen mehrfach durchlaufen. Nach jedem Schritt tiefer in das Netzwerk startet er wie von vorne, da gegebenenfalls neue Systeme erreicht werden können. Noch mehr und tiefergehende Informationen zu den Phasen eines s fi nden sich auf Homepage von edteam ing (http://www.redteam-pentesting. de/pentest.php). Aufwand und Nutzen Steht aber Nutzen eines s wirklich im Verhältnis zum Aufwand, o wäre es nicht sinnvoller, direkt in neue Hard- und Software für die IT-Sicherheit zu investieren? Wo liegt besone Nutzen dieser Investition? Das Entscheidende ist die Angreiferperspektive: Welchen Sicherheitsgewinn bringt eine neue Anschaffung, wenn es ane bis Enumeration Exploitation Die Phasen eines s greifen nahtlos ineinan über dahin unbekannte Schwachstellen im Unternehmen gibt, die jedem Angreifer selbst nach Investition noch Tür und Tor öffnen? Und genau hier liegt Wert eines s: Ein ist so praxisnah wie je Angreifer auch. Und damit fi ndet er auch genau die Schwachstellen, die ein Angreifer fi nden würde. Ein erkennt sehr schnell die relevanten Schwachstellen und dokumentiert diese ausführlich, statt einzelne Symptome zu korrigieren und den Blick für die Gesamtheit zu verlieren. Ein hilft somit unnötige Investitionen von vornherein zu vermeiden. Er dient als Entscheidungsgrundlage für weitere Schritte, ist aber nicht zwangsweise mit weiteren Investitionen verbunden. Oft lässt sich im Gegenteil mit sehr einfachen Mitteln und damit sehr schnell eine Schwachstelle beheben. Und das ist zweite, entscheidende Vorteil des s, die extrem schnelle Umsetzung und Problembehebung. Es gibt wohl keine ane Methode, in so kurzer Zeit soviel über das eigene Netzwerk zu erfahren. Während ane Maßnahmen noch tief in Planung sind, ist

bereits abgeschlossen. Mit dem Abschlussbericht erhalten die Administratoren etwas in die Hand, mit dem sie sofort nach Vorstellung die ersten Sicherheitslücken innerhalb von Minuten schließen können. Durch den Umfang Beschreibungen in einem guten Bericht werden selbst bis dahin unbekannte Schwachstellenarten für die Administratoren greifbar. Praxisrelevantes Wissen fl ießt direkt und ohne kostenintensive Schulungen in die Firma. Eine weitere grundsätzliche Motivation für s basiert auf indirekten Gründen, klassisch etwa Werbemöglichkeit mit den Ergebnissen. Gerade bei sicherheitsrelevanten Produkten sind unabhängige externe Expertentests die einzige Möglichkeit, um überzeugend die Sicherheit eines Produktes zu belegen. s für den Mittelstand? Interessanterweise hört man selbst in mittelständischen Unternehmen immer wie das Argument, man sei nicht gefährdet. Doch das ist schlicht und einfach falsch: Ein mittelständischer Unternehmer hat Jens Liebchen (edteam ing) Ein gutes ingunternehmen hat mehr als einen erfahrenen er! Verantwortung für viele Arbeitsplätze. Eine kurzfristige Auftragsfl aute, weil die Konkurrenz seltsamerweise immer das bessere Angebot machen kann, eine Kundendatenbank, die in die falschen Hände fällt, o auch ein Ausfall IT zum falschen Zeitpunkt kostet hier schnell viele Jobs. Großunternehmen können eine solche Situation über kurze Zeit kompensieren, Mittelständler oft lei nicht. Und trotzdem: Die Großen führen meist jährlich s durch - und Mittelstand? s scheinen hier noch unbekannt zu sein. Stattdessen werden gerne externe Consultants o ane Dienstleister eingeladen, die dann jeweils hier und da etwas verbessern. Lei meist ohne Blick für das Ganze. Auch hier ein Beispiel aus Praxis: Nachdem in einem Unternehmen immer wie Daten entwendet wurden, beauftragte die Geschäftsleitung eine Firma, hierfür Lösungsideen zu entwickeln. Heraus kam eine Verschlüsselungstechnik mit Chipkarten nach aktuellem Stand Technik, die für alle möglichen Einsatzszenarien genutzt werden konnte. So wurden kritische Daten mithilfe Karten verschlüsselt abgelegt, Benutzerlogin funktionierte statt mit Passwörtern nun mit den Karten. Alles hörte sich gut an, bis auffi el, dass sämtliche Daten intern per email verschickt wurden und genau hier keinerlei Verschlüsselung genutzt wurde. Manager und Geschäftsleitung müssen erkennen, dass es keine out-of-the-box Lösung für IT-Sicherheit gibt, auch wenn manche Lösungen dies vorgeben. Ein bringt Licht in das eigene Netzwerk und hilft, die richtigen Entscheidungen zu treffen. Und ganz nebenbei ist er kostengünstig und bringt oft sogar auf mittelfristige Sicht Einsparpotenzial mit sich. Gerade bei webbasierten Produkten, wie sie im Moment gerne und überall genutzt werden, sollte ein vor dem Verkauf eigentlich zum guten Ton gehören. Leicht schleichen sich Fehler ein, die intern schnell übersehen werden. Wird ein solches Produkt beim Kunden dann erfolgreich angegriffen, ist Schaden meist nicht mehr aufzufangen. echtliche Gründe Es gibt auch rechtliche Gründe, einen durchführen zu lassen. So fi nden sich an vielen Stellen Gesetzestexte Formulierungen, welche die Durchführung eines s zur Validierung Vorschriften notwendig erscheinen lassen. Das Handelsgesetzbuch (HGB) schreibt zum Beispiel in den Grundsätzen ordnungsmäßiger DVgestützter Buchführungssysteme (GoBS) ein internes Kontrollsystem (IKS) vor: Als IKS wird grundsätzlich die Gesamtheit aller aufeinan abgestimmten und miteinan verbundenen Kontrollen, Maßnahmen und egelungen bezeichnet, die die folgenden Aufgaben haben: Sicherung und Schutz des vorhandenen Vermögens und vorhandener Informationen vor Verlusten aller Art. [...] (d-nr. 4.1 GoBS). Ane Textstellen schreiben die Datensicherheit vor: Die starke Abhängig- 06/06 35

SICHEHEIT keit Unternehmung von ihren gespeicherten Informationen macht ein ausgeprägtes Datensicherheitskonzept für das Erfüllen GoBS unabdingbar. [...] (d-nr. 5.1), Diese Informationen sind gegen Verlust und gegen unberechtigte Veränung zu schützen. [...] (d-nr. 5.3) o Der Schutz Informationen gegen unberechtigte Veränungen ist durch wirksame Zugriffs- bzw. Zugangskontrollen zu gewährleisten. [...] (d-nr. 5.5.1). Weitere Stellen fi nden sich im Datenschutzgesetz. Ein vorhandenes Datensicherheitskonzept kann kaum wirkungsvoller getestet werden, als durch einen. Gute s, schlechte s Auf Suche nach einem geeigneten Dienstleister fi ndet man lei unter dem Begriff s auch immer wie Unternehmen, die zum Beispiel automatische Scans als s anbieten. Dies wird dem Begriff keinesfalls gerecht. Hinzukommt, dass viele Unternehmen IT-Branche nebenher auch s anbieten. Entsprechend wurde kürzlich auf einer Konferenz von ing als Me-Too-Business gesprochen. Wie erkenne ich also ein gutes ing-unternehmen? Ein gutes ing-unternehmen hat mehrere angestellte er und nicht nur einen ( Das ist unser IT-Security-Spezialist. ). Es führt regelmäßig s durch und ist idealerweise hierauf spezialisiert. Ansonsten besteht schnell die Gefahr, dass scheinbar günstige nur die Vorarbeit zum Verkauf aner Sicherheitsprodukte ist, welche dann die gefundenen Probleme auf magische Weise beheben können. Sehen Sie sich deshalb die Internetseiten des potentiellen Anbieters auf diese Fragen hin an. Werden s dort nur am ande erwähnt o ausführlich erläutert? Was verkauft das Unternehmen sonst noch? Auf diese Weise können Sie solche unseriösen Anbieter 36 06/06 sehr leicht ausschließen. Nach dieser Vorauswahl vereinbaren Sie ein Vorgespräch. Ein guter Dienstleister wird Ihnen dies aus den beschriebenen Gründen immer anbieten, und zwar kostenlos und ohne Vertrag. Während des Gesprächs werden Sie feststellen, ob und wieviel Erfahrung Dienstleister in dem Bereich hat. Lassen Sie sich die vier Phasen genau erläutern und gleichen Sie das Gehörte mit den hier ausgeführten Eckpunkten ab. Fragen Sie nach, wer genau den durchführt. Lassen Sie sich nicht weitervermitteln. Vorsicht ist außerdem geboten, wenn ein Anbieter einen pauschalen Festpreis für einen individuellen veranschlagt. Die Kosten eines s sind immer konkret kalkuliert, da sich jedes Netzwerk von einem anen unterscheidet. Bei einem Festpreisangebot zahlen Sie deshalb entwe wesentlich zu viel o was nach Erfahrungen in Vergangenheit von unseren Kunden oft berichtet wurde Sie erhalten einen unbrauchbaren Test, Ihnen nicht wirklich weiterhilft und nur eine Ansammlung von Ergebnissen verschiedener mehr o weniger automatisch ablaufen Skripte ist. Jens Liebchen arbeitet als Penetrationtester bei edteam ing. edteam ing ist auf die Durchführung von Penetrationtests spezialisiert. Zu den Kunden von edteam gehören zahlreiche nationale wie internationale Unternehmen. Die Größe dieser Firmen variiert über die gesamte Bandbreite von kleinen, über mittelständische bis hin zu Großunternehmen. Fazit Aktuell erkennen mehr und mehr Unternehmen das Potenzial von s. s sind das Mittel Wahl, wenn es um IT-Sicherheit geht, weil es die umfassendste, schnellste und mittelfristig kostengünstigste Methode darstellt. Die meisten großen Unternehmen haben dies längst erkannt. Im Mittelstand gibt es zur Zeit noch Nachholbedarf, auch wenn mittlerweile immer mehr Kleinunternehmen s beauftragen. Durch ein kleineres und überschaubareres Angriffsziel, sind die Kosten eines s geringer, wodurch er auch für diese Unternehmen erschwinglich wird. Natürlich führt die wachsende Nachfrage auch dazu, dass schwarze Schafe in den Markt drängen. Aber mit vorgenannter Strategie lassen sich diese leicht entlarven, sofern man nicht geblendet von einem günstigen Preis die Fakten eines s vergisst. Viele Firmen, die zum ersten Mal einen von einem professionellen ingunternehmen durchführen lassen, sind positiv überrascht, wie viele brauchbare Ergebnisse hierdurch in so kurzer Zeit entstanden sind. Auf ückfrage geben fast 100 Prozent Unternehmen an, dass sehr hilfreich war und sie auch in Zukunft planen, s durchzuführen. Jens Liebchen jens.liebchen@redteam-pentesting.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback