IT Security Audits. IT Security Audits. net workers AG



Ähnliche Dokumente
SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

GPP Projekte gemeinsam zum Erfolg führen

IT-Security Portfolio

IT-Security Portfolio

statuscheck im Unternehmen

Mehr Effizienz und Wertschöpfung durch Ihre IT. Mit unseren Dienstleistungen werden Ihre Geschäftsprozesse erfolgreicher.

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen.

Mehr Sicherheit für Ihre IT.

ITIL & IT-Sicherheit. Michael Storz CN8

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung

.. für Ihre Business-Lösung

Penetration Test Zielsetzung & Methodik

IT Security Investments 2003

IT-Schwachstellenampel: Produktsicherheit auf einen Blick+

Lassen Sie uns über gute Bürokommunikation reden dafür nehmen wir uns gerne Zeit.

Schleupen.Cloud IT-Betrieb sicher, wirtschaftlich und hochverfügbar.

Informationssicherheitsmanagement

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

Datenschutz-Management

Hans-Joachim Lorenz Teamleiter Software Sales GB LE Süd

Die Vielfalt der Remote-Zugriffslösungen

WELCOME TO SPHERE SECURITY SOLUTIONS

IT-Security Herausforderung für KMU s

Netzwerkanalyse. Datenvermittlung in Netzen

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

IHRE ZIELE SIND UNSERE HERAUSFORDERUNG FÜR INDIVIDUELLE LEISTUNGEN UND PERFEKTE LÖSUNGEN!

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Wir organisieren Ihre Sicherheit

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren

it-check EGELI nutzen sie ihr gesamtes it-potenzial informatik

IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage

Infrastruktur: Vertrauen herstellen, Zertifikate finden

Spotlight 5 Gründe für die Sicherung auf NAS-Geräten

Interne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht!

pro.s.app document status check Bringen Sie mehr Transparenz in Ihre Dokumente

Grundlagen des Datenschutzes

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen.

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Dieter Brunner ISO in der betrieblichen Praxis

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg,

Wir vermitteln sicherheit

IT-Security Awareness. Schulungen. Stand: September Seite 1 von 11

Secure Mail der Sparkasse Holstein - Kundenleitfaden -

Techem Monitoring. Ihr Online-Service für Energie- und Wasserverbrauch in Immobilien.

pro.s.app document status check Bringen Sie mehr Transparenz in Ihre Dokumente

Was Sie schon immer über IPS wissen wollten, aber Ihren Hersteller nicht zu fragen wagten

5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert

Teamentwicklung und Projektmanagement

Machen Sie Ihr Zuhause fit für die

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

Digitale Zertifikate

How-to: Webserver NAT. Securepoint Security System Version 2007nx

IT-Sicherheit heute (Teil 4) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an.

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Personal- und Kundendaten Datenschutz in Werbeagenturen

Den Durchblick haben. VOLKSBANK BAD MÜNDER eg. Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert

FAQ. Häufige VoIP-Probleme

Netzwerk Management Potentielle Systemausfälle bereiten Ihnen Sorgen?

Systemlösungen für Montage und Automation

Agile Enterprise Development. Sind Sie bereit für den nächsten Schritt?

UserManual. Konfiguration SWYX PBX zur SIP Trunk Anbindung. Version: 1.0, November 2013

Vertrauen Sie auf 45 Jahre Dienstleistungsexpertise der ALBA Group. Sicherheit an erster Stelle: Schadensmanagement in Ihrem Unternehmen

Sicherheitsaspekte der kommunalen Arbeit

WSO de. <work-system-organisation im Internet> Allgemeine Information

Penetrationstest Digitale Forensik Schulungen Live-Hacking

Maintenance & Re-Zertifizierung

Bacher Integrated Management

INTERNETZUGANG WLAN-ROUTER ANLEITUNG INSTALLATION SIEMENS GIGASET

Datenschutzbeauftragte

WARENWIRT- SCHAFT UND ERP BERATUNG Mehr Sicherheit für Ihre Entscheidung

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

Pielen & Partner Managementberatung. Kurzvorstellung

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand.

IT-Sicherheit in der Energiewirtschaft

Anleitung zum Prüfen von WebDAV

SCHRITT FÜR SCHRITT ZU IHRER VERSCHLÜSSELTEN

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

Datenschutzaudit DATENSCHUTZ & DATENSICHERHEIT IM UNTERNEHMEN. sicher bedarfsgerecht gesetzeskonform

UNTERNEHMENSVORSTELLUNG. Die Riometa GmbH stellt sich vor.

Penetrationstest Intern Leistungsbeschreibung

EDI Connect goes BusinessContact V2.1

Der einfache Weg zu Sicherheit

Damit auch Sie den richtigen Weg nehmen können die 8 wichtigsten Punkte, die Sie bei der Beantragung Ihrer Krankenversicherung beachten sollten:

Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert

Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY

Die CLC-Mitarbeiterbefragung. Eine solide Datenbasis für Ihre Unternehmensentwicklung.

ISA Einrichtung einer DFUE VErbindung - von Marc Grote

HOSTED EXCHANGE 2013 IN OUTLOOK EINRICHTE N

IDV Assessment- und Migration Factory für Banken und Versicherungen

MOBILE DEVICE MANAGEMENT BERATUNG Mehr Sicherheit für Ihre Entscheidung

TEUTODATA. Managed IT-Services. Beratung Lösungen Technologien Dienstleistungen. Ein IT- Systemhaus. stellt sich vor!

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

5 Schritte zur IT-Sicherheit. Johannes Nöbauer Leiter Enterprise Services

Transkript:

net workers AG

Networkers ist eines der in Deutschland führenden Unternehmen für die Planung, den Aufbau und den Betrieb von sicheren und leistungsfähigen Applikations- und Netzwerkinfrastrukturen. Unternehmen und Organisationen bieten wir ein breites Spektrum an Services - zuverlässig, kompetent und herstellerneutral. 2

Warum IT Security? Falsche oder nicht ausreichende IT Security ist nicht nur ein existenzbedrohendes Wettbewerbsrisiko, sondern kann unter Umständen auch finanzielle wie strafrechtliche Haftungsrisiken nach sich ziehen - bis hin zur persönlichen Haftung von Vorstand oder Geschäftsführung. Insbesondere deshalb kommt es für Unternehmen und Organisationen entscheidend darauf an, geeignete und angemessene Präventivmaßnahmen zu ergreifen, um die Verfügbarkeit, Vertraulichkeit und Integrität von Daten in einem sinnvoll definierten Umfang gewährleisten zu können. 3

Vertrauen ist gut - Kontrolle ist besser: Ein heute als sicher geltendes System kann schon morgen gravierende Sicherheitslücken aufweisen. Die Praxis zeigt: IT- Systeme werden ständig komplexer. Damit steigt die Wahrscheinlichkeit, die Systeme nicht mehr bis ins Detail zu beherrschen. Immer mehr Komponenten innerhalb von IT- Infrastrukturen sind nicht ausreichend sicher konfiguriert. Das Wissen und die Möglichkeiten potentieller Angreifer wachsen stetig. Immer neue Schwachstellen werden bekannt. Attacken erfolgen in der Regel umgehend. Nachhaltige IT Security erfordert daher periodische Überprüfungen in Form von IT Security Audits. So können Sicherheitslücken gefunden und abgestellt werden, bevor andere diese ausnutzen. 4

: Ziele Das Ziel von geht über die Entdeckung von Schwachstellen und Sicherheitslücken weit hinaus. stellen eine Bestandsaufnahme des gegenwärtigen IT-Sicherheitsniveaus dar. Deshalb beschränken sich nicht isoliert auf die Aufdeckung von technisch bedingten Risiken: Sie beziehen darüber hinaus auch organisatorische, personelle und infrastrukturelle Aspekte mit ein, durch deren Betrachtung Defizite des Betriebskonzeptes erkannt werden können. Eine Bewertung der Ergebnisse kann gegen ein angestrebtes Sicherheitskonzept (z. B. BSI, ISO 17799) oder auch gegen Best Practice erfolgen. Aufrechterhaltung der IT-Sicherheit aktuelles IT-Sicherheitsniveau prüfen ggf. Maßnahmen umsetzen - Richtlinien erstellen / aktualisieren Ziel: Sicherstellung der Vertraulichkeit, Verfügbarkeit und Integrität von Daten. Risikopotentiale und Schwachstellen bewerten ggf. Maßnahmen planen 5

brauchen Methode IT Security mit Nachhaltigkeitsgarantie verlangt immer konsequent methodisches Vorgehen. Das bezieht sich sowohl auf die Herleitung und Herstellung angemessener und ausreichender IT Security (z.b. nach den Empfehlungen des BSI oder nach der ISO- Norm 17799), sowie auch auf die periodischen Überprüfungen des IT-Sicherheitszustandes. So sind die für die Überprüfung zur Verfügung stehenden Sicherheitsanalysen nicht etwa willkürlich einsetzbar: White Box Audits, Black Box Audits sowie Penetrationstests behandeln jeweils spezifische Schwerpunkte. Sie besitzen jedoch modularen Charakter, so dass sie je nach Zielsetzung der Sicherheitsüberprüfung untereinander kombiniert werden können. : Sinnvolle Kombinationen von Sicherheitsanalysen zur Überprüfung der IT Security Aufrechterhaltung der IT-Sicherheit Prüfen Ziel: Sicherstellung der Ändern Vertraulichkeit, Bewerten Verfügbarkeit und Integrität von Daten. Planen White Box Audit Komponententest Komponententest + Systemtest Komponententest + Beweisführung Systemtest Systemtest + Beweisführung komplettes Audit Black Box Audit Penetrationstest 6

White Box Audit Komponentenanalyse mit dem Ziel, Schwachstellen zu identifizieren. Die Sicherheitsanalyse erfolgt auf Grundlage spezifischer Insiderinformationen, bei der aus Sicht eines internen Revisors detaillierte Überprüfungen von Zielsystemen vorgenommen werden. Dazu zählen z.b. Analysen von Topologiedaten, Produktdaten, Konfigurationsinformationen, Prozessen, Richtlinien, Sicherheitsmaßnahmen etc. Black Box Audit Systemanalyse mit dem Ziel, Schwachstellen zu identifizieren. Die Sicherheitsanalyse erfolgt in Form einer authentischen Ausspähung mit den Mitteln eines externen Angreifers, dem keine internen Informationen (Netzpläne, Konfigurationsdaten, etc.) zur Verfügung stehen. Dabei wird das Zusammenspiel eingesetzter Schutzmaßnahmen hinsichtlich ihrer Wirkung analysiert. Penetrationstest Zielt darauf ab, die Existenz identifizierter Schwachstellen nachzuweisen. Die Sicherheitsanalyse erfolgt in Form realer und gezielter Angriffe auf ausgewählte und zuvor mit dem Auftraggeber festgelegte Ziele. 7

brauchen geeignete Werkzeuge Backdoor Programme (BackOrifice2000, Netbus,...) Browser (Konfiguration, Java, JavaScript, Active Checks, Cookies), Brute Force-Angriffe auf Passwörter Denial-of-Service Angriffe (DoS-Attacken) Protocol Spoofing Checks Web-Server-Tests (Check auf Sicherheitslücken in CGI Scripts und Web-Applikationen, Test auf Betriebssystem-Version und Bugs) Firewall Checks (Konfiguration, Denial of Service Tests) Windows NT Checks: Patches, Rechtevergabe im System, Registry-Einträge, Überprüfung von Accountinformationen, Passwörter, Dienste FTP, TFTP Checks: Anonymous FTP, FTP bugs enabled Network Device Checks (Router/ Switch) Email Checks (Check auf eingesetzte Mail- Systeme und potentielle Sicherheitsprobleme) RPC Checks, NFS Checks, NIS Checks, DNS Checks LDAP Checks Scanner analysieren z.b. folgende sicherheitskritischen Aspekte Windows Checks Zur Durchführung von sind Diagnosetools (Scanner) unverzichtbar. Sie liefern wertvolle Ergebnisse und verschaffen auch arbeitsökonomische Vorteile. Doch Vorsicht: Diagnosetools verfügen über gravierende Unterschiede, z.b. im Hinblick auf: ihre Wirkungsprinzipien ihren technischen sowie thematischen Fokus ihre Qualität der Schwachstellenidentifizierung und -analyse Zudem bieten sie definitiv keine allumfassende Lösung. Zur Durchführung effektiver IT Security Audits sind erfahrene Experten notwendig, um nicht nur sämtliche Schwachstellen aufzuspüren, sondern diese darüber hinaus auch bewerten und durch Empfehlungen geeigneter Gegenmaßnahmen effizient beseitigen zu können. 8

brauchen geeignete Werkzeuge: Beispiele Networkers setzt je nach individuellen Anforderungen und Zielen von unterschiedliche Tools und Werkzeuge nach dem "Best of Breed"-Prinzip ein. Neben Eigenentwicklungen zählen unter anderem folgende Tools und Werkzeuge zu unserem Standardportfolio: Unterstützende Tools und Werkzeuge zur Durchführung von White Box Audits Für Logfile-Auswertungen: "Log Analyzer" und "Reporting Center" von Webtrends Für Regelsatzüberprüfungen: "etrust Policy Compliance" von Computer Associates Für Richtlinienüberprüfungen von Betriebssystemen: "Hyena" (Shareware), "Intrust" / "Opalis" von Enterprise International Unterstützende Tools und Werkzeuge zur Durchführung von Black Box Audits Für Port- und Vulnerability-Scans: "Internet Security Scanner" von ISS, "NetRecon" von Symantec sowie "Nessus", "SATAN", "SAINT", "SARA", jeweils Open Source sowie "BV-Control" von BindView und "Retina" von eeye Für reine Port-Analysen: "nmap", Open Source Für Datenbank-Analysen: "Internet Database-Scanner" von ISS Für CGI-Vulnerability-Analysen: "Nikto", "Stealth", jeweils Open Source Unterstützende Tools und Werkzeuge zur Durchführung von Penetrationstests Diverse Hacker- und Angriffstools 9

brauchen Kompetenz Umfassendes Expertenwissen im gesamten Bereich der Netzwerk- und Systemtechnik ist eine der grundlegenden Voraussetzungen zur Durchführung von effektiven. Einerseits ist tiefgehendes Verständnis im Bereich der Sicherung von IT-Infrastrukturen gefordert, andererseits auch tiefgehendes Verständnis über Mittel und Wege, welche IT-Schutzmaßnahmen wie ausgeschaltet bzw. umgangen werden können. Angriff So muss etwa die gesamte Bandbreite der diversen Angriffstechniken perfekt beherrscht werden. Nur mit diesen Kenntnissen sind im Rahmen von Black Box Audits und Penetrationstests stichhaltige Ergebnisse zu erzielen, die realitätskonform und mit denen von versierten Hackern vergleichbar sind. Darüber hinaus sind detaillierte Kenntnisse z.b. in den Bereichen Betriebssysteme, Netzwerkkomponenten, Netzwerkprotokolle und Applikationen zwingend erforderlich. Nur mit diesem Know-how lassen sich Sicherheitslücken identifizieren und sachgemäß bewerten. Verteidigung Zudem ist fundiertes Expertenwissen im gesamten Bereich der IT Security unerlässlich. sind nur dann tatsächlich konstruktiv, wenn der Auditor nicht nur sämtliche IT- Sicherheitslücken identifiziert und bewertet, sondern darüber hinaus auch die exakt angemessenen und ausreichenden Lösungen empfehlen sowie wirkungsvoll umsetzen kann. 10

Virusscanning Malicious Code Blocking Content Filtering URL-Blocking Spam Prevention Public Key Infrastructure Authentifizierungen Verschlüsselungen Signaturen Zertifikate Firewalls Intrusion Detection Intrusion Prevention Virtual Private Networks Secure Remote Access Secure WLAN Secure Mobile Devices Hochverfügbare Systeme Hochverfügbare Anbindungen Sicherheitskonzepte Hochverfügbarkeitskonzepte Networkers bietet professionelle IT Security Audits sowie zuverlässige Umsetzungen von Maßnahmen Als Spezialist in den Bereichen Netzwerktechnik und Netzwerksicherheit analysiert und bewertet Networkers den aktuellen Stand Ihrer Informationssicherheit - zuverlässig, kompetent, herstellerneutral und kostengünstig. In Ihrem Hause präsentieren wir Ihnen anschließend die ermittelten Stärken und Schwächen des Sicherheitszustandes ihrer IT-Infrastruktur. Zudem erhalten Sie eine umfangreiche Dokumentation über die aufgedeckten Risikopotentiale inklusive detaillierter Bewertungen. Darüber hinaus erhalten Sie zu jeder identifizierten Sicherheitslücke Empfehlungen konkreter Maßnahmen zur Beseitigung bzw. Minimierung der daraus resultierenden Bedrohungen. Des Weiteren stehen wir Ihnen auch gerne bei der Umsetzung der Maßnahmen kompetent zur Seite. Selbstverständlich umfasst dies auch fokussierte Schulungen und Workshops für Ihre Mitarbeiter. Service Level Agreements (SLA) für einen reibungslosen Betrieb Ihrer IT-Infrastruktur runden unser Portfolio ab. White Box Audits Black Box Audits Penetrationstests Logfile Analysen Digitale Forensik Projektmanagement Schulungen / Workshops Service Level Agreements Open Source Support 11

net workers AG Networkers AG Bandstahlstraße 2 58093 Hagen fon: 0 23 31. 80 95 0 fax: 0 23 31. 80 95 499 Networkers AG email: info@networkers.de web: www.networkers.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback