Forensic Investigations / Leistungen / Security Audit


Security Audit - Ist Ihre IT wirklich kugelsicher?

Security Audit (Bild Copyright Vince Alongi)

Security Audit oder zu deutsch Sicherheitsaudit von lat. audit „er/sie hört/beobachtet/überprüft“ ist die systematische Erfassung des Sicherheitsniveaus in informationstechnischen Systemen und Netzen.

Zielsetzung

Zielsetzung ist es, Sicherheitsschwachstellen aller Art in Organisationen offenzulegen um entsprechende Gegenmaßnahmen ergreifen zu können.

Einsatzbereiche

  • Branchenübergreifend bei Betrieb von informationstechnischen Systemen und Netzen
  • Für Berufsgruppen, die einer besonderen Pflicht zur Verschwiegenheit unterliegen (als Nachweis der erforderlichen Sorgfalt und Schutz gegen Verfahren nach §203 STGB)
  • Als Beleg des Sicherheitsniveaus gegenüber IT-Haftpflichversicherern
  • Als flankierende Maßnahme zum Datenschutz-Audit (kein Datenschutz ohne Datensicherheit)

Methodiken, Anwendbarkeit, Produkt- und Dienstleistungsangebote

Methodiken

  • Überprüfung der physikalischen Sicherheit (Zugangskontrolle, -überwachung und protokollierung, Einbruchssicherheit etc.)
  • Erfassung der im Betrieb genutzten Methodiken und Abgleich mit 'Best Practices'
  • Erfassung der Betriebssysteme vom Netz (OS-Fingerprinting)
  • Erfassung der laufenden Dienste vom Netz (Port Scans mit verschiedenen Methoden)
  • Vulnerability Scanning mit und ohne Agenten (vom Netz oder von lokal)
  • Netzwerk Penetrationstests
  • Exploit Frameworks (vom Netz oder von lokal)
  • Password Sniffing vom Netz & Password Cracking (!)
  • Unbemerktes Einschleusen von Schadsoftware (Trojaner , Spambot , generischer Bot , Keylogger )
  • Social Engineering (!)

Anwendbarkeit

Für alle informationstechnischen Netze. Dies erfordert natürlich Ihre eindeutige Zustimmung und Freistellungsvereinbarungen, da sonst §202, §303 STGB oder sonstige anwendbar werden könnten.

Per Web wollen wir solche Dienste aufgrund rechtlicher Bedenken und wegen des vorhandenen enormen Missbrauchspotentials natürlich nicht anbieten, obwohl dies technisch leicht möglich wäre.

Produkt- und Dienstleistungsangebote

  • Software Consulting
  • Security Auditing
  • Security Management (Security-as-a-Service)
    • Passiv: Vulnerability Scanning & Management (Patch Management)
    • Aktiv: Reale Angriffe
    • Überlegt: Einschleusen von Spionagesoftware
    • Bösartig: Social Engineering
  • Andere Komponenten:
    • Physikalische Sicherheit
    • Backupstrategie
    • Physikalische & logische Zugangskontrolle, Datenschutzstrategie
    • Durchgehende Protokollierung von Zugang und Zugriff
    • Zentrales Logging und Monitoring, Real Time Auswertung
    • Schutz gegen Viren, Malware
  • Erweiterte Themen:
    • Eindringlingserkennung & Reaktionsstrategie
    • Vorhaltung revisionssicherer Daten
    • Erfüllung gesetzlicher Aufbewahrungspflichten
    • Erfüllung von Compliance-Auflagen
    • Lizenzcompliance- und optimierung
    • EndPoint Security
    • Security Awareness

Siehe auch