Deutsch
English
Français
AktuellesPrüfung
Penetrationstests & Audits
Die Prüfung von IT-Sicherheit zählt zu den Kernkompetenzen von ERNW. Viele unserer Kunden lassen Ihre IT-Infrastruktur und (Web-) Applikationen regelmässig auf Schwachstellen hin überprüfen; dies kann auf technischer Ebene in Form von Penetrationstests geschehen oder in Form von Audits, in denen wir die Compliance Ihrer IT-Sicherheit gegenüber den Best Practices gemäss ISO17799/ISO27001 und/oder den bei Ihnen geltenden Sicherheitsrichtlinen überprüfen. Die von uns übergebenen Berichte versetzten Sie in die Lage, die mit den gefundenen Schwachstellen verbundenen Risiken realistisch zu bewerten. Unsere Massnahmenempfehlungen helfen Ihnen bei der priorisierten Beseitigung der gefundenen Schwachstellen und unterstützen Sie dabei, Ihre Unternehmenswerte zu sichern.
Penetrationstests
„Ein Penetrations-Test ist der zielgerichtete Versuch, mit den Mitteln eines Angreifers und innerhalb einer gegebenen Zeitspanne Lücken in der IT-Sicherheit aufzudecken.“
So lautet unsere eigene, innerhalb eines Fachvortrags gegebene Definition von Penetrations-Tests (kurz: Pen-Tests). Professionelle IT-Sicherheitsarbeit umfasst neben der Bestimmung von Sicherheitszielen und der Implementierung von Maßnahmen immer auch die regelmäßige Kontrolle dieser Maßnahmen. Dabei sind Penetrations-Tests ein wichtiges Werkzeug.
Bei regelmässiger Durchführung von Pen-Tests erhalten Sie einen dauerhaften Überblick über die Sicherheit Ihrer Systeme und können unsichere Implementierungen neuer Systeme schnell entdecken. Natürlich behandeln wir alle erlangten Kenntnisse und die Ergebnisse der Tests vertraulich und entfernen nach dem Test alle Hinterlassenschaften wie Tools, Logfiles oder durch Sniffing gesammelte Daten.
Funktions-Störungen der angegriffenen Systeme können während der Angriffe nicht ausgeschlossen werden, wir führen die Tests aber nach Absprache gerne ausserhalb der üblichen Arbeitszeiten (etwa am Wochenende) durch.
unsere Pen-Test Methodik
Leistungsumfang Pen-Test
optionale Pen-Test Module
Security Audits
Erläuterung unserer Prüfmethodik
Die Rechner werden immer lesend am System selbst geprüft [d.h. ohne Konfigurationsänderungen] und verschiedenen Scans und dedizierten Angriffen „von außen“ [d.h. vom Internet aus bei der externen Penetration, vom LAN aus bei der internen Penetration] ausgesetzt. Diese Angriffe erfolgen mit neusten Technologien und Exploits, die zu zum Teil auch von uns selbst entwickelt wurden. Die lesenden Zugriffe können durch einen Mitarbeiter des Auftraggebers oder durch uns vorgenommen werden. Damit werden in erster Linie Konfigurationsfehler oder organisatorische Mängel aufgedeckt. Während aller Tests bemühen wir uns, die Verfügbarkeit des Netzes oder einzelner Systeme nicht zu beeinträchtigen. Eine Garantie kann hier aber nicht übernommen werden und eine Haftung der ERNW GmbH für eventuelle Ausfallzeiten oder alle sich daraus ergebenden Folgen ist explizit ausgeschlossen. Fast alle Mitarbeiter des Audit-Teams sind CISSP und/oder BS 7799 Lead Auditoren mit einem ausgeprägten Code of Ethics.