Ausgabe 1/2015 | 4. Februar 2015 | SHD . TechnologyAlle Beiträge dieser Kategorie anzeigen | Alle Beiträge anzeigen von
Jochen Dedek
| 1.054 Besucher

SHD Security Scan – wie sicher sind Sie wirklich?

Schwachstellenanalyse Ihrer IT



Datensicherheit – wer braucht das? Jeder! Der Erfolg und die Existenz eines Unternehmens sind heutzutage mehr denn je abhängig von der Sicherheit der wertvollen Daten. Verlust, Diebstahl oder Manipulation von Daten sind die wichtigsten Bedrohungen, denen sich Unternehmen derzeit ausgesetzt sehen. Wie katastrophal sich ein großangelegter Datendiebstahl auswirken kann, zeigt das jüngste Beispiel beim Medienkonzern Sony – die Medien zerpflücken genüsslich die Beute, zitieren unter anderem interne Mails zwischen Sony und verschiedenen Hollywood-Studios: „Minimal talentierte, verwöhnte Göre“ betitelt Producer Scott Rubin etwa Hollywood-Superstar Angelina Jolie im Austausch mit Sony-Managerin Amy Pascal. Der Imageschaden (und damit verbunden der wirtschaftliche) ist enorm.

Was ist das Ziel des SHD Security Scan?

Der SHD Security Scan hat immer die Ermittlung des aktuellen Sicherheitsniveaus beziehungsweise der verbleibenden Sicherheitslücken zum Ziel. Erst durch Bekanntwerden von Schwachstellen und Bedrohungen können wirksame Lösungen erarbeitet und Risiken minimiert werden. Zudem macht es Sinn, die wichtigsten Firmenwerte (Assets) regelmäßig aktiv zu überprüfen, denn durch die Sicherheitslage, die sich im ständigen Wandel befindet, verändern sich auch die Bedrohungsszenarien.

Betrachtungsweisen von Sicherheitsüberprüfungen

Bei einer Sicherheitsüberprüfung kommen verschiedene Fragen zum Zuge:

1. Vor wem/was möchte ich mich schützen?
2. Was möchte ich schützen?

Beide Fragestellungen haben unmittelbaren Einfluss auf das Vorgehen: Während eine Überprüfung zum Schutz vor einer Bedrohung die Eliminierung bekannter Schwachstellen zum Ziel hat, werden bei der Frage nach dem Was? die Systeme unabhängig von einer bestimmten Bedrohung auf ihre Sicherheit untersucht. Hierbei stehen vor allem unternehmenskritische Systeme wie ERP, CRM oder die zur Durchführung des Betriebs wichtige Infrastruktur auf dem Prüfstand, ebenso aber auch exponierte Systeme oder Clientsysteme, da von ihnen eine nicht unerhebliche Bedrohung ausgehen kann.

Die Wahl der Überprüfungsmethode richtet sich dabei jeweils nach dem Wunsch des Auftraggebers und den Eigenheiten des Projektes. Um das höchste Ziel einer nahezu absoluten Sicherheit zu erreichen, werden dabei Etappenziele definiert und mit einer zielgerichteten Vorgehensweise alle definierten Assets überprüft.

Sicherheitsüberprüfungen – technisch, organisatorisch und konzeptionell

Je größer ein Unternehmen ist, desto wichtiger wird es, nicht nur technische Aspekte sondern daneben auch organisatorische und konzeptionelle Sicherheitsüberprüfungen der IT-Umgebung durchzuführen. Damit werden auch Schwachstellen aufgedeckt, die „per Design“, also durch fehlerhafte Konzeptionen oder Organisationsformen entstehen und letztlich trotz vorhandener technischer Absicherungen zu Schaden führen können.

security-scan
Organisatorisches Audit

In diesem Audit werden die sicherheitsrelevanten Schwachstellen in der Organisation des Unternehmens beleuchtet. Dabei geht es vor allem darum, ob Definitionen (Policies) und die Prozesse des Unternehmens geeignet sind, die Sicherheit der IT zu gewährleisten. Dazu gehören beispielsweise Policies, welche vorschreiben, dass Mitarbeiter Authentifikationsmechanismen für den Zugang zu Systemen nutzen müssen (Domain Accounts mit Benutzername: Kennwort) oder dass eine Zugangskontrolle zum Firmengebäude inkl. unterschiedlicher Sicherheitszonen existiert.

Konzeptionelles Audit

Das Audit auf konzeptioneller Ebene betrachtet die für die Systeme zugrunde liegenden Konzepte und versucht etwaige Mängel anhand des Aufbaus der Konzepte zu identifizieren. So kann es sein, dass ein Konzept an einigen Punkten nicht den anerkannten „best practices“ entspricht oder dass es von den Ergebnissen des organisatorischen Audits abweicht. Das kann beispielsweise beinhalten:

  • Eine Kommunikation zwischen Systemen und/oder Anwendern erfolgt unverschlüsselt, obwohl sie laut Policy geschützt werden muss (z.B. via SSL)
  • Ein Dokument steht durch eine Fehlkonfiguration der Berechtigungen einem nicht zulässigen Personenkreis zur Verfügung

Technisches Vulnerability Assessment

Die sinnvollste Art der technischen Überprüfung ist das Vulnerability Assessment. Bei dieser Überprüfung werden Hosts oder Applikationen auf mögliche Schwachstellen untersucht. Wird eine solche vermutet, werden weitere Maßnahmen definiert. Dies kann eine nähere Untersuchung der Schwachstelle durch einen Penetrationtest sein, aber auch sofortige Gegenmaßnahmen, wie das Patchen einer Software auf einen aktuellen Stand, kommen in Frage.

An dieser Stelle können wir nur einen kleinen Einblick in das komplexe Thema der Sicherheitsüberprüfung von IT-Umgebungen geben. Gerne informieren wir Sie in einem persönlichen Gespräch darüber, wie wir Sie bei konkreten Fragen unterstützen können. Unsere Spezialisten freuen sich auf Sie!

Jochen Dedek
Autor:
Jochen Dedek | Leiter Business Development
Website:

Bitte bewerten Sie diesen Beitrag

Es wird kein Zusammenhang zwischen Ihrer Bewertung und Ihrer E-Mail-Adresse hergestellt, falls Sie unseren Newsletter erhalten haben.

SHD . TechnologyAlle Beiträge dieser Kategorie anzeigen

VMworld „No Limits“

Die VMworld mit dem Motto »No Limits« ist eines der richtungsweisenden Events im IT-Bereich mit über 23.000 Teilnehmern in den USA und 9000 in Europa. Doch welche Neuerungen eignen sich für den Einsatz im Mittelstand und in der öffentlichen Verwaltung? Neuerungen wurden für die ...

1.887 Besucher
SHD . TechnologyAlle Beiträge dieser Kategorie anzeigen

Top oder Flop? Windows Server 10 und Windows 10 – was ist neu?

Die nächste Windows-Generation wird im Herbst dieses Jahres erwartet. Damit rückt der End of Extended Support von Windows 7 und Windows Server 2008 am 14.01.2020 einen Schritt näher. Bei Windows Server 2003 ist dieser bereits am 14. Juli 2015 erreicht. Der Main Stream Support ist bereits für alle Systeme ausgelaufen. Doch gibt es auch andere Gründe, zu migrieren? ...

1.181 Besucher
SHD . TechnologyAlle Beiträge dieser Kategorie anzeigen

Netzwerkzugänge effektiv schützen

Network Access Control (NAC) ist ein Thema, das jedes Unternehmen bereits seit Einführung der Netzwerkdosen beschäftigt und begleitet. Doch heute, mit überall vorhandenem WLAN und der rasanten Zunahme von mobilen Devices rückt die Thematik wieder stärker in den Fokus. Dennoch wissen nur wenige Unternehmen ganz genau, welche Personen und Geräte sich im Netzwerk befinden und wie die Netzwerkzugänge effektiv geschützt werden können ...

1.040 Besucher