Weiterer Baustein für IT-Sicherheit – PROMOS lässt IT-Angriffe von einer IT-Security Firma simulieren und prüfen

Jeder der sich aktuell im Internet bewegt oder E-Mails privat oder in der Firma erhält, wird über kurz oder lang mit verschiedenen Formen von Internetkriminalität konfrontiert. Die kreative Bandbreite reicht von einfachen Ausspähversuchen durch Spam-/Phishing-Mails mit enthaltenen Viren oder Trojanern bis hin zu professionell angelegten Angriffsvektoren durch organisierte Hackergruppen.

Um angesichts einer solchen Herausforderung als Unternehmen für ein bedarfsgerechtes Sicherheitsniveau zu sorgen, ist mehr als das bloße Anschaffen von infrastrukturellen Sicherungssystemen notwendig. Das in der Vergangenheit häufig verwendete Rezept „... da muss unsere IT einfach mal eine FireWall einrichten…“ gehört damit seit geraumer Zeit ins Reich der Fabel.

Sicher ist sicher ist ISMS

In den heutzutage betriebenen, teilweise hybriden Infrastrukturen, bestehend aus selbstgehosteten Systemen (On-Premise), Cloud-Nutzungen, Software-technischen Erweiterungen von eigenen sowie fremden Entwicklungsabteilungen oder Single-Sign-On Methoden für genutzte Systeme ist ein ganzheitliches Konzept notwendig und wichtig. Dazu gehört vor allem ein funktionierendes und in das Unternehmen integriertes Informationssicherheitsmanagementsystem (ISMS). Hierbei handelt es sich jedoch weniger um eine einfache Zeitpunktbetrachtung, sondern es ist vielmehr als ein kontinuierlicher Prozess zu verstehen, dessen Strategien und Konzepte ständig auf ihre Leistungsfähigkeit und Wirksamkeit zu überprüfen sind.

Kern eines solchen ISMS ist ein sogenannter PDCA-Zyklus (Plan-Do-Check-Act), in dem Grundlagen für die Informationssicherheit geschaffen werden (Plan), diese über Schutzbedarfsanalysen zu Informationssicherheitsvorgaben und -maßnahmen umgesetzt werden (Do), um anschließend zyklisch kontrolliert (Check) und dann optimiert sowie überarbeitet zu werden (Act).

Mit Pentests Cyberangriffen einen Schritt voraus sein

Zu den Maßnahmen im Rahmen der Checks gehören dann beispielweise die sogenannten VAPT Scans (Vulnerability Assessment and Penetration Testings), kurz Pentests, genannt. Diese werden bei PROMOS zyklisch durchgeführt. Auf der einen Seite werden mittels einer internen Greenbone Engine wöchentlich Vulnerability Scans gegen verschiedene Plattformen wie z. B. easysquare automatisch durchgeführt, auf der anderen Seite beauftragt PROMOS consult jedes Jahr eine externe Sicherheitsfirma zur Durchführung von externen Pentests.

Die Durchführung dieser Pentests wird bei PROMOS als sogenannter Grey Box Test durchgeführt. Das bedeutet, die durchführende Sicherheitsfirma und PROMOS consult stimmen im Vorfeld Ziele, Vorgehen und Terminkette des Pentests ab. Ziel eines solchen Tests ist immer die Beantwortung der Frage, ob in den öffentlich erreichbaren Systemen Schwachstellen vorhanden sind, über die sich ein Angreifer über das Internet privilegierten Zugriff auf nicht öffentlich verfügbare Systeme, Informationen oder Anwendungen verschaffen kann.

Das Ergebnis dieser Pentests besteht aus einem Report, in dem zu möglicherweise gefundenen Schwachstellen eine Bewertung gemäß ihrer Kritikalität vorgenommen wird und Maßnahmen zur Behebung empfohlen werden. Die Durchführung dieser Pentests orientiert sich dabei an den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für die Strukturierung der Tests.

PROMOS consult stellt auf diese Weise sicher, dass das Sicherheitsniveau kontinuierlich zum Schutz von Kundeninformationen angepasst wird und Maßnahmen sowohl in infrastrukturelle Veränderungen als auch in die Anwendungsentwicklung einfließen.