Rödl & Partner bietet Ihren Mandanten Penetrationstests zur Steigerung der Cyber-Sicherheit an!

Um die IT-Sicherheit effektiv und gezielt zu erhöhen, muss man wissen, wo die technischen Lücken sind. Ein sogenannter Penetrationstest ist hier die richtige Lösung. Im Rahmen von Penetrationstests werden mögliche Sicherheitslücken technischer Natur aufgedeckt und Maßnahmen zur Verbesserung der IT-Sicherheit abgeleitet.

Dabei gibt es eine Vielzahl von Bereichen, in welchen penetriert werden sollte. Wir empfehlen für einen sinnvollen und effektiven Einstieg folgende Fokusbereiche:

Alle Zugangspunkte ins öffentliche Netz (Zentrale, Niederlassungen)
WLAN-Zugangspunkte des Unternehmens an allen Standorten
Web-Auftritte und Austauschplattformen

Nach diesen grundlegenden Tests lässt sich der Fokusbereich auf Absicherung der Mobile Devices, Wirksamkeit von Spam- und Virenschutz, Wirksamkeit von Endpoint-Protectionsystemen sowie z.B. der Absicherung von Steuerungsanlagen der Produktion etc. ausdehnen.

Wir bieten in der Regeln einen Penetrationstest als eine Mischung aus White- und Black-Box Tests an. Bei einem White-Box Test stehen dem Tester (also uns) alle benötigten Informationen seitens Ihrer IT zur Verfügung. Bei einem Black-Box Test geht der Tester wie ein realer Angreifer vor, ohne alle Informationen über die Systeme, Personen und Räumlichkeiten zu besitzen.

Generell kann ein White-Box Test als effektiver angesehen werden, da bei dieser Variante ein geringerer Informationsbeschaffungsaufwand betrieben werden muss. Im Gegenzug gibt ein Black-Box Test hingegen ein realistischeres Bild über das Vorgehen von Angreifern. Um die Vorteile aus beiden Varianten zu nutzen, wird eine Mischung aus beiden Testvarianten gebildet und eingesetzt (sog. „Gray-Box”).

Nachdem sich viele unserer Mandanten in diesen Bereichen von Dritten (Internet-Provider, Systemhäuser zum Management der speziellen Sicherheitstechnik etc.) unterstützen lassen, können wir zudem die einzelvertraglichen Regelungen mit den Dritten verifizieren. Oftmals ergeben sich erhebliche Lücken in der Fragestellung, ob die Aufgaben und Verantwortlichkeiten zwischen der IT der Mandanten und dem Dienstleister klar geregelt sind. Zudem lassen sich in den Verträgen kaum Regelung für den Notfall finden. Die Einbindung eines „IT-Sicherheitsreportings” in das interne Kontrollsystem des Unternehmen ist oft eher eine Seltenheit.

Die Durchführung des technischen Penetrationstests findet in Zusammenarbeit mit der HSASec der Hochschule Augsburg (link https://www.hsasec.de/ ) statt. Durch die enge Kooperation mit der Forschungsgruppe für IT-Security und Forensik der Hochschule Augsburg und dem Lehrstuhl für IT-Sicherheit der Fakultät für Informatik kann gewährleistet werden, dass der Penetrationstest anhand der aktuellen Forschungs- und Lehrstandards durchgeführt wird.

zuletzt aktualisiert am 26.08.2015

Mitteilungen zu dem Thema „IT-Sicherheit und IT-Recht”

Sollten Sie auch künftig an – für Sie kostenlosen – Mitteilungen zu dem Thema „IT-Sicherheit und IT-Recht” interessiert sein, füllen Sie bitte das folgende Kontaktformular aus.

Pflichtfelder sind mit * gekennzeichnet.