6. Oktober 2024

Security Auditing – Sicherheit durch Transparenz

In Zeiten wachsender Cyber-Kriminalität ist es unverzichtbar, das Sicherheitsniveau der eigenen Infrastruktur realistisch einzuschätzen. [...]

Intensiv-Check schafft Sicherheit
Mit welchem Aufwand können Angreifer zum Beispiel über ein Webportal in die Backend-Systeme eindringen? Wie gut sind Kunden- und Geschäftsdaten geschützt? Um diese Fragen zu beantworten, müssen Systeme heute regelmäßig und sachgerecht überprüft werden. Bei einem Sicherheitstest führen Experten eine Bestandsaufnahme durch und durchleuchten systematisch den aktuellen Sicherheitsstand eines IT-Systems.

Sicherheitsstandards erfüllen
Für ein Risikomanagement, das ein realistisches Bild der System- und Anwendungssicherheit zeichnen will, sind Sicherheitstests unverzichtbar. Auch öffentliche Standards und Normen schreiben regelmäßige Prüfungen und die Dokumentation von Schwachstellen vor.

Cyber-Angriff im Kundenauftrag
Wer wissen will, wie stabil und sicher seine Systeme sind, muss letztlich die Methoden der Angreifer anwenden. Deshalb führt T-Systems mit sogenannten Penetrationtests „Cyber-Attacken im Kundenauftrag“ durch. Indem sich Sicherheitsexperten in die Rolle von Angreifern versetzen und deren Denkweisen und Methoden übernehmen, können sie technische Schwachstellen am zuverlässigsten identifizieren, überprüfen und gezielte Gegenmaßnahmen ableiten.

Neutraler Blick von extern
T-Systems verfügt als ICT-Dienstleister über die Expertise und die notwendige Unabhängigkeit, um den Sicherheitszustand der Systeme und Anwendungen kritisch zu analysieren. Haben Unternehmen bereits Tests und Prüfungen durchgeführt, baut T-Systems auf diesen Ergebnissen auf. Es wird großer Wert darauf gelegt, dass die Durchführung der Penetrationtests effizient und in klarer Abstimmung mit den Betriebsprozessen des Kunden erfolgt.

Manuelle und Semiautomatische Prüfung
Bei den Tests wenden die Experten eine Kombination aus automatisierten Werkzeugen und manuellen Tests an, um ein Optimum an Effizienz und Aussagekraft zu erzielen. Dabei orientiert sich T-Systems an aktuellen Best Practices für Penetrationtests. Für Webanwendungen sind dies zum Beispiel OWASP (Open Web Application Security Project) und für Systeme und Netze OSSTMM (Open Source Security Testing Methodology Manual). Kunden profitieren automatisch vom aktuellen Stand der Technik und von Innovationen auf diesem Gebiet.

Experten für alle technischen Details
Je nach Testszenario, Systemumgebung oder Art der technischen Schnittstellen sind bei Penetrationtests unterschiedliche Fähigkeiten und Erfahrungen gefragt. T-Systems verfügt über Experten für diverse Spezialfälle. Zum Beispiel unterschiedliche Testarten: Während Black-Box-Tests ausschließlich öffentlich verfügbare Informationen als Ausgangspunkt nehmen, greifen White-Box-Tests auch auf Systeminterna wie Netzpläne zurück. Darüber hinaus unterscheiden Penetrationtester zwischen netz- und anwendungsbasierten Checks. Im ersten Fall sucht der Tester nach Systemen im vereinbarten Netz. Er stellt fest, welche Betriebssysteme und Serversoftware zum Einsatz kommen und dokumentiert, wo es Schwachstellen gibt. Im zweiten Fall ist das Ziel, etwa in einer webbasierten Anwendung Fehler zu identifizieren, die zu einer Gefährdung von Vertraulichkeit, Integrität oder Verfügbarkeit führen können. Dies beginnt bei Angriffstechniken wie Cross Site Scripting, SQL-Injection oder Privilege-Escalation und umfasst ebenso Prüfung der realisierten Anwendungslogik. In speziellen Bereichen wie Cloud Computing, Mobile Communications und Unified Communication & Collaboration verfügen die Experten von T-Systems über besondere Kompetenzen.

Klassifikation
Anhand welcher Kriterien kann man einen Penetrationstest beschreiben, bzw. was unterscheidet einen Penetrationstest von einem anderen Penetrationstest? Die Unterscheidungsmerkmale wie Umfang der geprüften Systeme, die Vorsicht bzw. Aggressivität beim Testen etc., die einen bestimmten Penetrationstest charakterisieren, müssen an die Zielsetzung des Tests angepasst werden, um eine effektive und effiziente Durchführung mit kalkuliertem Risiko sicherzustellen. In Abbildung 1 (siehe Grafik auf der folgenden Seite) ist eine Klassifikation von möglichen Penetrationstests dargestellt. Auf der linken Seite sind sechs Kriterien aufgelistet, nach denen man Penetrationstests unterscheiden kann und auf der rechten Seite sind die unterschiedlichen Werte für die Kriterien in einem kompakten Baumdiagramm zusammengefasst.

Je nach Zielsetzung des Auftraggebers muss ein geeigneter Penetrationstest anhand der genannten Kriterien vereinbart werden. Dabei ist zu beachten, dass nicht alle möglichen Kombinationen sinnvolle Tests darstellen, obwohl bei der Klassifikation großer Wert auf die klare Trennung der Kriterien gelegt wurde. Ein aggressiver Test wird meistens sehr schnell erkannt und ist daher nicht optimal mit einer verdeckten Vorgehensweise kombinierbar. Analog ist ein offensichtlicher Penetrationstest nicht geeignet, um mittels Social-Engineering-Techniken z. B. vertrauliche Informationen von den vorgewarnten Mitarbeitern zu erlangen.

Weitere Informationen unter: www.t-systems.at oder blog.t-systems.at

CFOs wollen mit KI die Unternehmensstrategie mitgestalten

4. Oktober 2024

Fast 9 von 10 CFOs, die KI in ihre Aufgaben integriert haben, sehen einen signifikanten Einfluss auf ihr Unternehmen. Das ist eine der Erkenntnisse des neuen CFO Research Reports „Der Schlüssel zum Erfolg im Finanzwesen“ von Sage. […]

DDoS-Attacken und Hacker-Aktivitäten bedrohen globale Infrastrukturen

4. Oktober 2024

Laut NETSCOUT DDoS Threat Intelligence Report 1H2024 ist EMEA-Region durch vermehrte DDoS-Angriffe und Hacker-Aktivitäten bedroht. Der Report stellt eine Zunahme an multivektorialen Angriffen fest, bei dem mehrere Angriffsmethoden gleichzeitig eingesetzt werden, um das Zielsystem zu überlasten. […]

KI in der Softwareentwicklung

4. Oktober 2024

Der “KI Trend Report 2025” von Objectbay liefert Einblicke, wie generative KI entlang des Software Engineering Lifecycle eingesetzt wird. Dafür hat das Linzer Softwareentwicklungs-Unternehmen 9 KI-Experten zu ihrer Praxiserfahrung befragt und gibt Einblicke, wie der Einsatz von KI die IT-Branche verändert wird. […]

Peter Hacker, Gründer und geschäftsführender Direktor von Distinction.global (c) Distinction.global

it-sa Programm: Special Keynote von Peter Hacker zu Risiken und geopolitischen Herausforderungen

4. Oktober 2024 pi/wf

it-sa Programm: Die it-sa Expo&Congress präsentiert am 24. Oktober die Special Keynote von Peter Hacker. Der Experte für Cybersicherheit bietet in einem Interview mit NürnbergMesse erste Einblicke in die wachsenden Risiken und geopolitischen Herausforderungen im digitalen Zeitalter. […]

Sockel für den Großschrank VX: Der komplette Sockelraum unterhalb des Schaltschranks kann genutzt werden, um Kabel flexibel unterzubringen. (c) Rittal

Rittal: Mehr Spielraum bei Kabeleinführung im Sockel

3. Oktober 2024 pi/cb

Wird ein Schaltschrank aufgebaut, muss es schnell und einfach gehen. Schon bei der Sockelmontage zählt jede Minute. Dafür sorgt Rittal mit seinen neuen Sockel-Systemen für den Großschrank VX und den Kompakt-Schaltschrank AX. […]

Wahlen in Gefahr: KI ermöglicht maßgeschneiderte Desinformation im großen Stil

3. Oktober 2024

2024 war und ist ein Jahr der Wahlen – mit Wahlveranstaltungen in mehr als 60 Ländern und geschätzt rund 2 Milliarden potenziellen Wählern. Ein gefundenes Fressen für politische motivierte Kampagnen, die im großen Stil Fehlinformationen verbreiten wollen und in der digital vernetzten Welt immer raffinierter aufgesetzt sind. […]

F5-Studie enthüllt Lücken im Schutz von APIs

3. Oktober 2024

APIs werden immer mehr zum Rückgrat der digitalen Transformation und verbinden wichtige Dienste und Anwendungen in Unternehmen. Gerade im Zusammenhang mit kommenden KI-basierten Bedrohungen zeigt sich jedoch, dass viele Programmierschnittstellen nur unzureichend geschützt sind. […]

Lehrgang „Zertifizierte:r KI-Manager:in“: Change Management trifft künstliche Intelligenz

3. Oktober 2024

Ein neuer Lehrgang von APA-Campus vermittelt Skills und Knowhow zu künstlicher Intelligenz: von generativer KI, über ethische und rechtliche Grundlagen bis hin zu Use Cases, KI-Projekt- und Change Management. […]

VINCI Energies übernimmt Strong-IT

3. Oktober 2024

VINCI Energies übernimmt Strong-IT in Innsbruck und erweitert damit das Leistungsspektrum seiner ICT-Marke Axians. Strong-IT schützt seit mehr als zehn Jahren Unternehmen gegen digitale Bedrohungen, während Axians umfassende IT-Services einbringt. […]

Security Auditing – Sicherheit durch Transparenz

In Zeiten wachsender Cyber-Kriminalität ist es unverzichtbar, das Sicherheitsniveau der eigenen Infrastruktur realistisch einzuschätzen. [...]

Mehr Artikel

CFOs wollen mit KI die Unternehmensstrategie mitgestalten

DDoS-Attacken und Hacker-Aktivitäten bedrohen globale Infrastrukturen

KI in der Softwareentwicklung

it-sa Programm: Special Keynote von Peter Hacker zu Risiken und geopolitischen Herausforderungen

Rittal: Mehr Spielraum bei Kabeleinführung im Sockel

Wahlen in Gefahr: KI ermöglicht maßgeschneiderte Desinformation im großen Stil

F5-Studie enthüllt Lücken im Schutz von APIs

Lehrgang „Zertifizierte:r KI-Manager:in“: Change Management trifft künstliche Intelligenz

VINCI Energies übernimmt Strong-IT

Be the first to comment

Leave a Reply Antworten abbrechen