Gefährliche Hacker-Attacken sorgen immer wieder für viel Aufsehen: veränderte Internetauftritte, Datenklau, Zugriffe auf Konten und Betriebsgeheimnisse. Ist Ihre IT-Infrastruktur auf solche Angriffe vorbereitet? Mit dem Penetrationstest helfen wir Ihnen, die Sicherheitslücken zu finden und zu schließen.
Ein Penetrationstest simuliert Hacker Angriffe und versucht, unautorisierten Zugriff auf IT-Infrastrukturen zu erhalten. Ziel ist es dabei, Schwachstellen und mögliche Angriffspunkte zu identifizieren. Die Vorgehensweise
Im Rahmen von Vorgesprächen werden Ablauf und Methodik des Tests gemeinsam mit Ihnen präzisiert und die Ansprechpartner festgelegt. Nach der eigentlichen Durchführung des Penetrationstestes stellen wir die Ergebnisse über vorhandene Schwachstellen nicht nur in einem detaillierten Bericht dar, sondern geben Ihnen Handlungsempfehlungen und zeigen Lösungswege zur Verbesserung der IT-Sicherheit auf.
Unsere Penetrationstests folgen den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Unser Team führt Penetrationstests für Unternehmen fast aller Größen durch. Ein Schwerpunkt liegt dabei auf der Untersuchung von Web-Applikationen, wir testen jedoch auch IT-Netzwerke und „klassische“ Anwendungen.
Die schwerwiegenden IT-Sicherheitsvorfälle der letzten Jahre zeigen deutlich: Weltweit sind Schwachstellen im Code die am meisten genutzten Einfallstore in IT-Infrastrukturen. Die Folgen sind, neben Rufschädigung und Haftungsansprüchen, enorme wirtschaftliche Verluste durch Produktionsausfälle, Datendiebstahl, Ideenklau und Erpressung.
Auf der Suche nach den Ursachen solcher Software-Schwachstellen sind oft anzutreffen:
Unser Beitrag für Ihr Unternehmen:
Unsere Experten untersuchen Ihre Software unabhängig vom Betriebssystem und der Programmiersprache. Wir überprüfen sowohl Ihre Business- und Web-Applikationen als auch Ihre mobilen Apps.
Ergebnis der Untersuchung ist ein aussagekräftiger Bericht, der gefundene Schwachstellen aufführt. Dabei erfolgt eine Einordung entlang anerkannter Sicherheitsprofile wie z.B. OWASP Top 10 oder PCI.
Ein manuelles Prüfen ohne Software-Tools wird im Allgemeinen als Code-Review bezeichnet. Dieser Review findet aber selten in dieser rein manuellen Form statt, da der zu überprüfende Code oftmals Millionen Zeilen umfasst und die damit verbundenen Kosten in keinem wirtschaftlichen Verhältnis zum Nutzen stehen. Andererseits lassen sich grundlegende Designfehler einer Anwendung oftmals nur durch einen Review aufdecken.
Die IFASEC GmbH führt statische Code-Analysen in Verbindung mit Code-Reviews aus. Damit können wiederkehrende Schwachstellen und fehlerträchtige Codeteile automatisiert im gesamten Code gescannt und das Ergebnis durch einen ergänzenden manuellen Review qualifiziert werden.
Eine statische Code-Analyse überprüft den Quellcode einer Anwendung, ohne diesen auszuführen, daher die Bezeichnung „statisch“. Voraussetzung hierfür ist allerdings das Vorhandensein eben dieses Quellcodes.
Dynamische Code-Analysen überprüfen das gesamte System im laufenden Betrieb, also die Applikation, die eingesetzten Technologien, die Einrichtung der Server auf Lücken z.B. Fehler in der Konfiguration von Web-Servern, in den Authentisierungsverfahren oder in der Übertragung und Speicherung von Daten.
Erst die Kombination aus statischer und dynamischer Code-Analyse stellt eine verlässliche Basis für sichere Anwendungen dar.
Comments are closed.