simplify-yourIT

Seit über 14 Jahren ist yourIT im Bereich Schwachstellenmanagement tätig. Immer wieder werden wir von Unternehmen angefragt, ob wir bei ihnen einen "Penetrationstest" durchführen und ein Angebot für einen "Pentest" abgeben können. Ursache für solche Anfragen sind meist unklar formulierte Anforderungen von Auditoren. Denn in den meisten Fällen führen wir stattdessen eine "Schwachstellenanalyse" durch.

Erst vergangene Woche hatten wir wieder eine Anfrage nach einem "Pentest" auf dem Tisch. In solchen Fällen sprechen wir mit dem Kunden und erarbeiten als erstes gemeinsam mit diesem, was dieser (oder sein Auditor) unter einem "Pentest" genau versteht, wie der Umfang und was das genaue Ziel der Überprüfung sein soll (Definition & Scope).

Penetrationstest oder Schwachstellenanalyse? Wir klären auf.

Dieses Vorgehen hat sich in den vergangenen Jahren aus drei Gründen bewährt:

Das Bundesamt für Sicherheit (BSI) in der Informationstechnik beschreibt im aktuellen Bericht zur "Lage der IT-Sicherheit in Deutschland 2015" eine fortschreitende Professionalisierung von Cyber-Angriffen. Auch andere IT-Sicherheitsexperten warnen vor einem Trend zur Optimierung der Angriffe durch Cyber-Kriminelle und sprechen ganz offen von einer Automatisierung der Geschäftsprozesse potentieller Angreifer. Trotzdem wird in mittelständischen Unternehmen häufig funktionalen und ökonomischen Faktoren mehr Beachtung geschenkt als der Security. Ein fataler Fehler!

yourIT unterstützt Unternehmen beim Finden und Beheben von Schwachstellen in der IT

99,9 Prozent der ausgenutzten Sicherheitslücken sind über 12 Monate bekannt

Sie denken: "Wir haben doch alles im Griff!" Weit gefehlt. Das typische Einfalltor für Malware und Cyber-Kriminelle sind "alte Bekannte" - Software-Schwachstellen die nicht rechtzeitig per Update oder Patch behoben wurden. Und deren Zahl nimmt dramatisch zu: Von 1.200 im Jahr 2014 um 50% auf 1.800 in 2015 in den Referenz-Softwareprodukten des BSI. Allein in  den 11 am weitesten verbreiteten Anwendungen (darunter MS Office, Browser, Betriebssysteme, Flash und Adobe Reader) wurden von Januar bis September 2015 knapp 850 kritische IT-Schwachstellen entdeckt.

Besonders gefährdet: Kleine und mittelständische Unternehmen

Kleinen und mittelständischen Unternehmen fehlen häufig die notwendigen Fachleute und Ressourcen, um neben den "reaktiven Maßnahmen" wie Firewalls, Virenschutz oder Intrusion Detection zusätzlich auch "proaktive Maßnahmen" einzuleiten. Dadurch sind diese Unternehmen aktuell in besonderem Maße durch IT-Schwachstellen bedroht. Werden nur reaktive Maßnahmen eingesetzt, wartet man quasi, bis eine Malware oder ein Cyber-Angreifer mit dem Angriff beginnt und versucht danach, diesen draußen zu halten. Aber was, wenn das schief geht?

Reaktives Verhalten allein reicht nicht aus - Sie müssen proaktiv handeln!

Sinnvoller ist da der Einsatz von proaktiven Risikovermeidungs-Strategien. "Um die Angreifer zu verstehen, müssen Sie Ihr IT-Netzwerk wie ein Hacker betrachten. Diese scannen erst nach erkennbaren lohnenswerten und angreifbaren IT-Schwachstellen - erst dann beginnen Sie mit dem Angriff." so Thomas Ströbele, Berater für Datenschutz und IT-Sicherheit bei der yourIT GmbH aus Hechingen. "Wir empfehlen daher, das IT-Netzwerk in regelmäßigen Abständen mit automatisierten Penetrationstests auf IT-Schwachstellen zu überprüfen und die gefundenen kritischen Schwachstellen zu beheben, um eben dieses Risiko eines Angriffs durch Hacker zu verringern." Das Motto lautet: "Bloß nicht auffallen!"

Hierzu bietet yourIT zwei Vorgehensweisen an:

1. Der Kunde beauftragt einen Dienstleister wie z.B. yourIT oder einen der 100 deutschlandweiten yourIT-Partner, das IT-Netzwerk mit einer Berater-Subscription als Managed Service zu überprüfen.
2. Alternativ mietet der Kunde über yourIT eine zu seinem IT-Netzwerk passende Security-Subscription und scannt damit sein Netzwerk regelmäßig selbst.

Das Systemhaus yourIT aus Hechingen arbeitet hier mit über 300 Systemhäusern der Systemhausverbände comTeam, Novacur und Winwin zusammen. Damit können wir flächendeckende Penetrationstests im Zollernalbkreis sowie den angrenzenden Landkreisen Tübingen, Reutlingen, Sigmaringen, Tuttlingen, Rottweil und Freudenstadt und darüber hinaus in ganz Deutschland anbieten.

IT-Security muss als kontinuierlicher Prozess verstanden werden

Die Security-Subscriptions finden die Schwachstellen ganz automatisch, bewerten diese und erstatten ausführlich schriftlich Bericht mit Nennung von Bedrohungen, Auswirkung und Lösungsvorschlägen. Selbst ausführliche Reports hat der Kunde am nächsten Tag in der Hand.

Aber dann beginnt erst die eigentliche Beratungs-Dienstleistung, denn nicht jede Schwachstelle kann mit einem Update oder Patch geschlossen werden. Manchmal laufen wichtige Anwendungen eben nur auf veralteten Betriebssystemen. Dann muss gemeinsam eine andere Maßnahme zur Risikominimierung gefunden und getroffen werden. Dennoch ist es wichtig, dass diese Schwachstelle erkannt wurde und künftig speziell überwacht wird. Schwachstellen-Management ist eben keine rein technische Aufgabe, sondern muss als kontinuierlicher Prozess verstanden werden. Erst die Einbindung in Organisationsprozesse bringt die gewünschte Wirkung.

Zusätzlich bietet yourIT als Dienstleistung an, die Verzahnung des Schwachstellen Managements (Vulnerability Management) mit den IT-Security-Prozessen des Unternehmens voran zu treiben. Häufig starten yourIT bei den Kunden mit einem der Beratungspakete Basis-Check ISO27001 oder einem Sicherheitsaudit IT-Infrastruktur bzw. Webapplikationen.

Proaktives Schwachstellen-Management erhöht das Sicherheitsniveau signifikant

Wenn Sicherheitslücken frühzeitig erkannt und behoben werden, ist das Unternehmen weniger interessant für potentielle Angreifer. Deren Scans zeigen weniger erfolgversprechende Schwachstellen an - signifikant weniger als bei anderen potentiellen Opfer-Unternehmen. Nachdem erst etwa 30% der Unternehmen in Deutschland proaktives und professionelles Schwachstellen-Management betreiben, verhält es sich im Mittelstand wie bei dem bekannten Witz, bei dem zwei Männer durch die Wüste laufen und plötzlich einem Löwen gegenüberstehen. Der eine Mann fasst in seinen Rucksack, holt ein Paar Turnschuhe heraus und beginnt, diese anzuziehen. Der andere Mann fragt ihn: "Glaubst Du wirklich, dass Du mit Turnschuhen schneller laufen kannst als der Löwe?" Darauf der andere: "Ich muss ja nur schneller laufen als Du..."

Auch wenn Sie diese nicht sehen: Die Löwen sind bereits da - als Cyber-Kriminelle, die es auf Ihr Unternehmen abgesehen haben. Fragen Sie Ihre IT-Verantwortlichen: Jeden Tag laufen fremde Schwachstellen-Scans auf Ihr Unternehmen! Wann ziehen Sie Ihrem Unternehmen die Turnschuhe an? Zögern Sie nicht länger und beginnen Sie jetzt - mit Schwachstellen-Managemt von yourIT. Wir machen Sie für bezahlbares Geld zumindest schneller (heißt: unauffälliger und damit uninteressanter) als die übrigen 70% Mittelständler ohne proaktives Schwachstellen-Management. Das sollte reichen!

Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr Thomas Ströbele

 

Das könnte Sie auch interessieren:

Informations-Sicherheit ist in der heutigen Zeit ein wichtiges Thema mit ständig wachsender Bedeutung. Nicht nur große, sondern auch kleine und mittelständische Unternehmen werden sich der Wichtigkeit von Risikoanalysen und IT-Security-Audits immer bewusster. Allerdings muss diese auch bedarfsgerecht und vor allem zielgenau konzeptioniert werden, um wirkliche Erfolge und ein für den Kunden passendes Preis-Leistungs-Verhältnis zu bieten. Systemhäuser wie yourIT aus Hechingen und deren Partner können Ihnen durch den Einsatz von "Coolen Tools" dabei helfen, den Optimierungs-Bedarf im Bereich IT-Security aufzuzeigen und bei der Erarbeitung eines tragfähigen Konzepts als Leitlinie zu dienen. Selbstverständlich legen die Security-Experten auch Hand an bei der Behebung der gefundenen Schwachstellen.

Was können solche Tools aussagen?

Grundsätzlich könnten zumindest einige der "Coolen Tools" aus dem Bereich der Informations-Sicherheit nicht nur von den entsprechenden Security-Experten, sondern auch von den Unternehmen selbst eingesetzt werden. Viel wichtiger und interessanter als die bloße Nutzung der Tools ist jedoch die Interpretation der Ergebnisse. Hierbei spielt die Prozess- und Security-Erfahrung des IT-Dienstleisters eine wichtige Rolle, entscheidet diese doch über die Qualität der Analyse und die sich daraus ergebenden sicherheitsrelevanten Punkte. Die verschiedenen "Coolen Tools" in der IT Security können über eine Vielzahl an Daten Auskunft geben und somit eine breite Datenbasis für eine Analyse und eine Behebung der Missstände bieten.

Mehr IT-Sicherheit mit "Coolen Tools" - Fordern Sie uns!

Welche Daten können erhoben werden?

Je nach Aufgabenstellung "zaubern" die Security-Experten durch den kombinierten Einsatz verschiedener "Cooler Tools" die unterschiedlichsten Informationen aus Ihrem System. So lassen sich unter anderem folgende Fragen aus den Bereichen Risikomanagement und Ermittlung des Schutzbedarfs beantworten:

1. Was genau ist zu schützen? Bestandsaufnahme aller Assets (Server, Endgeräte und (Web-)Applikationen.)
2. Welche Schwachstellen gibt es aktuell im IT-Netzwerk und im Web? Proaktive Penetrationstests zur Feststellung der Software-Aktualität (fehlende Patches) und bekannter und bestehender Schwachstellen inkl. Risikoeinstufung, Beschreibung der sich daraus für das Unternehmen ergebenden Bedrohungslage (Thresat & Impact).
3. Welche Software wird auf welchen Rechnern eingesetzt? Software Asset Management (SAM).
4. Werden (besonders) sensible Daten verarbeitet? Bestimmung der Daten und der Datenkategorien.
5. Wo liegen besonders schützenswerte Daten? Ermittlung der schützenswerten Daten und deren physikalischer Speicherorte. Übersicht zur Datenverteilung im Netzwerk.
6. Wo sind Angriffe besonders zu erwarten? Definition der potentiellen Angriffswege anhand vorhandener Schnittstellen und Leitungen
7. Wie sieht die aktuelle Gefahrensituation speziell für Ihr Unternehmen aus? Darstellung der aktuelle Bedrohungssituation, die Branchen- und Regions-typische Unterschiede aufweisen können.
8. Sind Angriffe durch Innentäter möglich / zu erwarten? Analyse des Berechtigungskonzepts und zur Darstellung des Gefahrenpotentials durch Mitarbeiter. Laut einer aktuellen Studie sind 50 % der Angriffe auf Innentäter zurückzuführen.

Zeit- und kostenintensive manuelle Analysen gehören der Vergangenheit an. All diese Fragen lassen sich mit "Coolen Tools" leicht und schnell beantworten. Um aus all den verschiedenen Ergebnissen ein tragfähiges und vor allem sicheres IT-Sicherheitskonzept zu entwickeln, benötigt man Expertise und Erfahrung, die in den wenigsten Unternehmen in dieser Form vorhanden ist.

"Coole Tools" gegen mannigfaltige Bedrohungen

Zur Auswertung der Ergebnisse benötigt man Expertise und Erfahrung

Aus diesem Grund ist es mehr als sinnvoll sich einen erfahrenen IT-Dienstleister und Security-Experten für diese Aufgaben ins Haus zu holen, der auch in der Lage ist ein passendes und maßgeschneidertes IT-Sicherheitskonzept zu entwickeln und vorhandene Lücken schnell und kompromisslos zu schließen.

Nutzen Sie die Chancen und suchen Sie sich Hilfe bei der Erkennung und Behebung von Fehlern und Gefahrenlagen. Lassen Sie sich von den Expreten der yourIT und dern Partnern umfassend beraten und finden Sie somit einen kompetenten und erfahrenen Ansprechpartner in Sachen IT-Security und Risikoanalyse. So lassen sich Schäden und Gefahren frühzeitig erkennen und abwehren.

So machen Sie Ihr Unternehmen sicherer:

Nehmen Sie jetzt unverbindlich Kontakt mit uns auf. Je nach Aufgabenstellung suchen wir die passenden "Coolen Tools" zusammen und bieten Ihnen damit die optimale Lösung für Ihr Unternehmen. Sprechen Sie uns an und lassen Sie Ihre aktuelle Gegebenheit im Bereich der Informations-Sicherheit durch uns überprüfen!

Einige der beliebtesten IT-Sicherheits-Analysen haben wir in Standard-Beratungspaketen für Sie zusammengestellt und bieten Ihnen diese zum Fixpreis an, z.B. unser Sicherheitsaudit "IT-Infrastruktur":

Beratungspaket Sicherheitsaudit "IT-Infrastruktur" von yourIT

Professioneller Rat lohnt sich - vertrauen Sie den securITy-Experten von yourIT

Externe Beratung hilft! yourIT hat bereits vielen IT-Verantwortlichen und Administratoren bei deren Sicherheits-Anforderungen geholfen. Sprechen Sie uns auf das Thema an, wir beraten Sie gerne.

Kontaktieren Sie uns!

Ich freue mich auf Ihre Projektanfragen.

Ihr Ralf Ströbele

Zum Schluss ein Aufruf in eigener Sache: 

Der Informations-Sicherheits-Markt wächst - und yourIT wächst mit. Zur Verstärkung unseres Teams suchen wir ab sofort zwei IT-Systemadministratoren (m/w).

yourIT-Stellenanzeige IT-Systemadministrator (m/w)

yourIT ist ein gestandener Managed Service Provider (MSP). Turnschuh-Administration gehört bei uns schon lange der Vergangenheit an. Stattdessen setzen wir auf "Coole Tools" wie Monitoring, Clientmanagement mit Software-Paketierung und Schwachstellenscanner. Damit können Sie sich bei uns voll und ganz Ihren Aufgaben widmen.