Services


Holistic Security Consulting : Angriffsperspektiven

Red Teaming

Unter einem Sicherheitaudit der IKT–Infrastruktur, auch Pentest genannt, sind aktive Attacken auf die IKT-Systeme zu verstehen. Dies dient dazu, Schwachstellen in den IT-Systemen des Auftraggebers zu finden, welche in einem abschließenden Bericht aufgelistet werden.

Im Rahmen der Social-Engineering-Überprüfung wird versucht, eine mit dem Auftraggeber vereinbarte Information zu stehlen. Diese Informationsbeschaffung erfolgt beispielsweise durch Telefonanrufe, E-Mail-Kontakt, soziale Netzwerke oder auch einem „Einbruch“ während der Arbeitszeiten, in dem zum Beispiel eine autorisierte Identität vorgetäuscht wird.

Die physische Sicherheitsüberprüfung stellt einen physischen Einbruch in das Unternehmen dar und soll Schwachstellen am Gebäude und am Perimeterschutz aufdecken. Ebenso wird die Wirksamkeit von Zutrittskontrollen und –beschränkungen überprüft. Ziel ist es, in einen geschützten Bereich des Unternehmens einzudringen.

Security Awareness

Die Security Awareness Pakete soll den Mitarbeitern eines Unternehmens das Thema Informationssicherheit näher bringen. Die Tätigkeiten sollen vermitteln, dass alle Mitarbeiter aktiv am Prozess „Sicherheit“ beteiligt sind. Im Zuge des Paketes wird auf allgemeine Themen der Informationssicherheit eingegangen und es werden anonymisierte Fälle aus dem eigenen Unternehmen präsentiert, sofern zuvor ein entsprechendes Projekt stattgefunden hat.

Im Zuge des Awarenessworkshops „Sicherheitsrichtlinien“ wird mit den Mitarbeitern des Unternehmens eine entsprechende Sicherheitspolitik, die sich an verschiedenen Standards und Richtlinien orientiert (Österreichisches Informationssicherheitshandbuch, BSI IT–Grundschutz, ISO/IEC 27001/27002, ITIL, u. ä.), ausgearbeitet, sofern noch keine existiert. Alternativ wird diese Sicherheitsrichtlinie vom Auftragnehmer alleine ausgearbeitet und dem Auftraggeber anschließend übergeben. In weiterer Folge werden die Mitarbeiter bei der Umsetzung dieser Richtlinie unterstützt.

Der Workshop „Secure Coding“ soll Mitarbeitern eines Unternehmens ein Gefühl für die Aspekte der Informationssicherheit im Zusammenhang mit Softwareentwicklung näher bringen. Der Workshop geht auf bekannte Angriffsvektoren (beispielsweise OWASP Top 10) ein und soll Möglichkeiten zur Vermeidung von Schwachstellen vermitteln. Unsere Workshops umfassen C#, C/C++, Java, Oracle PL/SQL, SQL,  Python, JavaScript, PHP und weitere Sprachen auf Anfrage.

Risikomanagement

Die Durchführung einer Risikoanalyse ist stark an den BSI-Standard 100-3 angelehnt. Durch diese Analyse sollen Gefährdungen im Unternehmen erkannt und bewertet werden. Aufgrund dieser Bewertung können Maßnahmen zum Risikoumgang festgelegt werden, die entweder die Chance des Eintretens einer Gefährdung oder die Kosten im Falle eines Eintritts verringern sollen.

WordPress SEO fine-tune by Meta SEO Pack from Poradnik Webmastera