Penetration, Test und Audit

Ein Audit überprüft die Konformität eines Teilbereichs (Scope) gegenüber einer offiziell dokumentierten Vorgabe (Criteria). Diese Bescheinigung kann freiwillig beauftragt oder durch gesetzliche Regularien (besonders im klinischen Bereich und Bankwesen) eingefordert werden. Die Zertifizierung gilt nur eine begrenzte Zeit (in der Regel max. 3 Jahre), da Informationssysteme grundsätzlich einem schnellen Wandel unterliegen. Aber auch die Checklisten ändern sich, um neuen Anforderungen gerecht zu werden - aus dem British Standard BS 7799 wurde die ISO/IEC 27001 und aus SAS 70 wurde SSAE 16. Vor einer formalen Begutachtung durch Dritte (Third-Party-Audit) ist es aufschlussreich, ein externes Assessment durchführen zu lassen. Durch den internen Fokus bisher unbekannte Findings werden so offenbart.

Aber auch abgesehen von der Erlangung eines Zertifikats ist es gute Praxis, Prozesse und Systeme regelmäßig von einem erfahrenen Außenstehenden überprüfen zu lassen. Vor allem nach Änderungen sollten die Effektivität von technischen und organisatorischen Kontrollen (Attack Surface) neu beurteilt werden. Dadurch lassen sich zum einen Mängel in der Wirksamkeit feststellen, zum anderen können Indikatoren erfasst werden, die die Kosten im Verhältnis zum Nutzen abwägen. Vor allem Wiederanlaufpläne im Rahmen eines betrieblichen Kontinuitätsmanagements sollten durch verschiedene Tests regelmäßig revidiert werden.

Ein Pentest ist ein beauftragter Angriff auf die eigene Infrastruktur. Es werden dieselben Methoden angewandt, die auch in der Realität zum Einsatz kommen würden. Nach der Analyse eines Vulnerability Scan wird der Angriffsvektor bestimmt. Durch Ausnutzung kleiner Schwachstellen oder Abhängigkeiten unter Komponenten ist oft ein Einbruch möglich, obwohl jeder Teil für sich relativ sicher ist. Abschließend erfolgt ein Report an die Geschäftsführung mit erkannten Sicherheitslücke und Vermeidungsstrategien. Die Aussagekraft erstreckt sich dabei nicht nur auf die Sicherheit der Anlage, sondern durch Social-Engineering auch auf die Unternehmensrichtlinien.

Angebot

Wenn Sie in Ihrem Unternehmen Beratungsbedarf haben oder Planungsunterstützung benötigen, würde ich mich freuen, Ihnen helfen zu können. Dies kann in Consultings und Schulungen geschehen oder während der Begleitung von Projekten von der Ausschreibung bis zur Abnahme. Am Ende erhalten Sie eine belastbare Lösung für Ihr zugrundeliegendes Problem.

Die Empfehlung von Technologien und Komponenten richtet sich stets nach Ihrem individuellen Anwendungsfall und erfolgt grundsätzlich unabhängig von Hersteller oder Dienstleister. Falls Sie mehr wissen möchten, nutzen Sie gerne die Kontaktinformationen für ein persönliches Gespräch.