Ersterhebung mittels automatisierter und halbautomatisierter Verfahren. Anschließende Validierung der Top 3 Befunde durch manuelle Verfahren. Auf Kundenwunsch ist auch eine Prüfung mit Anmeldecredentials möglich. Abschlussbericht und Besprechung per Webkonferenz.

Auszug der Prüfungen:

• Fingerprint web server software
• Analyze HTTP headers for security misconfiguration
• Check the security of HTTP cookies
• Check the SSL certificate of the server
• Check if the server software is affected by known vulnerabilities
• Analyze robots.txt for interesting URLs
• Check whether a client access file exists, and if it contains a wildcard entry  (clientaccesspolicy.xml, crossdomain.xml)
• Discover server configuration problems such as Directory Listing
• Crawl website
• Check for SQL Injection
• Check for Cross-Site Scripting
• Check for Local File Inclusion and Remote File Inclusion
• Check for OS Command Injection
• Check for outdated JavaScript libraries
• Find administrative pages
• Check for sensitive files (archives, backups, certificates, key stores) based on hostname and some common words
• Attempt to find interesting files/functionality
• Check for information disclosure issues

ab 2160,00 Euro

Ziel einer Basisprüfung ist es, dass allgemeine Sicherheitsniveau und die Konfiguration der IT-Infrastruktur zur Bestimmung der IST-Situation im Hinblick auf die IT- und Informationssicherheit zu prüfen. Bei der Überprüfung wird eine allgemeine Inspektion der IT-Infrastruktur und den damit verbundenen Elementen vorgenommen. Mit einem Audit-Gespräch, sowie verschiedenen Prüfmethoden wird ein auf Basis des BSI-Grundschutzes erstellter Prüfkatalog an Hand von vorgegebenen Bewertungskriterien bearbeitet. Mit dem Prüfbericht wird das Ergebnis der Prüfung und damit das Sicherheitsniveau dokumentiert.

• Bestandsaufnahme IT-Infrastruktur - Prüfung des IT-Sicherheitsmanagement
• Schutz vor Schadprogrammen: Log-Dateien, Gateway-Antivirus
• Sicherheit von IT-Systemen: Rechte-Management, Administratorkonten - Vernetzung von Internetanbindungen: Sicherheitsrichtlinien, Ungesicherte Netzzugänge
• VPN und WLAN: VPN Verschlüsselung, Authentifizierung
• Inhaltssicherheit: Webfilter, Spam-Filter,
• Beachtung von Sicherheitserfordernissen: Außerbetriebnahme von Datenträgern u. Systemen, Kontrolle von Sicherheitsvorgabe
• Passwörter und Verschlüsselungen: Nutzung vorhandener Sicherheitsmechanismen, Passwortrichtlinien
• Notfallvorsorge: Systemwiederherstellungszeiten, Auswirkung auf IT- Ausfälle
• Datensicherung: Backup- Strategie, Dokumentation der Sicherheitsverfahren
• Infrastruktursicherheit: Zutritt zu IT-Systemen, Server-Raum
• Mobile Endgeräte: Sicherheitsrichtlinien, Administration mobiler Endgeräte
• Nutzung externer IT-Leistungen: Technische Absicherung
• Berichtübergabe mit Maßnahmenplan/-empfelungen

Bis zu 120 Maßnahmenempfehlungen
Circa 90 Seiten hochwertiger Bericht nach TELKO

ab 2900,00 Euro

Wir führen einen vollständigen Scan Ihrer über das Internet exponierten Systeme durch. Anschließend werden die gesammelten Ergebnisse bewertet und gegebenenfalls weitere manuelle Überprüfungen durchgeführt.

Im Anschluss werden alle gefundenen Sicherheitsprobleme und den dazugehörigen Maßnahmen in einem Report dokumentiert und gemeinsam mit dem Kunden besprochen.

Während einer Schwachstellenanalyse wird mit Hilfe von automatisierten und manuellen Überprüfungen nach Schwachstellen gesucht. Die automatisierten Scans geben im ersten Schritt einen guten Überblick über die verwundbaren Systeme. Die Ergebnisse müssen jedoch auf sogenannte "false positives" hin geprüft werden.

Aus diesem Grund führen wir eine Reihe manueller Überprüfungen durch, um die Testergebnisse zu verifizieren und Falschmeldungen auszuschließen. Nach Abschluss der Tests erhalten Sie einen Report mit allen gefundenen Sicherheitsproblemen. Wir geben Ihnen dabei zu jedem Sicherheitsproblem einen Vorschlag mit, wie das Problem gelöst werden kann. Auf Wunsch unterstützen wir Sie auch technisch bei der Fehlerbehebung.

Die Ziele einer Schwachstellenanalyse sind unter anderem folgende:

• Erhöhung der Sicherheit Ihrer technischen Systeme
• Identifikation von Schwachstellen
• Bestätigung der IT-Sicherheit durch einen externen Dritten
• Erhöhung der Sicherheit Ihrer organisatorischen und personellen Infrastruktur (bis zu 10 externe IP-Adressen)

ab 2550,00 Euro

Schwachstellenanalyse intern (Vor Ort, Abschlussbericht per Telko, Aufwand ist abhängig vom Prüfungsumfang)

Durchführung einer Schwachstellenanalyse an ihren internen IT Systemen. Wir stimmen mit ihnen eine für ihre Verarbeitungssituation sinnvolle Auswahl an Prüfungen ab. Im Folgenden eine Beispielhafte Auflistung aus unserem Portfolio.

"Malware - Analyse"

• Analyse der Protokollierung des Datenverkehrs
• Suche nach ungewöhnlichen Verhaltensmustern
• Bewertung der Funde

Analyse der Netzwerkgeräte und Server

• Analyse der bereitgestellten Dienste
• Prüfung auf Schwachstellen
• Validieren / Testen von Schwachstellen
• Schwachstellenbewertung

 Analyse Zugriffsrechte Windows Arbeitsplatz

• Zugriffsschutz, Sicherung des Endgerätes
• Zugriff auf Server und Netzwerkgeräte in den jeweiligen Netzwerken auf Datei und Netzwerkebene
• Möglichkeiten/Gefahren mit Benutzerrechte auf dem jeweiligen System sowie im
• Möglichkeiten/Gefahren ohne Benutzerrechte auf dem jeweiligen System sowie im Netzwerk
• Bewertung

Prüfung Mobile Device Security

• Bewertung der Schutzbedarfe sowie vorhandene IT Sicherheitsrichtlinien
• Prüfung ggf. vorhandener Policys zur Geräteverwaltung / MDM Systeme auf Schwachstellen und Vollständigkeit
• Zugriffsmöglichkeiten auf Einstellungen und Daten an den Geräten bei Verlust Diebstahl auf Basis forensischer Hilfsmittel zur Datenwiederherstellung und Entschlüsselung
• Bewertung

Prüfung Berechtigungsmodell

• Bewertung der Schutzbedarfe sowie vorhandene IT Sicherheitsrichtlinien
• Sichtung und Prüfung der vorhandenen Dokumentation
• Erhebung der abzusichernden Systeme, Anwendungen und weiterer Zugriffsrechte
• Ermittlung der abzubildenden Organisation und Berechtigungsstruktur
• Analyse der (Gruppen-) Richtlinien
• Abgleich der erhobenen Anforderungen mit dem IST Zustand
• Analyse der Vertrauensstellung / Schnittstellen / externe Beteiligte
• Abgleich mit Bedarfen und Richtlinien
• Bewertung

Abschließend wird für alle Prüfungen ein Abweichungsbericht mit Maßnahmenempfehlungen erstellt.

zwischen 1400,00 - 1650,00 Euro