>> EN | DE
   Startseite | Lösungen | Referenzen | Über Detack | Kontakt  
 
  IT-Sicherheitsdienstleistungen
epas
Premium Audit
Sicherheitsberatung
Sign IA & PIN / iTAN

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


Premium Audit


IT-Sicherheitsüberprüfung und Beratung, zusammen mit Performance-Beratung, sind den Kern der Detack Dienstleistungen. Die Detack GmbH hat sich darauf spezialisiert, alle Aspekte von IT–Sicherheitsaudits abzudecken - von einfachen Penetrationstests über weitergehende Prüfungen der Anwendungsebene bis hin zur Organisationsebene. Überdies zählen dazu die Beurteilung der IT-Sicherheits-Policy und Sicherheitsrichtlinien sowie die Beratung der Management-Ebene. Dies selbstverständlich stets an die sehr individuellen Bedürfnisse der Kunden angepasst.

Um die beste Qualität der Dienstleistungen zu bieten, führen die Experten sowohl Recherche als auch Schwachstellenüberprüfung vollständig manuell durch. Dies gewährleistet einerseits die Nachvollziehbarkeit und Bewertung der Sicherheitsimplikationen, andererseits jedoch auch um Schäden zu vermeiden, die durch automatische Testwerkzeuge hervorgerufen werden können. Durch Beisteuerung menschlicher Kreativität in den Testverfahren, werden reale Testszenarien geschaffen, dies garantiert die Vollständigkeit der Prüfung.

Die Prüfungsleistungen der Detack GmbH sind modular strukturiert, je nach Zielart, Komplexität, Perspektive und Ebene. Sie alle gehen aus den bisherigen Erfahrungen und getesteten Szenarien hervor. Die Detack bereitet für jeden Kunden abgestimmte und maßgeschneiderte Prüfungspakete zur Analyse vor, diese werden durch die jeweilige Perspektive und Ziele bestimmt. So werden die spezialisierten Prüfungsmodule kombiniert und ausgeweitet, um die beste Abdeckung zu erreichen.


Auditziele
Automatisierte Cash Handling und Payment Processing Systeme



Geldautomaten (ATM) waren in den vergangenen Jahren immer häufiger Ziel von Angriffen. Mit dem technologischen Fortschritt und der Standardisierung der Netze zwischen Geldautomaten, Banken und Rechenzentren, haben externe als auch interne Angreifer mittlerweile Zugriff auf geheimes Wissen - dieses gestattet ihnen mittlerweile effektive logische Angriffe auszuführen. Durch die gemeinsame Verwendung der Infrastruktur, sind elektronische Zahlungsoptionen, die durch „Point of sale“ (POS) Systeme ermöglicht werden, nun ebenfalls ein Angriffsziel.

Die Detack IT-Sicherheitsaudits für Cash & Payment Systeme identifizieren zum Beispiel das Angriffspotential auf ATM und POS Systeme. Dies wird erreicht indem sie sowohl alle Elemente der Netzwerke, die zu Rechenzentren, Banken, Geldautomaten und POS-Terminals gehören als auch die Infrastruktur, von der sie abhängig sind, in den Tests adressieren. Diese Prüfungen betreffen auch komplexe Anwendungen und Schnittstellen, die als elektronische Steuerungs-und Managementsysteme fungieren. Das Verfahren konzentriert sich sowohl auf Bankmitarbeiter oder Gelegenheitsangreifer, die Zugriff auf das lokale Netzwerk haben, als auch auf anonyme externe Angreifer, die versuchen, in die Kommunikationssysteme oder die lokalen ATM-Computer einzudringen.


e-Services Sicherheitsaudit



Die immer stärkere Verlagerung von Finanz- und Warentransaktionen in den Online-Bereich bewegt den Fokus der kriminellen Energie in das Internet. Angreifer attackieren z.B. das Online-Banking oder Kunden- und Händler-Webportale und stehlen kritische interne Daten. Die Detack IT-Sicherheitsexperten simulieren diese Art der Angriffe in Form des e-Services IT-Sicherheitsaudits.

Das e-Services IT-Sicherheitsaudit untersucht alle Anwendungen die Teil eines e-Business Systems sind. Die tiefgehende Auditerfahrung der Detack, wird in den für den Kunden maßgeschneiderten e-Services Angeboten reflektiert. Eines der meistfrequentierten Module dieser Reihe ist das e-Banking Audit. Dieses analysiert entweder das Online Banking, Trading-Anwendungen oder Portale auf der Applikationsebene auf Schwachstellen.

Die e-Services Audits simulieren Angriffe aus Sicht von Kunden, Wettbewerbern, Mitarbeitern oder Subunternehmern, die sich im Besitz der jeweiligen Benutzerkonten befinden. Ergänzt wird dies um die Perspektive anonymer externer Angreifer über das Internet. Diese simulierten Angriffe haben die Beseitigung von IT-Sicherheitsrisiken zum Ziel, noch bevor Angreifer sie zu ihren Gunsten ausnutzen können.


Host- und Midrange-Systeme



Ein sehr spezifisches Umfeld für IT-Sicherheitsprüfungen sind Host- und Midrange-Systeme. Aufgrund ihrer besonderen Struktur und Komplexität, die sich auf verschiedene Technologien und multiple Anwendungsumgebungen erstrecken, ist die Auswahl an Dienstleistern begrenzt, die auf dieser Ebene IT-Sicherheitsprüfungen durchführen. Das obwohl hier oft die sensibelsten und für Angreifer interessantesten Daten bereitstehen und verarbeitet werden.

Die Detack GmbH befasst sich mit der Midrange- und Großrechnerwelt durch gezielte Anpassung der IT-Sicherheitsaudit-Module an bestimmte Systeme wie IBM System z oder System i.

Aus diesen vorhandenen Basismodulen sind die Rahmenbedingungen für die Überprüfung der Host-und Midrange-Systeme entwickelt worden. Die technische Gestaltung solcher Systeme führt zu einem Multi-Ebenen-Ansatz der IT-Sicherheitsprüfungen. Im Fall eines normalen IBM System z werden z.B. folgende Ebenen geprüft:

- Hardware
- Subsysteme
- Anwendungsschnittstellen
- Anwendungen


Infrastruktur



Die Infrastruktur bildet das Grundgerüst einer IT-Umgebung. Zahlreiche Komponenten wie Netze, Server, Dienste und Software bieten potentiellen Angreifern die Möglichkeit auf Kundensysteme zuzugreifen und Daten zu kompromittieren. Die sichersten Anwendungen bieten keinen Schutz, wenn ein externer oder interner Angreifer direkt über eine Netzwerkkomponente in das interne LAN vordringen kann.

Ein Sicherheitsaudit der Infrastruktur zielt deshalb auf alle verfügbaren IT-Systeme innerhalb dem vom Kunden gewählten Bereich. Zum Beispiel eine Analyse der Perimeter, die das Internet und die gesamte Netzwerkumgebung betreffen. Aber auch die Prüfung der internen Microsoft-Systeme als auch der Software Deployment und Management-Systeme. Dies gestattet die Identifizierung jeglicher Verwundbarkeiten der Infrastruktur, die für alle anderen Dienste und Anwendungen die Basis darstellt. Da besonders viele Bereiche auf diese Weise analysiert werden, wird dieses Modul häufig als Ausgangsbasis für weitere Prüfungen verwendet, beispielsweise für Audits der Anwendungsschicht.


Terminaldienste



Terminaldienste werden weltweit immer beliebter bei den Unternehmen, insbesondere weil die infrastrukturellen Vorteile eine besondere Rolle spielen.

Dieser Fernzugriff auf Unternehmensanwendungen verbirgt jedoch ein großes Risiko. Das ist sowohl eine interne als auch externe Gefahr, vor allem durch die globale Verfügbarkeit von Online-Zugriffen. Dadurch kann ein Angreifer Zugang zu sensiblen Informationen gewinnen oder ein berechtigter Benutzer seine Zugangsdaten eskalieren.

Die Überprüfung der Terminaldienste erstreckt sich auf die gesamte Umgebung mit Hilfe von intern entwickelten Zusatzkomponenten. Sie geht von beiden Ausgangspunkten aus, der legitimierten Sicht der Nutzer und den anonymen Angreifern.
Angreifer nutzen Programmier- und Konfigurationsfehler aus um Autorisierungsverfahren und Sicherheitsrichtlinien zu umgehen. Aus diesem Grunde werden die veröffentlichten Anwendungen umfassend getestet. Dies ermöglicht eine Aussage, ob durch Missbrauch dieser dem Anwendungsgefängnis entkommen werden kann um somit unbefugten Zugriff auf Daten zu erhalten.


VPN Dienste



Aufgrund der Entwicklung der modernen Arbeitsweise kommt VPN-basiertem Zugriff auf das Unternehmensnetzwerk eine immer größere Bedeutung zu. Mitarbeiter des Vertriebs oder der Technik müssen jederzeit Zugriff auf sensible Firmendaten erlangen können, auch wenn sie gerade nicht an ihrem Arbeitsplatz sind. Wenn diese Verbindungen kompromittiert wurden, werden sie zu einem großen Sicherheitsrisiko für das Unternehmen.

Durch den bei Unternehmen sehr umfassenden Einsatz von VPN-Lösungen, erwarben die Detack-Sicherheitsspezialisten weitreichende Sachkenntnis, insbesondere hinsichtlich der Auditierung von VPN-Geräten und speziellen VPN-Umgebungen. Die möglichen Ziele eines VPN-Audits umfassen alle Sicherheitsaspekte eines VPN-Systems vom Produkt bis zum Netzwerkdesign und speziellen Facetten der Entwicklung und Anpassung. Die Auditoren schlüpfen in einen Angreifer mit gültigen Zugangskennungen, der zugangsbezogene Sicherheitslücken, Konfigurations- und Konstruktionsfehler untersucht, aber auch alle aktivierten VPN-Protokolle und Authentifizierungsdienste einbezieht.


SAP® Systeme



Durch den häufigen und umfassenden Einsatz von SAP-Unternehmenssoftware sind die Detack-Auditoren gefordert, regelmäßig sicherheitsrelevante Systeme und Schnittstellen von SAP-Landschaften zu analysieren und zu bewerten. Die Öffnung interner SAP® Umgebungen gegenüber dem Internet, hat in den letzten Jahren zu einer signifikanten Ausweitung des Angriffsvektors geführt.

Auf dieser Basis erarbeiteten sich die Spezialisten der Detack ein aktuelles und umfassendes Wissen im SAP-Umfeld. Dieses erstreckt sich auf alle SAP-Komponenten wie R/3 ABAP, J2EE, ITS, WAS, NW, XI/PI usw. Die durchgeführten Tests adressieren alle Ebenen von SAP-Umgebungen. Dies beginnt bei dem Kernel, der spezifischen Anwendungsschicht, der Analyse der Applikationsprogrammierung in ABAP und Java, bis hin zur Analyse multinationaler SAP-Landschaften.


EDI/ Enterprise-Dienste



Schneller und effizienter Datenaustausch und moderne Zahlungsverfahren sind ein wichtiger Faktor für heutige Unternehmen. Dieser beinhaltet hauptsächlich Transaktionen besonders schützenswerter Daten auf die es Angreifer abgesehen haben – seien es Konstruktionszeichnungen, Kundendaten, Rechnungen oder Aufträge.

Detack bietet maßgeschneiderte Auditdienstleistungen für industriespezifische Online-Applikationen wie EDI, Zahlungsverkehrsabwicklungs- und Abrechnungsdienste. Die spezifisch angepassten Detack e-Business Service Auditmodule liefern hierfür das Grundgerüst.


Dokumentation und Gestaltung der Richtlinien/Policy



Die organisatorischen IT-Sicherheitsmaßnahmen sind der Ausgangspunkt für die IT-Struktur und das Systemdesign. Aber auch der Umgang mit den Systemen und viele weitere Themengebiete, wie das Verhalten der Mitarbeiter bezüglich der IT-Systeme, sind wichtige Teilaspekte. Die technischen IT-Sicherheitsaudits geben bei jeder Prüfung darüber Aufschluss, ob diese Vorarbeit geleistet wurde und auch gelebt wird.

Die Detack überprüft die IT-Security Policy, die Richtlinienumsetzung, die Durchsetzung des Regelwerks und auch die Wirksamkeit der Gegenmaßnahmen bei Sicherheitsverletzungen. Alle verfügbaren Unterlagen, strategische Vorgaben und technischen Daten sind Gegenstand der Untersuchung. Neben Policy bezogener Dokumentation führt die Detack auch die Auditierung komplexer Umgebungslayouts und Beratung durch, um das Sicherheitsniveau der jeweiligen Konzeption - im besten Falle vor deren Umsetzung - zu erhöhen. Darüber hinaus erfolgen diese Prüfungen angelehnt an den Standard ISO 27001, wobei die Detack hier auch bei der Vorbereitung zur Zertifizierung unterstützt.


Spezifische und spezialisierte Audits



Komplexe Szenarien und spezielle Anwendungen werden durch vollständig maßgeschneiderte IT-Sicherheitsprüfungen untersucht. Hierfür erstellt die Detack jeweils maßgeschneiderte IT-Sicherheitsaudits. Für Systeme und Applikationen für die kein explizites Auditmodul existiert, wird ein entsprechend angepasster Service erstellt, um das spezifische Testziel abzudecken.


Auditebenen (Audit Layers)
Extern



Die externe Analyseebene enthält ein vollständiges IT-Sicherheitsaudit, ausgeführt aus der Perspektive eines Externen, der ein öffentlich zugängliches Ziel von außen angreift, wo jeder Internetanwender ein potentieller Angreifer ist. Dieses Audit wird am häufigsten durchgeführt, da es die IT-Sicherheitsschwachstellen der öffentlichen Systembereiche ausnutzt. Jegliche IT-Sicherheitsüberprüfung auf dieser Ebene simuliert Angreifer (anonyme oder autorisierte Anwender), die die zu auditierenden Systeme aus dem Internet, aus öffentlichen Telefonnetzen oder anderen großen Netzwerken mit öffentlichen Zonen, z.B. Wi-Fi oder mobile Zugriffsnetze, angreifen könnten.


DMZ



Die Analyse der DMZ-Ebene umfasst alle IT-Sicherheitsüberprüfungen aus der Perspektive eines Angreifers innerhalb der Demilitarisierten Zone (DMZ). Alle auf dieser Ebene durchgeführten IT-Sicherheitsaudits simulieren Angreifer (anonym oder angemeldete Anwender), die auf die zu auditierenden Systeme - innerhalb einer oder mehreren DMZ-Zonen - abzielen. Dies erfolgt unter der Annahme, dass die Maßnahmen für die externe Sicherheit nicht ausreichend sind und der Angreifer aus der DMZ-Ebene seine Angriffe fortsetzt.


Intern



Die Analyse der internen Ebene umfasst alle IT-Sicherheitsüberprüfungen aus der Perspektive eines sich innerhalb des internen Firmennetzwerks befindlichen Angreifers. Das „interne“ Netzwerk repräsentiert alle zugangsbeschränkten und als zuverlässig eingestuften Bereiche, also zum Beispiel auch eine Remoteverbindung über einen Private Link sowie über VPN. Der am häufigsten auftretende Fall simuliert Angreifer aus der Position eines gelegentlichen Besuchers oder Mitarbeiters. Zusätzliche Profile umfassen Administratoren, Servicepartner, andere Geschäftseinheiten, Kunden mit erweiterten Zugangsberechtigungen o.ä., die auf Ziele mit einer höheren Sicherheitsfreigabe fokussiert sind. Diese Sicherheitsauditierung der internen Ebene ist üblicherweise stark an die spezifischen Bedürfnisse des jeweiligen Kunden angepasst.


Unterstützungsebene (Support Layer)



Die Analyse der Unterstützungsebene umfasst alle IT- Sicherheitsüberprüfungen, die auf Systeme und Frameworks zielt, die die Infrastruktur für komplexere geschäftliche Dienstleistungen bilden, unabhängig von ihrer Position. Zum Beispiel kann eine solche Prüfung gezielt alle Router, Switches und Zugangssysteme adressieren, unabhängig davon, ob sie extern oder intern, aus der anonymen Sicht oder der Anwenderperspektive geprüft werden. Eine solche Prüfung würde das Networking der Unterstützungsebene betreffen. Ebenfalls können Überprüfungen der Managementsysteme, Firewalls, VPN-Systeme oder Betriebssysteme durchgeführt werden.


Anwendungsebene



Die Auditierung der Anwendungsebene ist die größte Stärke der Detack und stellt die komplexeste Phase eines Projektes zur IT-Sicherheitsprüfung dar. Hierbei handelt es sich um die Analyse von komplexen Geschäftsanwendungen, Frameworks und Anwendungsumgebungen, inklusive aller zugehörigen Komponenten – unabhängig von deren Art oder Platzierung. Die Überprüfung dieser Ebene wird immer angepasst, je nach Typ, Entwicklungsumgebung, Nutzung und Größe einer oder mehrerer Zielanwendungen. Die Ziele werden der "Anwendungsebene” zugeordnet, sobald die Komplexität ihrer Funktionalität einen bestimmten Wert überschreitet. Zum Beispiel kann nicht nur ein Online-Banking System oder ein SAP-Server das Ziel einer Anwendungsprüfung sein, sondern auch ein komplexer VPN-Server. Sofern erforderlich, enthält die Anwendungsebene auch eine Überprüfung des Quellcodes, sofern dieser verfügbar sein sollte. Alle Programmiersprachen werden hierbei unterstützt.


Benutzerdefinierte & komplexe Umgebungen



Komplexe Umgebungen werden durch eine Reihe von spezifisch angepassten Auditmodulen abgedeckt, damit alle in diesen Fällen vorhandene Ebenen abgedeckt werden. Ziele sind zum Beispiel große multinationale Unternehmen mit komplexen IT-Umgebungen.


Audit Perspektiven (Audit Perspectives)
Anonym



Die anonyme Perspektive simuliert einen Angreifer, der keinen autorisierten Zugriff auf die Testziele hat. Die meisten der typischen Angriffe aus dem Internet passen in diese Kategorie. Normalerweise zielen die Angriffe aus anonymer Perspektive auf eine kleine Bandbreite von Perimeter-Diensten mit einer großen Anzahl an potentiellen Angreifern - jeder Internet-Benutzer kann ein Angreifer werden.


Einfache Benutzer



Die einfache Benutzer Perspektive simuliert einen Angreifer, der auf der Endbenutzerebene Zugriff auf die Testziele hat. Ein typischer Fall wäre z.B. ein normaler Bankkunde mit Online-Banking Zugriff, der die gleichen Dienste wie viele andere Kunden verwendet. Diese Perspektive umfasst alle IT- Sicherheitsschwachstellen, die normalerweise nicht aus Sicht eines anonymen Benutzers ausgenutzt werden können, da die Funktionalität nur registrierten Anwendern vorbehalten sein sollte.


Externe Organisation



Die Prüfung aus Sicht einer externen Organisation simuliert Angriffe ausgehend von Verbundunternehmen. Als Verbundunternehmen werden alle Organisationen angesehen, die legitimierten Zugriff auf die Testziele haben. Ein typischer Fall wäre zum Beispiel eine e-Banking- Umgebung, in der sich mehrere Banken dasselbe Bearbeitungs- und Abrechnungszentrum teilen, um Angriffe von einer Bank auf eine andere zu simulieren. Ähnliche Fälle sind in ausgelagerten Umgebungen, wo mehrere Unternehmen sich dieselbe Datenverarbeitung Dritter und die Hosting-Umgebung teilen.


Organisationseinheit



Die Audits aus Sicht einer Organisationseinheit oder Tochtergesellschaft decken jegliche Angriffe von Einheiten mit geringerem Vertrauensstatus ab. Dies kann u.a. eine externe Organisationseinheit, Tochtergesellschaft oder eine Regierungsabteilung gegenüber einer Einheit mit höherem Vertrauensstatus sein, z.B. Muttergesellschaft, Managementzone oder die zentrale Regierung.


Benutzerdefinierte & Komplexe Profile



Alle verschiedenen Zugriffsprofile, die in einem bestimmten Unternehmen oder einer Organisation vorhanden sind, können durch die Anpassung der Prüfungsmodule abgedeckt werden, um sie gemäß den Prüfungsperspektiven zu verändern und den ausgewählten Prüfungstyp anzupassen.


© 2000-2017 Detack GmbH. Alle Rechte vorbehalten.