Security Audits

Eine externe Überprüfung der IT-Systeme auf Schwachstellen zeigt auf, wo sich Lücken und Risiken befinden und wie Unternehmen dagegen vorgehen können. ITRIS One bietet umfassende Security Audits in verschiedenen Bereichen an. Nach einer breiten Analyse innerhalb unseres Security Check-ups folgen vertiefte Prüfungen wie das Penetration Testing sowie Sicherheitsanalysen von Applikationen. Zudem wird geprüft, wie es im Unternehmen in Sachen Social Engineering und User Awareness steht.

Kennen Sie die Schwachstellen Ihrer IT? Um die Systeme im Unternehmen gezielt schützen zu können, ist eine genaue Analyse unabdingbar. Deshalb bietet ITRIS One umfassende Security Audits an, die Aufschluss über sämtliche Risiken in der ganzen IT-Landschaft geben. Welche Teilbereiche des gesamten Audit-Bereichs geprüft werden, legen wir zusammen mit Ihnen fest.

Erkenntnisse durch umfassendes Monitoring
Die Analysephase startet mit dem Security Check-up. Dabei werden umfassende Informationen in der Breite gesammelt. Der Check-up hat das Ziel, mittels Analysen von Applikationen und Protokollen einen Überblick über mögliche Schwachstellen oder Gefahrenherde zu identifizieren. Er gliedert sich in vier Phasen: Monitoring, Analyse, Report und Präsentation. Dieser erste Teil des Audits kann als kostengünstiger und unverbindlicher Service von ITRIS One separat bezogen werden (siehe Factsheet «Security Check-up»). Für vertiefte Untersuchungen wird das gesamte Security Audit von ITRIS One angewendet.

„Der Penetrationstest ermittelt mit den Methoden der Angreifer die Verletzlichkeit der zu prüfenden IT-Systeme.“

Ein wichtiger Teil des Security Audits sind die Penetrationstests, bei denen einzelne Systeme oder komplette Netzwerke jeglicher Grösse mit allen ihren Systembestandteilen und Anwendungen getestet werden – und zwar mit Mitteln und Methoden, die ein Angreifer anwenden würde, um unautorisiert in das System einzudringen (Penetration). Der Security Penetration Test ermittelt somit die Verletzlichkeit der zu prüfenden Systeme und Anwendungen gegen derartige Angriffe. Wesentliche Voraussetzungen sind dabei die richtigen Werkzeuge und Kenntnisse, die dabei helfen, möglichst alle Angriffsmuster nachzubilden.

Manuelle Tests von Experten
Der Begriff Penetration Testing wird gelegentlich auch fälschlich für einen automatischen Vulnerability Scan verwendet (vulnerability: engl. und fachsprachlich für «Schwachstelle»). Während ein Vulnerability Scan weitgehend automatisch abläuft, bedarf es bei einem Penetrationstest eine manuelle Vorbereitung in Form von Sichtung des Prüflings, Planung der Testverfahren, Auswahl der notwendigen Werkzeuge und schliesslich die Durchführung. ITRIS One verfügt über ein eigenes Security Penetration Lab, das für externe Check-ups und Penetrationstests eingesetzt wird. Unser Team besteht aus ausgebildeten CEHs (Certifed Ethical Hacker) und setzt verschiedene Tools für die Penetrationstests ein.

Ablauf der Security Penetration Tests in 8 Stufen
Die Security-Checks werden in acht Stufen durchgeführt. In der 1. Stufe werden sämtliche Informationen vom Kunden und dessen Zielsystemen gesammelt. In Stufe 2 werden die Zielsysteme analysiert. In Stufe 3 werden gefundene Schwachstellen detektiert und aufgedeckt. Stufe 4: Die entdeckten Schwachstellen werden ausgenutzt, um Zugriff zu weiteren Informationen und Systemen zu erhalten. Auf Stufe 5 werden sämtliche Vorkommnisse protokolliert und in einem Report schriftlich festgehalten. In Stufe 6 wird eine Massnahmen-Liste, resultierend aus der Schwachstellenanalyse, erstellt, um die gefundenen Sicherheitslücken zu schliessen. In Stufe 7 wird das Risiko-Level anhand der Findings bestimmt. Danach wird in Stufe 8 die IT-Sicherheitsinfrastruktur nochmals einem Audit unterzogen um sicherzustellen, dass sämtliche Sicherheitslücken und Software-Fehler geschlossen wurden.

Social Engineering und User Awareness
Auch die Schwachstelle Mensch wird eingehenden Tests unterzogen. Nicht immer nämlich sind die Sicherheitslücken im System technischer Art, sondern liegen in der Unachtsamkeit, Gutgläubigkeit oder Hilfsbereitschaft von Mitarbeitenden. ITRIS One entwickelt zusammen mit Ihnen passende Social-Engineering-Testanordnungen, die etwa fiktive Telefonanrufe, versuchte Zutritte zu Gebäuden oder gefälschte E-Mails beinhalten können. Um die User Awareness in einem Betrieb hoch zu halten, können die Mitarbeitenden regelmässig ein spezielles Programm durchlaufen, das mit gezielten Fragen auf aktuelle Bedrohungen eingeht und somit für die wichtigen Security-Themen sensibilisiert.

FACTSHEET (PDF, 350 KB)

Unsere Partner für Security Audits

Wir pflegen diverse strategische Partnerschaften, setzen jedoch nicht das gesamte Portfolio eines Partners ein. Wir verwenden ausschliesslich die führenden Technologien und Produkte. Für unsere Kunden bauen wir keine Me-Too-Lösungen, sondern immer die bestmögliche!