Egal ob IT Verantwortlicher, Administrator, Software Entwickler, Steuerungstechniker oder Anwender – in Zeiten von sich selbst verbreitender Ransomware, enormen Botnetzen aus IoT Geräten, virtueller Betriebsspionage und -sabotage hängt die IT-Sicherheit von Unternehmen vor allem von ihren Mitarbeitern und deren Verständnis für IT-Sicherheit in ihrem jeweiligen Bereich ab.
Welchen Service biete ich an?
Ich biete sowohl Standard Schulungen als auch speziell auf Ihre Bedürfnisse angepasste Workshops an.
Standard Schulungen:
– IT-Security für IT-Verantwortliche
– IT-Security für Entwickler
– IT-Security für Administratoren
– IT-Security für Anwender
– IT-Security für Webhoster und Cloud Anbieter
Gerne stelle ich Ihnen ein Angebot für einen individuellen Workshop.
Senden Sie Ihre Anfrage an office@db-security.at.
Unter Hardening bzw. Härten versteht man das Erhöhen der IT Sicherheit durch Änderungen an der Systemkonfiguration. Nach einer vorangegangenen Analyse der betrachteten Systemen werden die notwendigen Änderungen an den Infrastrukturkomponenten durchgeführt.
Welchen Service biete ich an? Gerne führe ich eigenständig oder zusammen mit Ihrem Team eine Infrastrukturanalyse durch. Dasselbe gilt auch für die Umsetzung der sich daraus ergebenden, umzusetzenden Maßnahmen.
Sie haben Bedarf an einem Vortrag zum Thema IT Sicherheit oder wollen mittels einer Live Hacking Vorführung auf effektvolle Weise Verständnis für IT Sicherheit schaffen?
Gerne erarbeite ich individuell für Ihren Anlass einen Vortrag zu einem Thema aus dem Gebiet IT Sicherheit. Wenn gewünscht, kombiniere ich diesen mit passenden Live Hacking Einlagen, die dem Zuseher effektvoll das Thema IT Sicherheit vermitteln. Im Zuge der Vorträge werden keine Angriffe auf reale Ziele ausgeführt – sämtliche Hacks finden in einer dezidierten Testumgebung statt. Dadurch wird sichergestellt, dass – weder gewollt noch ungewollt – Unternehmensdaten veröffentlicht oder -systeme beeinflusst werden.
Ob Unternehmenswebsite, Lieferantenportal oder Onlineshop – beinahe kein Unternehmen kommt heutzutage ohne Onlinepräsenz aus. Doch ein erfolgreicher Angriff auf jene Webapplikationen kann enormen Schaden sowohl finanzieller Art als auch am Unternehmensimage bedeuten.
Welchen Service biete ich an?
Durch eine Kombination von unterschiedlichen, automatisierten Schwachstellenscans und manueller Code Review prüfe ich Ihre Webapplikation sowohl aus der Sicht des Entwicklers als auch des Angreifers. Als Ergebnis erhalten Sie eine Dokumentation der Schwachstellen sowie Tipps zu deren Behebung. Gerne unterstütze ich Ihr Team auch bei der Umsetzung der empfohlenen Maßnahmen.
Wie können Sie sicherstellen, dass Sie trotz zukünftig entdeckter Schwachstellen auf der sicheren Seite sind?
Gerne biete ich Ihnen ein auf Ihre Bedürfnisse angepasstes, kostengünstiges Wartungspaket an und übernehme diese Aufgaben für Sie. Je nach Bedarf werden regelmäßige, automatisierte Scans durchgeführt und das Ergebnis per Mail an Ihr Team geschickt. Sollte Ihr Team Hilfe bei der Umsetzung der anstehenden Tätigkeiten benötigen, unterstütze ich natürlich gerne.
“Wenn du dich und den Feind kennst, brauchst du den Ausgang von hundert Schlachten nicht zu fürchten.” Sun Tzu, Die Kunst des Krieges
Bei einem Penetration Test wird ein Hacker-Angriff auf Ihre Unternehmensinfrastruktur simuliert. Unterschieden wird dabei zwischen externen und internen Penetration Tests.
Bei einem externen Szenario werden sämtliche Angriffe ausschließlich über das Internet ausgeführt. Je nachdem können die Tests rein technischer (Finden und Ausnützen von Schwachstellen in der Infrastruktur) oder organisatorischer (Social Engineering, Phishing Mails, …) Art sein bzw. eine Kombination davon. Durch diese Vorgangsweise werden Angriffe ohne physischen Zugang zur Unternehmensinfrastruktur simuliert.
Bei einem internen Szenario verfügt der “Angreifer” über physischen Zugang zum Unternehmen. Er kann präparierte USB-Sticks platzieren, an ungeschützten Netzwerkports den Datenverkehr mitlesen, schlecht verschlüsselte WLANs attackieren, usw. und somit auch die von extern nicht erreichbaren Infrastrukturkomponenten in die Analyse mit einbeziehen.
Welchen Service biete ich an?
Je nach Kundenwunsch führe ich simulierte Angriffe eigenständig, in Abstimmung oder zusammen mit ihrem Team durch. Dabei halte ich den gesamten Ablauf, von der Informationsbeschaffung bis hin zum erfolgreichen Eindringen in die Unternehmensinfrastruktur, chronologisch fest. In der abschließenden Dokumentation erhalten Sie neben dieser “Roadmap” eine Auflistung über die gefundenen Schwachstellen sowie Tipps zu deren Behebung. Gerne unterstütze ich Sie bereits bei der Definition des Anwendungsbereichs und des Testumfangs. Dies gilt natürlich auch für die Implementierung der sich aus dem Penetration Test erarbeiteten Maßnahmen zur Behebung der Schwachstellen.
Unternehmenskritische Systeme im Einsatz, die unter keinen Umständen vom Test beeinträchtigt werden dürfen? Während des gesamten Vorgangs ist durch die vorher exakte Definition des Anwendungsbereichs sichergestellt, dass unternehmenskritische Systeme nicht oder nur zu abgestimmten Zeiten in den Test mit einbezogen werden.
Ohne die eigene Systemlandschaft nicht komplett zu kennen bzw. erfasst zu haben, ist es nicht möglich, einen effektiven Schutz gegen Angriffe aufzubauen. Über Jahre hinweg gewachsene Strukturen in Kombination mit mangelhafter Dokumentation führen oft dazu, dass der nötige Gesamt-Überblick fehlt.
Welchen Service biete ich an?
Zusammen mit ihrem Team erstelle ich einen Gesamt-Überblick über ihre IT-Infrastruktur, wobei unterschiedliche Anwendungen und Scan-Methoden zum Einsatz kommen. Als Ergebnis erhalten Sie eine detaillierte Aufstellung über die in Ihrem Unternehmen eingesetzten Infrastrukturkomponenten, Software- und Firmwarestände und die dafür bekannte Schwachstellen. Sie erhalten außerdem eine Einschätzung, wo Angreifer bei einem gezielten Angriff auf Ihr Unternehmen ansetzen und wie diese Angriffspunkte vermindert werden können.
Sie benötigen zusätzlich Unterstützung, um die Wichtigkeit der Behebung dieser Schwachstellen aufzeigen zu können?
Kombinieren Sie die Analyse mit meinem Service “Penetration Testing”
Egal ob Webshop, Client-Server Anwendung oder Handy-App – die Anforderungen an die Sicherheit der Benutzer- und Applikationsdaten steigen seit Jahren kontinuierlich. Auch ohne dezidierte Erwähnung in der Anforderung gehen Kunden davon aus, dass vom ersten Moment der Entstehung der Sicherheitsaspekt mit einbezogen wird. Auch wenn mittlerweile in jeder Programmiersprache diverse Bausteine zur Absicherung von Anwendungen zur Verfügung stehen, werden diese oft aus Unwissenheit nicht verwendet. Auch kann eine fehlerhafte Implementierung zu folgenschweren Schwachstellen führen.
Welchen Service biete ich an?
Ich prüfe Ihre Anwendungen sowohl aus Sicht des Entwicklers als auch aus der eines Angreifers. Im Sinne einer systemischen Vorgehensweise ist nicht nur der Sourcecode selbst, sondern auch Zugriffe auf externe Datenquellen, die Ablage von Benutzerinformationen, usw. Teil des Reviews. Als Ergebnis erhalten Sie einen Bericht über die herausgearbeiteten Schwachstellen sowie Tipps zu deren Behebung. Gerne unterstütze ich ihr Team auch während der Umsetzung der Maßnahmen. In einer zweiten Iteration wird die ordnungsgemäße Implementierung der Maßnahmen sowie deren Wirksamkeit überprüft, die abschließende Dokumentation dient zur Nachvollziehbarkeit und als Beleg für eventuelle Audits.
Wie können Sie sicherstellen, dass Ihre Anwendung zukünftig sicherer entwickelt werden?
Sowohl der aus dem Code-Review entstandene Schwachstellenbericht als auch die Dokumentation der Behebungsmaßnahmen liefern bereits wichtige Informationen, um mehr Bewusstsein für das Thema Sicherheit bei Ihrem Team zu schaffen. Bei einer gemeinsamen Umsetzung der Maßnahmen in Form eines Workshops liegt mein Fokus vor allem auf der Vermittlung von weiterführendem Knowhow in diesem Bereich. Sollte dennoch Bedarf an einer Vertiefung bestehen, kann dies gerne im Rahmen einer inhouse Schulung stattfinden.
Sicherer Einsatz von CMS im Unternehmen mit Daniel Burtscher – IT Security Consulting
WordPress, Joomla, Typo3, Drupal, … die Auswahl an freien Content Management Systemen (CMS) ist groß. Doch, abgeschreckt von den Meldungen über Sicherheitslücken in den weitverbreiteten Systemen, entscheiden Unternehmen sich bei ihrem Internet- oder Intranetauftritt oftmals für teure Eigen- bzw. Fremdentwicklungen.
Dabei zeigt die Praxis, dass Content Management Systeme bei richtiger Konfiguration und Wartung oftmals wesentlich weniger fehlerbehaftet sind als Individualprogrammierungen.
Welchen Service biete ich an? Ich helfe Ihnen dabei, Ihre Webapplikation auf Basis eines freien Content Management Systems sicher zu gestalten! Gerne informiere ich Sie schon bei der Auswahl bezüglich sicherheitstechnischer Vor- und Nachteile der unterschiedlichen Systeme. Sollte die Auswahl bereits getroffen sein, unterstütze ich gerne bei der Implementierung, damit Ihre Seite vom ersten Tag an vor Angriffen geschützt ist. Ein abschließender Sicherheits-Scan dient zur Überprüfung der Wirksamkeit der implementierten Maßnahmen, die nachfolgende Dokumentation zur Nachvollziehbarkeit und als Beleg für etwaige Audits.
Was, wenn bereits ein Content Management System im Einsatz ist?
Sollte bereits ein Content Management System im Einsatz sein, wird in einem ersten Schritt die aktuelle Sicherheitslage ermittelt. Als Ergebnis erhalten Sie eine Auflistung der gefundenen Schwachstellen sowie Tipps zu deren Behebung. Gerne unterstütze ich Ihr Team auch während der Umsetzung der Maßnahmen. Ein abschließender Sicherheits-Scan dient zur Überprüfung der Wirksamkeit der implementierten Maßnahmen, die nachfolgende Dokumentation zur Nachvollziehbarkeit und als Beleg für etwaige Audits.
Sie haben keine Zeit, sich um die laufende Information bezüglich neuer Schwachstellen und Updates zu Ihrem CMS zu kümmern?
Gerne biete ich Ihnen ein auf Ihre Bedürfnisse angepasstes, kostengünstiges Wartungspaket an und übernehme diese Aufgaben für Sie. Dabei kann sich meine Unterstützung von der einfachen Info-Mail bezüglich neuer Schwachstellen und Updates bis hin zur direkten, mit Ihrem Team abgestimmten Umsetzung der anstehenden Tätigkeiten erstrecken.
Sie haben eine Individualprogrammierung, die Sie auf IT Sicherheit prüfen lassen möchten?
Sehen Sie sich meine Leistungen zum Thema Code-Review an.