Kategorie: Uncategorized

Unter Hardening bzw. Härten versteht man das Erhöhen der IT Sicherheit durch Änderungen an der Systemkonfiguration. Nach einer vorangegangenen Analyse der betrachteten Systemen werden die notwendigen Änderungen an den Infrastrukturkomponenten durchgeführt.

Welchen Service biete ich an?
Gerne führe ich eigenständig oder zusammen mit Ihrem Team eine Infrastrukturanalyse durch. Dasselbe gilt auch für die Umsetzung der sich daraus ergebenden, umzusetzenden Maßnahmen.

“Man kann nur schützen, was man kennt.”

Ohne die eigene Systemlandschaft nicht komplett zu kennen bzw. erfasst zu haben, ist es nicht möglich, einen effektiven Schutz gegen Angriffe aufzubauen. Über Jahre hinweg gewachsene Strukturen in Kombination mit mangelhafter Dokumentation führen oft dazu, dass der nötige Gesamt-Überblick fehlt.

Welchen Service biete ich an?
Zusammen mit ihrem Team erstelle ich einen Gesamt-Überblick über ihre IT-Infrastruktur, wobei unterschiedliche Anwendungen und Scan-Methoden zum Einsatz kommen. Als Ergebnis erhalten Sie eine detaillierte Aufstellung über die in Ihrem Unternehmen eingesetzten Infrastrukturkomponenten, Software- und Firmwarestände und die dafür bekannte Schwachstellen. Sie erhalten außerdem eine Einschätzung, wo Angreifer bei einem gezielten Angriff auf Ihr Unternehmen ansetzen und wie diese Angriffspunkte vermindert werden können.

Sie benötigen zusätzlich Unterstützung, um die Wichtigkeit der Behebung dieser Schwachstellen aufzeigen zu können?
Kombinieren Sie die Analyse mit meinem Service “Penetration Testing”

Egal ob Webshop, Client-Server Anwendung oder Handy-App – die Anforderungen an die Sicherheit der Benutzer- und Applikationsdaten steigen seit Jahren kontinuierlich. Auch ohne dezidierte Erwähnung in der Anforderung gehen Kunden davon aus, dass vom ersten Moment der Entstehung der Sicherheitsaspekt mit einbezogen wird. Auch wenn mittlerweile in jeder Programmiersprache diverse Bausteine zur Absicherung von Anwendungen zur Verfügung stehen, werden diese oft aus Unwissenheit nicht verwendet. Auch kann eine fehlerhafte Implementierung zu folgenschweren Schwachstellen führen.

Welchen Service biete ich an?
Ich prüfe Ihre Anwendungen sowohl aus Sicht des Entwicklers als auch aus der eines Angreifers. Im Sinne einer systemischen Vorgehensweise ist nicht nur der Sourcecode selbst, sondern auch Zugriffe auf externe Datenquellen, die Ablage von Benutzerinformationen, usw.  Teil des Reviews. Als Ergebnis erhalten Sie einen Bericht über die herausgearbeiteten Schwachstellen sowie Tipps zu deren Behebung. Gerne unterstütze ich ihr Team auch während der Umsetzung der Maßnahmen. In einer zweiten Iteration wird die ordnungsgemäße Implementierung der Maßnahmen sowie deren Wirksamkeit überprüft, die abschließende Dokumentation dient zur Nachvollziehbarkeit und als Beleg für eventuelle Audits.

Wie können Sie sicherstellen, dass Ihre Anwendung zukünftig sicherer entwickelt werden?
Sowohl der aus dem Code-Review entstandene Schwachstellenbericht als auch die Dokumentation der Behebungsmaßnahmen liefern bereits wichtige Informationen, um mehr Bewusstsein für das Thema Sicherheit bei Ihrem Team zu schaffen. Bei einer gemeinsamen Umsetzung der Maßnahmen in Form eines Workshops liegt mein Fokus vor allem auf der Vermittlung von weiterführendem Knowhow in diesem Bereich. Sollte dennoch Bedarf an einer Vertiefung bestehen, kann dies gerne im Rahmen einer inhouse Schulung stattfinden.