2019

IT-Sicherheit: Lösungen für ihr Unternehmen (1)

In dieser Reihe von News-Beiträgen möchte ich Ihnen Anwendungsfälle zeigen, wie wir zur Informationssicherheit Ihres Unternehmens beitragen können.
Unser Portfolio: IT-Sicherheit als Dienstleistung
Unsere Mission: Der Schutz Ihres Unternehmens durch ein angemessenes Niveau der Informationssicherheit
Unsere Strategie: Technische Exzellenz mit viel Herzblut

Schauen Sie sich unsere Anwendungsfälle an. Einige sind bestimmt auch für Ihr Unternehmen relevant.


Paderborn, 15. November 2019

Beitrag 1: Einen soliden Überblick über das Thema Informationssicherheit erhalten

 

Alle reden von Digitalisierung und dass IT-Sicherheit eine Grundvoraussetzung dafür ist. Deshalb möchte ich mir einen schnellen Überblick verschaffen.
Was ist mit Informationssicherheit gemeint und wie kann ich Informationssicherheit dauerhaft sicherstellen?

 

Weiterlesen …

2019 von Michael Wolf (Kommentare: 0)

Drehbuch für einen Pentest

 

Pentest ist die Kurzform für Penetrationstest.

Ein solcher Test soll Sicherheitslücken in der IT eines Unternehmens aufdecken. Sicherheitslücken, die bei einem Cyber-Angriff ausgenutzt werden könnten, z.B. um Daten abzugreifen, Server zu sabotieren, Webseiten lahmzulegen oder Erpressungstrojaner zu platzieren.

Wie gehe ich bei einem Pentest vor?

Hier sind die 5 wichtigsten Schritte aus meinem Drehbuch.


Schritt 1 - Informationen sammeln:

Was ist im Netz über das Unternehmen bekannt? Domains, Email-Adressen, Personen, Hosts, IP-Adressen, URLs


Schritt 2 - Recherche: Have I been pwned?

Wurden Email-Adressen, Benutzerkonten und Passwörter des Unternehmens in der Vergangenheit bereits einmal auffällig, z.B. als Opfer eines Datendiebstahls oder Cyber-Angriffs?


Schritt 3 – Briefing des Kunden zum Thema Pentest und Abstimmung, wie bei dem Test vorgegangen werden soll:

Welche Domains/Systeme/IPs sollen getestet werden?
Welche Websites sollen getestet werden?
Festlegung von Zeitfenstern, in denen der Test stattfinden kann.
Wichtig zu wissen: Die Tests dienen dazu, Sicherheitslücken aufzudecken. Gefundene Sicherheitslücken werden sorgfältig dokumentiert, aber niemals für einen Angriff ausgenutzt.


Schritt 3 – Durchführung der Tests

Die Tests erfolgen auf einer eigens dafür entwickelten Betriebssystemplattform und mit Hilfe einschlägiger Tools. Stichworte: Kali Linux, NMAP, w3af, wireshark, shodan, password cracker, vulnerability database.
Es stehen mehrere Hundert Testfälle zur Verfügung, die manuell oder automatisiert über Scripting abgerufen werden können.


Schritt 4 – Testbericht

Ein Testbericht wird erstellt. Die Kurzfassung dieses Berichts kann der Kunde für seine Präsentationszwecke einsetzen. Z.B. bauen Kunden die Kurzfassung gerne in ihre eigene Präsentation ein, mit der sie um Vertrauen in Sachen IT-Sicherheit werben.
Der ausführliche Bericht ist für den internen Gebrauch bestimmt. Er listet alle gefundenen Sicherheitslücken auf, sortiert nach ihrer Dringlichkeit. Was ist das Problem bei der Sicherheitslücke, wie hoch ist das Risiko, wie kann sie behoben werden?

Die gefundenen Sicherheitslücken werden mit Hilfe von Testprotokollen dokumentiert. Ein Beispiel für ein solches Protokoll finden Sie in dem Bild rechts.


Schritt 5 – Durchsprache des Berichts mit dem Kunden

Hier ist Zeit für Fragen und Antworten. Empfehlungen zum weiteren Vorgehen schließen sich an.

Dieses sind also die 5 wichtigsten Schritte aus meinem Drehbuch. Die Beschreibung dieser Schritte habe ich bewusst kurz gehalten. Zum einen sollte dieser Artikel nicht zu lang werden, zum anderen möchte ich auch nicht zu viel von meinem technischen Knowhow preisgeben.

Hoffentlich habe ich Sie neugierig gemacht. Bitte kontaktieren Sie mich:
info@wolf-it-architekt.de oder 05254 93 69 420.

2019 von Michael Wolf (Kommentare: 0)

Online-Trainings für mehr Informationssicherheit

 

Illustration zu Online-TrainingAb Januar 2019 bietet Wolf-IT-Architekt Online-Trainings für mehr Informationssicherheit an. Das Ziel der Trainings ist es, Ihnen das notwendige Knowhow zu vermitteln, wie Sie ein Managementsystem für Informationssicherheit in Ihrem Unternehmen konzeptionieren, umsetzen, kontrollieren und stetig verbessern können.
Dazu sagt Michael Wolf: „Wir haben eine Reihe von Kursen entworfen, die das Thema Informationssicherheit in seinen vielfältigen Details behandeln. Als Einstieg empfehle ich den Kurs Informationssicherheit in der Nussschale. Mit diesem Kurs erhält der Kunde einen umfassenden Überblick.  Weitere Kursen bauen darauf auf, die das Thema schwerpunktmäßig vertiefen.“
Alle Kurse basieren auf dem Standard des BSI IT-Grundschutz in seiner erneuerten Version aus dem Jahr 2018. Sie können diese Kurse online mit Ihrem Webbrowser machen, ganz entspannt im Büro oder an Ihrem Arbeitsplatz zu Hause.
Die Kurse werden online auf der Plattform Wolf-IT-Training.de bereitgestellt und sind dort auch buchbar.
Michael Wolf: „Wir bieten diese Kurse zu geringen Gebühren an. Die Teilnahme soll nicht am Budget scheitern. Natürlich hoffe ich, dass diese Kurse ein breites Publikum finden, und dass der ein oder andere Teilnehmer sich anschließend entscheidet, enger mit Wolf-IT-Architekt zusammen zu arbeiten.“
Mehr Information zu den Online-Trainings gibt es auf der Webseite bei Wolf-IT-Architekt.de. Oder Sie schauen direkt auf der Plattform Wolf-IT-Training.de nach.
Gerne können Sie mich auch anrufen unter 05254 9369420.

2019 von Michael Wolf (Kommentare: 0)