penetration-test

 

Wir verwalten Millionen von Datensätzen. Davon sind etliche geschäftskritisch für unsere Kunden. Daher hat Informationssicherheit eine so hohe Bedeutung bei inet. Deswegen gehen wir auch die Extrameile, wenn es um die Entdeckung von Sicherheitsrisiken geht. Zusätzlich zu umfassenden Sicherheitsaudits im Rahmen der ISO-Zertifizierung, führen wir auch freiwillige Penetration Tests durch.

Interne und externe Schwachstellen entdecken

Bei einem Penetration Test wird versucht unautorisierten Zugang zu einem System oder Netzwerk zu bekommen. Dabei werden Mittel und Methoden eingesetzt wie ein Hacker sie verwenden würde, um die tatsächlichen Sicherheitsrisiken möglichst real einzuschätzen. inet lässt sich deswegen einmal jährlich von den Experten der XSEC GmbH überprüfen.

Die Auditoren versuchen einerseits im Blackbox-Ansatz einen klassischen Hackingangriff, also von außen ohne Insiderinformationen in das System einzudringen. Mit dem Whitebox-Ansatz werden im nächsten Schritt sicherheitsrelevante Fehler in der Applikation geprüft. Diesmal wird den externen Sicherheitsprofis allerdings ein Zugang mit verschiedenen Berechtigungen zur Verfügung gestellt. Fünf Tage lang überprüfen sie dann verschiedene Szenarien: ob Daten anderer User eingesehen, auf vertrauliche Daten zugegriffen oder Daten geändert werden können, für die keine Änderungsrechte bestehen.

Positive Resultate

Die Resultate der Penetration Tests werden mit dem Management gemeinsam bewertet und Gegenmaßnahmen definiert. Beim letzten Test im Frühjahr wurden verglichen mit dem Branchenschnitt sehr wenige Schwachstellen gefunden. Als Basis für die Priorisierung der nächsten Schritte dient das Common Vulnerability Scoring System2, kurz CVSS2. Die Umsetzung der Maßnahmen wird durch den Information Security Manager begleitet und überwacht.

Zukunftspläne

In Zukunft werden außerdem vor dem GoLive wesentlicher Neuentwicklungen Penetration Tests stattfinden, um Schwachstellen noch früher im Entwicklungsprozess zu identifizieren und zu be-heben.
Das Ergebnis der Penetration Tests ist Grund zur Freude, aber nicht zur Ruhe, denn die Vorbereitungen auf die Rezertifizierung nach ISO 27001 im Mai diesen Jahres laufen bereits auf Hochtouren.