Kleine und mittlere
Unternehmen

Security Audit und Hardening Check

Ein Security Audit und Hardening Check umfasst die Überprüfung einer Unternehmensinfrastruktur oder einzelner Anwendungen in Form von leitfadengestützten Interviews mit den verantwortlichen Ansprechpartnern der Kundenorganisation. Gegenstand des Audits sind die sicherheitsrelevanten Prozesse der Organisation sowie die Architektur und Konfiguration der IT-Systeme. Darüber hinaus kann für ausgewählte Systeme eine detaillierte Überprüfung der Konfiguration (Hardening-Check) durchgeführt werden.

Gründe für ein Security Audit und Hardening Check

Mit Hilfe eines Security Audit und Hardening Check kann sehr effizient das Sicherheitsniveau einer Organisation bewertet werden, wobei auch die Geschäftsprozesse berücksichtigt werden. Im Gegensatz zu beispielsweise Penetrationstests bietet ein Audit damit eine ganzheitliche Sicht auf den IT-Betrieb. Durch die Durchführung in Form von leitfadengestützten Interviews bietet ein Audit tiefere Einblicke in interne Prozesse. Zudem entfällt in der Regel die Erstellung von Zugängen und Berechtigungen für die Sicherheitsspezialisten, was sich zeitsparend auswirkt.

Ziele

Die wesentlichen Ziele von Security Audits und Hardening Checks sind daher die Identifizierung von Sicherheitslücken, die Risikobewertung und die allgemeine Verbesserung des Sicherheitsniveaus.

• Identifizierung von Sicherheitslücken: Ein wesentliches Ziel von Security Audits und Hardening Checks ist es, Schwachstellen in Prozessen oder IT-Systemen aufzudecken, die den sicheren Betrieb der Infrastruktur gefährden. Durch die Identifizierung solcher Schwachstellen können Unternehmen Maßnahmen ergreifen, um diese Lücken zu schließen und ihre Sicherheit zu erhöhen.
• Risikobewertung: Ein Security Audit und Hardening Check kann dazu beitragen, Risiken in Bezug auf die Sicherheit von IT-Systemen zu bewerten. Durch die Identifizierung und Bewertung von Risiken können Unternehmen bessere Entscheidungen darüber treffen, welche Maßnahmen sie ergreifen sollten, um die Sicherheit ihrer IT-Systeme zu verbessern.
• Verbesserung des Sicherheitsniveaus: Das letztendliche Ziel eines Security Audits und Hardening Checks ist die Verbesserung des Sicherheitsniveaus einer Organisation. Indem Schwachstellen identifiziert und bewertet werden, können Unternehmen Maßnahmen ergreifen, um diese Lücken zu schließen und ihr Sicherheitsniveau zu erhöhen.

Als Ergebnis geben die Auditoren Empfehlungen zur Verbesserung des Sicherheitsniveaus der Organisation durch gezielte Maßnahmen.

Umsetzung

Die Durchführung eines Sicherheitsaudits gliedert sich in mehrere Phasen. Ziel ist es, eine bestmögliche Abdeckung der Auditthemen entsprechend den Zielen des Kunden zu gewährleisten:

1. Vorbereitung: Vorgespräch zur Definition der Ziele, Organisatorische Punkte (Durchführungszeitpunkt/-ort, Ansprechpartner), Grobe Vorstellung der Infrastruktur des Unternehmens
2. Dokumentensichtung: Bereitstellung und Sichtung relevanter Dokumente
3. Erstellung Auditplan: Zeitliche und inhaltliche Festlegung der Auditthemen, Sicherstellung der Verfügbarkeit und Erreichbarkeit relevanter Ansprechpartner
4. Durchführung des Audits: Vor-Ort- oder Remote-Audit, Interviewbasierte Vorstellung der Prozesse und Systemkonfigurationen
5. Dokumentation und Berichterstellung: Dokumentation von Abweichungen und Behebungsmaßnahmen, Erstellung des Abschlussberichts
6. Abschlussgespräch: Präsentation der Ergebnisse und empfohlener Maßnahmen zur Behebung, Abstimmung der nächsten Schritte

Die Prüfpunkte beim Audit einer Unternehmensinfrastruktur orientieren sich an den Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Hierzu zählen insbesondere das BSI-Grundschutzkompendium [1] sowie die Serie von Standards zur Internet-Sicherheit (ISi-Reihe). Darüber hinaus bringen die Auditoren der SmartTECS Cyber Security GmbH eigene Prüfpunkte ein, die auf Erfahrungen bei der Auditierung von Organisationen basieren.

Für die Prüfung von Härtungsmaßnahmen einzelner Systeme werden die Vorgaben des Center for Information Security (CIS-Benchmarks) sowie Empfehlungen der Hersteller herangezogen [3].

Quellen

• [1] IT-Grundschutz-Kompendium, BSI
• [2] BSI-Standards zur Internet-Sicherheit, BSI
• [3] CIS Benchmarks, Center for Information Security (CIS)

Das IT-Infrastruktur Testing bezeichnet die Untersuchung von Softwaresystemen und IT-Landschaften auf Netzwerkebene aus der Perspektive eines bösartigen Akteurs. Die Simulation von schadhaften Aktivitäten zur Identifikation von Schwachstellen erfolgt über das öffentliche Internet oder aus dem internen Netzwerk eines Unternehmens und umfasst die Untersuchung von …

• Netzwerkkomponenten: z.B. Anwendungsserver, Proxies, etc.
• Netzwerkprotokolle und Netzwerkdienste: z.B. SSH, FTP, RDP, LDAP, Kerberos, Windows Active Directory (AD), etc.
• Netzwerkzugängen und Schutzmaßnahmen auf Netzwerkebene
  z.B. Fernwartungs- und VPN-Zugänge, Netzwerksegmentierung, Firewallkonfiguration, etc.
• Technologie-spezifische Testaktivitäten: z.B. Docker, Kubernetes, etc.

Warum Penetration Testing?

Durch die fortschreitende Digitalisierung insbesondere von Geschäftsprozessen sind zunehmend mehr unternehmenskritische Bereiche über das öffentliche Internet erreichbar. Ein ausreichender Schutz vor bösartigen Angreifern ist daher wichtig, um mögliche technische sowie finanzielle Schäden (z.B. durch Datenverlust, Einschränkung der Verfügbarkeit) zu vermeiden.

Mithilfe von IT-Infrastruktur Testing können Schwachstellen innerhalb eines Netzwerkes durch die Simulation von schadhaften Aktivitäten identifiziert werden, um vorhandene Sicherheitsrisiken für Anwendungen und deren Benutzer zu bestimmen. Durch gezielte Maßnahmenempfehlungen zur Behebung von identifizierten Schwachstellen kann die Softwarequalität im Bereich IT-Sicherheit (Security) erhöht und ein ausreichender Schutz vor erfolgreichen Angriffen gewährleistet werden.

Im Allgemeinen können durch Sicherheitstests die folgenden Schutzziele [1] gemäß dem Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) überprüft werden:

1. Vertraulichkeit: „Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.“
2. Integrität: „Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen.“
3. Verfügbarkeit: Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können.

Ziel

Das Ziel der Testaktivitäten besteht im Allgemeinen aus den folgenden drei Punkten:

• Identifikation von vorhandenen Schwachstellen und Fehlkonfigurationen innerhalb des Anwendungssystems bzw. der IT-Landschaft.
• Empfehlung geeigneter Maßnahmen zur Behebung der Schwachstellen, um die Resistenz der IT-Infrastruktur vor möglichen internen und externen Angreifern zu erhöhen.
• Bestimmung des Sicherheitsniveaus der IT-Infrastruktur zum Zeitpunkt der Testdurchführung auf Basis der Testergebnisse.

Neben den oben genannten allgemeinen Zielen besteht die Möglichkeit in Absprache mit dem Auftraggeber die konkreten Testziele sowie deren Priorisierung individuell im Vorfeld der Testdurchführung zu ermitteln und die Untersuchung entsprechend anzupassen.

Allgemeine Testmethodik

Unsere Testmethodik im IT-Infrastruktur Testing beruht auf dem Durchführungskonzepts für Penetrationstests und IT-Grundschutz-Kompendium des BSI und dem Vorgehen des Penetration Execution Standards (PTES). Die konkreten Testaktivitäten werden entsprechend dem vereinbarten Kundenziel sowie den technischen Gegebenheiten angepasst.

Nächste Schritte

Nach Abschluss der Untersuchung bestehen verschiedene Anknüpfungspunkte, um die bisherige Analyse wirkungsvoll fortzusetzen. Eine Auswahl sinnvoller Möglichkeiten kann im Gespräch abhängig vom Kundenziel, Kundenwunsch und des Ergebnisses individuell zusammengestellt werden.

• Weitere Testaktivitäten auf Netzwerkebene: Konnten durch bisherige Penetrationstests nicht alle Bereiche des Netzwerks ausreichend untersucht werden, so ist eine Ausweitung auf weitere Netzwerkbereiche möglich.
• Web Application und Web Service Penetration Testing: Die bisherigen Testaktivitäten können auf einzelne Anwendungssysteme innerhalb des Netzwerks fokussiert werden, um eine Anwendungs-spezifischere Analyse des Sicherheitsrisikos durch zu führen.
• Sicherheitsberatung: Auf Basis gewonnener Erkenntnisse und identifizierter Schwachstellen können allgemeine oder anwendungsspezifische Themen im Bereich IT-Sicherheit, Best-Practices oder Know-How zur Sensibilisierung oder für Lösungsansätze vermittelt werden.
• Systemhardening: Durch eine gezielte Überprüfung von Anwendungssystemen, die im Netzwerk erreichbar sind, auf Konfigurationsebene, kann die Testabdeckung erhöht werden.

Simulation eines Phishing-Angriffs

Phishing-Attacken stellen eine der häufigsten Angriffsmethoden dar, um beispielsweise gezielt sensible Daten und Informationen aus einem Unternehmen zu exfiltrieren oder nach erfolgreicher Kompromittierung mittels Randsomeware Lösegeld zu erpressen. Die Vorgehensweise eines Angreifers bei einem Phishing-Angriff ist dabei recht einfach: Der Angreifer versucht, eine E-Mail oder Nachricht zu versenden, die so aussieht, als käme sie von einer vertrauenswürdigen Quelle, z.B. einem internen System oder einer firmeninternen Kampagne. Gemäß dem Lagebericht IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beginnt ein erfolgreicher Ransomware-Angriff häufig mit einer bösartigen Spam- oder Phishing-Mail [1].

Wir testen Ihre Systeme und Mitarbeitenden mit simulierten Phishing-Attacken, um die Wirksamkeit Ihrer aktuellen Abwehrmaßnahmen und die Awareness Ihrer Mitarbeitenden zu überprüfen.

Warum eine Phishing-Attacke simulieren?

Unsere Phishing-Simulation ist einfach, schnell und zuverlässig. Wir simulieren eine Phishing-Attacke und senden eine E-Mail an Ihre Mitarbeitenden, die aussieht, als käme sie von einer vertrauenswürdigen Quelle. Dabei können Sie die Schwerpunkte der Simulation selbst festlegen, z.B. den Umgang mit Passwörtern oder den Datenschutz.

Nach der Simulation erhalten Sie einen detaillierten Bericht darüber, wie Ihre Mitarbeiterinnen und Mitarbeiter auf den Phishing-Angriff reagiert haben. Sie erhalten einen Überblick, wie viele Ihrer Mitarbeitenden von der real wirkenden Täuschung betroffen sind und wo Ihre Abwehrmaßnahmen verbessert werden müssen.

Ziel

Das Ziel einer Phishing-Awareness-Kampagne ist es, das Bewusstsein und das Verständnis für Phishing-Angriffe bei Einzelpersonen innerhalb von Organisationen zu erhöhen. Dabei soll ein tiefgreifendes Verständnis dafür geschaffen werden, wie Phishing funktioniert, welche Formen es annehmen kann und welche Auswirkungen es haben könnte. Die Kampagne zielt darauf ab, die Fähigkeit der Teilnehmer zu stärken, Phishing-Versuche zu erkennen und angemessen darauf zu reagieren, um sich selbst und ihre Organisation vor möglichen Sicherheitsverletzungen und Datenlecks zu schützen.

Umsetzung

Die Durchführung einer Phishing-Kampagne erfolgt in folgenden aufeinanderfolgenden Schritten:

1. Kickoff: In dieser Anfangsphase wird das Ziel der Kampagne definiert. Es wird eine umfassende Strategie entwickelt, die festlegt, welche Zielgruppen angesprochen werden sollen und welche spezifischen Phishing-Bedrohungen relevant sind. Wichtige Aspekte wie Budget, Zeitrahmen, benötigte Ressourcen und Kommunikationskanäle werden ebenfalls in dieser Phase festgelegt.
2. Durchführung: Nachdem alle Rahmenbedingungen geklärt sind, wird die Kampagne in dem abgesprochenen Zeitraum durchgeführt. Dabei werden alle wesentlichen Daten protokolliert.
3. Dokumentation: Als Abschluss erhält der Kunde einen umfassenden Bericht. Dieser bildet die Awareness der Mitarbeiter ab. Zusätzlich werden kundenspezifische Maßnahmen vorgeschlagen, um die Sicherheit zu erhöhen. Anhand dieser Informationen, kann der Kunde die Notwendigkeit weiterer Aufklärungsmaßnahmen bestimmen.
4. Beratung (optional): Eine weitere Beratung kann die Umsetzung der Maßnahmen sowie die Behebung der identifizierten Schwachstellen unterstützen. Dabei können zusätzlich die nächsten Schritte besprochen werden. Falls nötig, kann eine zusätzliche Kampagne durchgeführt werden, um vergleichen zu können, ob und in welcher Form die Awareness-Kampagne Wirkung gezeigt hat.

Leistungsbeschreibung

Das Ziel der Testaktivitäten besteht im Allgemeinen aus der Erzeugung quantifizierbarer Metriken, um das Bewusstsein der Mitarbeiter und die Wirksamkeit von Schulungen zur Sensibilisierung zu bewerten. Diese Metriken ermöglichen eine Beurteilung der Resilienz von unseren Kunden gegenüber tatsächlichen Phishing-Angriffen und bieten die Grundlage für Empfehlungen zur Steigerung der Mitarbeiterwachsamkeit und zur Optimierung der Schulungsinhalte.

Im Rahmen einer Phishing-Awareness-Kampagne werden dazu folgende Daten ermittelt:

• Anzahl der Personen, die Phishing-Mails geöffnet haben
• Anzahl der Personen, die auf den Phishing Link gecklickt haben
• Anzahl der Personen, die Daten (bsp. Benutzernamen und Passwörtern) eingegeben haben

Bemerkung: Aufgrund der Anonymen Auswertung können keine Namen oder andere Daten die zur Identifikation einzelner Mitarbeiter dienen genannt werden.

Neben den allgemeinen Zielen besteht die Möglichkeit in Absprache mit dem Auftraggeber die konkreten Testziele sowie deren Priorisierung individuell im Vorfeld der Testdurchführung individuell festzulegen und die Untersuchung entsprechend anzupassen.

Quellen

[1] BSI Bund