Klei­ne und mitt­le­re
Unter­neh­men

IT-Sicher­heit ist kei­ne Fra­ge
der Unter­neh­mens­grö­ße!

Geziel­te Hil­fe­stel­lung. Hoher Sicher­heits­schutz.

IT-Sicher­heit stellt klei­ne und mitt­le­re Unter­neh­men (KMU) vor gro­ße Her­aus­for­de­run­gen, da ent­we­der Fach­per­so­nal, Zeit oder tech­ni­sche Res­sour­cen bzw. Know-How feh­len. Zusätz­lich unter­liegt man als klei­ner Betrieb leicht dem Irr­tum, dass aus­schließ­lich gro­ße Unter­neh­men mit hohen Kenn­zah­len Opfer geziel­ter Angrif­fe wer­den. Dabei betra­fen im Jahr 2021 knapp 43% der Sicher­heits­vor­fäl­le klei­ne und mit­tel­stän­di­sche Unter­neh­men. Der finan­zi­el­le Scha­den liegt bei 44% der Befrag­ten zwi­schen 25.000 bis 500.000 €, wel­che eine exis­ten­zi­el­le Bedro­hung für KMUs dar­stel­len kann.

Reprä­sen­ta­ti­ve KMU-Stich­pro­be (518 Unter­neh­men) durch Siri­us Cam­pus

unter 25.000 Euro
32%
25.000 bis 50.000 Euro
14%
50.000 bis 100.000 Euro
26%
100.000 bis 500.000 Euro
18%

Erfolg­rei­che Cyber­at­ta­cken erfol­gen haupt­säch­lich über Fehl­kon­fi­gu­ra­tio­nen des Fern­war­tungs­zu­gangs bzw. Online-Ser­ver sowie Phis­hing-Mails. Ran­som­wa­re-Angrif­fe, wel­che gan­ze Daten­in­fra­struk­tu­ren ver­schlüs­seln, stel­len hier­bei die größ­te Bedro­hung für ein Unter­neh­men dar.

Wie kann ich mich schüt­zen?

Die Smart­TECS Cyber Secu­ri­ty bie­tet für KMUs fol­gen­de Leis­tun­gen an, die spe­zi­ell für klei­ne­re & mitt­le­re Unter­neh­men und Ihren Bedürf­nis­se ange­passt sind.

Sie möch­ten sich kurz­fris­tig einen Über­blick über mög­li­che Ein­falls­to­re in Ihr Unter­neh­men ver­schaf­fen? Wir kön­nen das Sicher­heits­ni­veau zwar nicht in 15 Minu­ten ermit­teln, aber mit dem Cyber Secu­ri­ty Schnell­test unter­su­chen wir inner­halb kür­zes­ter Zeit die exter­ne Angriffs­flä­che Ihres Unter­neh­mens aus dem Inter­net und wer­ten die Ergeb­nis­se gemein­sam mit Ihnen aus.

Anhand der Aus­wer­tung kön­nen Sie einen ers­ten Ein­druck über das Sicher­heits­ni­veau gewin­nen und die nächs­ten Schrit­te zur Absi­che­rung Ihrer IT-Infra­struk­tur fest­le­gen.

Secu­ri­ty Audit und Har­dening Check

Ein Secu­ri­ty Audit und Har­dening Check umfasst die Über­prü­fung einer Unter­neh­mens­in­fra­struk­tur oder ein­zel­ner Anwen­dun­gen in Form von leit­fa­den­ge­stütz­ten Inter­views mit den ver­ant­wort­li­chen Ansprech­part­nern der Kun­den­or­ga­ni­sa­ti­on. Gegen­stand des Audits sind die sicher­heits­re­le­van­ten Pro­zes­se der Orga­ni­sa­ti­on sowie die Archi­tek­tur und Kon­fi­gu­ra­ti­on der IT-Sys­te­me. Dar­über hin­aus kann für aus­ge­wähl­te Sys­te­me eine detail­lier­te Über­prü­fung der Kon­fi­gu­ra­ti­on (Har­dening-Check) durch­ge­führt wer­den.

Grün­de für ein Secu­ri­ty Audit und Har­dening Check

Mit Hil­fe eines Secu­ri­ty Audit und Har­dening Check kann sehr effi­zi­ent das Sicher­heits­ni­veau einer Orga­ni­sa­ti­on bewer­tet wer­den, wobei auch die Geschäfts­pro­zes­se berück­sich­tigt wer­den. Im Gegen­satz zu bei­spiels­wei­se Pene­tra­ti­ons­tests bie­tet ein Audit damit eine ganz­heit­li­che Sicht auf den IT-Betrieb. Durch die Durch­füh­rung in Form von leit­fa­den­ge­stütz­ten Inter­views bie­tet ein Audit tie­fe­re Ein­bli­cke in inter­ne Pro­zes­se. Zudem ent­fällt in der Regel die Erstel­lung von Zugän­gen und Berech­ti­gun­gen für die Sicher­heits­spe­zia­lis­ten, was sich zeit­spa­rend aus­wirkt.

Zie­le

Die wesent­li­chen Zie­le von Secu­ri­ty Audits und Har­dening Checks sind daher die Iden­ti­fi­zie­rung von Sicher­heits­lü­cken, die Risi­ko­be­wer­tung und die all­ge­mei­ne Ver­bes­se­rung des Sicher­heits­ni­veaus.

  • Iden­ti­fi­zie­rung von Sicher­heits­lü­cken: Ein wesent­li­ches Ziel von Secu­ri­ty Audits und Har­dening Checks ist es, Schwach­stel­len in Pro­zes­sen oder IT-Sys­te­men auf­zu­de­cken, die den siche­ren Betrieb der Infra­struk­tur gefähr­den. Durch die Iden­ti­fi­zie­rung sol­cher Schwach­stel­len kön­nen Unter­neh­men Maß­nah­men ergrei­fen, um die­se Lücken zu schlie­ßen und ihre Sicher­heit zu erhö­hen.
  • Risi­ko­be­wer­tung: Ein Secu­ri­ty Audit und Har­dening Check kann dazu bei­tra­gen, Risi­ken in Bezug auf die Sicher­heit von IT-Sys­te­men zu bewer­ten. Durch die Iden­ti­fi­zie­rung und Bewer­tung von Risi­ken kön­nen Unter­neh­men bes­se­re Ent­schei­dun­gen dar­über tref­fen, wel­che Maß­nah­men sie ergrei­fen soll­ten, um die Sicher­heit ihrer IT-Sys­te­me zu ver­bes­sern.
  • Ver­bes­se­rung des Sicher­heits­ni­veaus: Das letzt­end­li­che Ziel eines Secu­ri­ty Audits und Har­dening Checks ist die Ver­bes­se­rung des Sicher­heits­ni­veaus einer Orga­ni­sa­ti­on. Indem Schwach­stel­len iden­ti­fi­ziert und bewer­tet wer­den, kön­nen Unter­neh­men Maß­nah­men ergrei­fen, um die­se Lücken zu schlie­ßen und ihr Sicher­heits­ni­veau zu erhö­hen.

Als Ergeb­nis geben die Audi­to­ren Emp­feh­lun­gen zur Ver­bes­se­rung des Sicher­heits­ni­veaus der Orga­ni­sa­ti­on durch geziel­te Maß­nah­men.

Umset­zung

Die Durch­füh­rung eines Sicher­heits­au­dits glie­dert sich in meh­re­re Pha­sen. Ziel ist es, eine best­mög­li­che Abde­ckung der Audit­the­men ent­spre­chend den Zie­len des Kun­den zu gewähr­leis­ten:

  1. Vor­be­rei­tung: Vor­ge­spräch zur Defi­ni­ti­on der Zie­le, Orga­ni­sa­to­ri­sche Punk­te (Durch­füh­rungs­zeit­punk­t/-ort, Ansprech­part­ner), Gro­be Vor­stel­lung der Infra­struk­tur des Unter­neh­mens
  2. Doku­men­ten­sich­tung: Bereit­stel­lung und Sich­tung rele­van­ter Doku­men­te
  3. Erstel­lung Audit­plan: Zeit­li­che und inhalt­li­che Fest­le­gung der Audit­the­men, Sicher­stel­lung der Ver­füg­bar­keit und Erreich­bar­keit rele­van­ter Ansprech­part­ner
  4. Durch­füh­rung des Audits: Vor-Ort- oder Remo­te-Audit, Inter­view­ba­sier­te Vor­stel­lung der Pro­zes­se und Sys­tem­kon­fi­gu­ra­tio­nen
  5. Doku­men­ta­ti­on und Bericht­erstel­lung: Doku­men­ta­ti­on von Abwei­chun­gen und Behe­bungs­maß­nah­men, Erstel­lung des Abschluss­be­richts
  6. Abschluss­ge­spräch: Prä­sen­ta­ti­on der Ergeb­nis­se und emp­foh­le­ner Maß­nah­men zur Behe­bung, Abstim­mung der nächs­ten Schrit­te

Die Prüf­punk­te beim Audit einer Unter­neh­mens­in­fra­struk­tur ori­en­tie­ren sich an den Stan­dards des Bun­des­am­tes für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI). Hier­zu zäh­len ins­be­son­de­re das BSI-Grund­schutz­kom­pen­di­um [1] sowie die Serie von Stan­dards zur Inter­net-Sicher­heit (ISi-Rei­he). Dar­über hin­aus brin­gen die Audi­to­ren der Smart­TECS Cyber Secu­ri­ty GmbH eige­ne Prüf­punk­te ein, die auf Erfah­run­gen bei der Audi­tie­rung von Orga­ni­sa­tio­nen basie­ren.

Für die Prü­fung von Här­tungs­maß­nah­men ein­zel­ner Sys­te­me wer­den die Vor­ga­ben des Cen­ter for Infor­ma­ti­on Secu­ri­ty (CIS-Bench­marks) sowie Emp­feh­lun­gen der Her­stel­ler her­an­ge­zo­gen [3].

Quel­len

Das IT-Infra­struk­tur Test­ing bezeich­net die Unter­su­chung von Soft­ware­sys­te­men und IT-Land­schaf­ten auf Netz­wer­kebe­ne aus der Per­spek­ti­ve eines bös­ar­ti­gen Akteurs. Die Simu­la­ti­on von schad­haf­ten Akti­vi­tä­ten zur Iden­ti­fi­ka­ti­on von Schwach­stel­len erfolgt über das öffent­li­che Inter­net oder aus dem inter­nen Netz­werk eines Unter­neh­mens und umfasst die Unter­su­chung von …

  • Netz­werk­kom­po­nen­ten: z.B. Anwen­dungs­ser­ver, Pro­xies, etc.
  • Netz­werk­pro­to­kol­le und Netz­werk­diens­te: z.B. SSH, FTP, RDP, LDAP, Ker­be­ros, Win­dows Acti­ve Direc­to­ry (AD), etc.
  • Netz­werk­zu­gän­gen und Schutz­maß­nah­men auf Netz­wer­kebe­ne
    z.B. Fern­war­tungs- und VPN-Zugän­ge, Netz­werk­seg­men­tie­rung, Fire­wall­kon­fi­gu­ra­ti­on, etc.
  • Tech­no­lo­gie-spe­zi­fi­sche Test­ak­ti­vi­tä­ten: z.B. Docker, Kuber­netes, etc.
War­um Pene­tra­ti­on Test­ing?

Durch die fort­schrei­ten­de Digi­ta­li­sie­rung ins­be­son­de­re von Geschäfts­pro­zes­sen sind zuneh­mend mehr unter­neh­mens­kri­ti­sche Berei­che über das öffent­li­che Inter­net erreich­bar. Ein aus­rei­chen­der Schutz vor bös­ar­ti­gen Angrei­fern ist daher wich­tig, um mög­li­che tech­ni­sche sowie finan­zi­el­le Schä­den (z.B. durch Daten­ver­lust, Ein­schrän­kung der Ver­füg­bar­keit) zu ver­mei­den.

Mit­hil­fe von IT-Infra­struk­tur Test­ing kön­nen Schwach­stel­len inner­halb eines Netz­wer­kes durch die Simu­la­ti­on von schad­haf­ten Akti­vi­tä­ten iden­ti­fi­ziert wer­den, um vor­han­de­ne Sicher­heits­ri­si­ken für Anwen­dun­gen und deren Benut­zer zu bestim­men. Durch geziel­te Maß­nah­men­emp­feh­lun­gen zur Behe­bung von iden­ti­fi­zier­ten Schwach­stel­len kann die Soft­ware­qua­li­tät im Bereich IT-Sicher­heit (Secu­ri­ty) erhöht und ein aus­rei­chen­der Schutz vor erfolg­rei­chen Angrif­fen gewähr­leis­tet wer­den.

Im All­ge­mei­nen kön­nen durch Sicher­heits­tests die fol­gen­den Schutz­zie­le [1] gemäß dem Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (kurz BSI) über­prüft wer­den:

  1. Ver­trau­lich­keit: “Ver­trau­lich­keit ist der Schutz vor unbe­fug­ter Preis­ga­be von Infor­ma­tio­nen. Ver­trau­li­che Daten und Infor­ma­tio­nen dür­fen aus­schließ­lich Befug­ten in der zuläs­si­gen Wei­se zugäng­lich sein.”
  2. Inte­gri­tät: “Inte­gri­tät bezeich­net die Sicher­stel­lung der Kor­rekt­heit (Unver­sehrt­heit) von Daten und der kor­rek­ten Funk­ti­ons­wei­se von Sys­te­men.”
  3. Ver­füg­bar­keit: Die Ver­füg­bar­keit von Dienst­leis­tun­gen, Funk­tio­nen eines IT-Sys­tems, IT-Anwen­dun­gen oder IT-Net­zen oder auch von Infor­ma­tio­nen ist vor­han­den, wenn die­se von den Anwen­dern stets wie vor­ge­se­hen genutzt wer­den kön­nen.
Ziel

Das Ziel der Test­ak­ti­vi­tä­ten besteht im All­ge­mei­nen aus den fol­gen­den drei Punk­ten:

  • Iden­ti­fi­ka­ti­on von vor­han­de­nen Schwach­stel­len und Fehl­kon­fi­gu­ra­tio­nen inner­halb des Anwen­dungs­sys­tems bzw. der IT-Land­schaft.
  • Emp­feh­lung geeig­ne­ter Maß­nah­men zur Behe­bung der Schwach­stel­len, um die Resis­tenz der IT-Infra­struk­tur vor mög­li­chen inter­nen und exter­nen Angrei­fern zu erhö­hen.
  • Bestim­mung des Sicher­heits­ni­veaus der IT-Infra­struk­tur zum Zeit­punkt der Test­durch­füh­rung auf Basis der Test­ergeb­nis­se.

Neben den oben genann­ten all­ge­mei­nen Zie­len besteht die Mög­lich­keit in Abspra­che mit dem Auf­trag­ge­ber die kon­kre­ten Test­zie­le sowie deren Prio­ri­sie­rung indi­vi­du­ell im Vor­feld der Test­durch­füh­rung zu ermit­teln und die Unter­su­chung ent­spre­chend anzu­pas­sen.

All­ge­mei­ne Test­me­tho­dik

Unse­re Test­me­tho­dik im IT-Infra­struk­tur Test­ing beruht auf dem Durch­füh­rungs­kon­zepts für Pene­tra­ti­ons­tests und IT-Grund­schutz-Kom­pen­di­um des BSI und dem Vor­ge­hen des Pene­tra­ti­on Exe­cu­ti­on Stan­dards (PTES). Die kon­kre­ten Test­ak­ti­vi­tä­ten wer­den ent­spre­chend dem ver­ein­bar­ten Kun­den­ziel sowie den tech­ni­schen Gege­ben­hei­ten ange­passt.

Nächs­te Schrit­te

Nach Abschluss der Unter­su­chung bestehen ver­schie­de­ne Anknüp­fungs­punk­te, um die bis­he­ri­ge Ana­ly­se wir­kungs­voll fort­zu­set­zen. Eine Aus­wahl sinn­vol­ler Mög­lich­kei­ten kann im Gespräch abhän­gig vom Kun­den­ziel, Kun­den­wunsch und des Ergeb­nis­ses indi­vi­du­ell zusam­men­ge­stellt wer­den.

  • Wei­te­re Test­ak­ti­vi­tä­ten auf Netz­wer­kebe­ne: Konn­ten durch bis­he­ri­ge Pene­tra­ti­ons­tests nicht alle Berei­che des Netz­werks aus­rei­chend unter­sucht wer­den, so ist eine Aus­wei­tung auf wei­te­re Netz­werk­be­rei­che mög­lich.
  • Web Appli­ca­ti­on und Web Ser­vice Pene­tra­ti­on Test­ing: Die bis­he­ri­gen Test­ak­ti­vi­tä­ten kön­nen auf ein­zel­ne Anwen­dungs­sys­te­me inner­halb des Netz­werks fokus­siert wer­den, um eine Anwen­dungs-spe­zi­fi­sche­re Ana­ly­se des Sicher­heits­ri­si­kos durch zu füh­ren.
  • Sicher­heits­be­ra­tung: Auf Basis gewon­ne­ner Erkennt­nis­se und iden­ti­fi­zier­ter Schwach­stel­len kön­nen all­ge­mei­ne oder anwen­dungs­spe­zi­fi­sche The­men im Bereich IT-Sicher­heit, Best-Prac­ti­ces oder Know-How zur Sen­si­bi­li­sie­rung oder für Lösungs­an­sät­ze ver­mit­telt wer­den.
  • Sys­tem­har­dening: Durch eine geziel­te Über­prü­fung von Anwen­dungs­sys­te­men, die im Netz­werk erreich­bar sind, auf Kon­fi­gu­ra­ti­ons­ebe­ne, kann die Test­ab­de­ckung erhöht wer­den.
Simu­la­ti­on eines Phis­hing-Angriffs

Phis­hing-Atta­cken stel­len eine der häu­figs­ten Angriffs­me­tho­den dar, um bei­spiels­wei­se gezielt sen­si­ble Daten und Infor­ma­tio­nen aus einem Unter­neh­men zu exfil­trie­ren oder nach erfolg­rei­cher Kom­pro­mit­tie­rung mit­tels Rand­so­me­wa­re Löse­geld zu erpres­sen. Die Vor­ge­hens­wei­se eines Angrei­fers bei einem Phis­hing-Angriff ist dabei recht ein­fach: Der Angrei­fer ver­sucht, eine E‑Mail oder Nach­richt zu ver­sen­den, die so aus­sieht, als käme sie von einer ver­trau­ens­wür­di­gen Quel­le, z.B. einem inter­nen Sys­tem oder einer fir­men­in­ter­nen Kam­pa­gne. Gemäß dem Lage­be­richt IT-Sicher­heit des Bun­des­am­tes für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) beginnt ein erfolg­rei­cher Ran­som­wa­re-Angriff häu­fig mit einer bös­ar­ti­gen Spam- oder Phis­hing-Mail [1].

Wir tes­ten Ihre Sys­te­me und Mit­ar­bei­ten­den mit simu­lier­ten Phis­hing-Atta­cken, um die Wirk­sam­keit Ihrer aktu­el­len Abwehr­maß­nah­men und die Awa­re­ness Ihrer Mit­ar­bei­ten­den zu über­prü­fen.

War­um eine Phis­hing-Atta­cke simu­lie­ren?

Unse­re Phis­hing-Simu­la­ti­on ist ein­fach, schnell und zuver­läs­sig. Wir simu­lie­ren eine Phis­hing-Atta­cke und sen­den eine E‑Mail an Ihre Mit­ar­bei­ten­den, die aus­sieht, als käme sie von einer ver­trau­ens­wür­di­gen Quel­le. Dabei kön­nen Sie die Schwer­punk­te der Simu­la­ti­on selbst fest­le­gen, z.B. den Umgang mit Pass­wör­tern oder den Daten­schutz.

Nach der Simu­la­ti­on erhal­ten Sie einen detail­lier­ten Bericht dar­über, wie Ihre Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter auf den Phis­hing-Angriff reagiert haben. Sie erhal­ten einen Über­blick, wie vie­le Ihrer Mit­ar­bei­ten­den von der real wir­ken­den Täu­schung betrof­fen sind und wo Ihre Abwehr­maß­nah­men ver­bes­sert wer­den müs­sen.

Ziel

Das Ziel einer Phis­hing-Awa­re­ness-Kam­pa­gne ist es, das Bewusst­sein und das Ver­ständ­nis für Phis­hing-Angrif­fe bei Ein­zel­per­so­nen inner­halb von Orga­ni­sa­tio­nen zu erhö­hen. Dabei soll ein tief­grei­fen­des Ver­ständ­nis dafür geschaf­fen wer­den, wie Phis­hing funk­tio­niert, wel­che For­men es anneh­men kann und wel­che Aus­wir­kun­gen es haben könn­te. Die Kam­pa­gne zielt dar­auf ab, die Fähig­keit der Teil­neh­mer zu stär­ken, Phis­hing-Ver­su­che zu erken­nen und ange­mes­sen dar­auf zu reagie­ren, um sich selbst und ihre Orga­ni­sa­ti­on vor mög­li­chen Sicher­heits­ver­let­zun­gen und Daten­lecks zu schüt­zen.

Umset­zung

Die Durch­füh­rung einer Phis­hing-Kam­pa­gne erfolgt in fol­gen­den auf­ein­an­der­fol­gen­den Schrit­ten:

  1. Kick­off: In die­ser Anfangs­pha­se wird das Ziel der Kam­pa­gne defi­niert. Es wird eine umfas­sen­de Stra­te­gie ent­wi­ckelt, die fest­legt, wel­che Ziel­grup­pen ange­spro­chen wer­den sol­len und wel­che spe­zi­fi­schen Phis­hing-Bedro­hun­gen rele­vant sind. Wich­ti­ge Aspek­te wie Bud­get, Zeit­rah­men, benö­tig­te Res­sour­cen und Kom­mu­ni­ka­ti­ons­ka­nä­le wer­den eben­falls in die­ser Pha­se fest­ge­legt.
  2. Durch­füh­rung: Nach­dem alle Rah­men­be­din­gun­gen geklärt sind, wird die Kam­pa­gne in dem abge­spro­che­nen Zeit­raum durch­ge­führt. Dabei wer­den alle wesent­li­chen Daten pro­to­kol­liert.
  3. Doku­men­ta­ti­on: Als Abschluss erhält der Kun­de einen umfas­sen­den Bericht. Die­ser bil­det die Awa­re­ness der Mit­ar­bei­ter ab. Zusätz­lich wer­den kun­den­spe­zi­fi­sche Maß­nah­men vor­ge­schla­gen, um die Sicher­heit zu erhö­hen. Anhand die­ser Infor­ma­tio­nen, kann der Kun­de die Not­wen­dig­keit wei­te­rer Auf­klä­rungs­maß­nah­men bestim­men.
  4. Bera­tung (optio­nal): Eine wei­te­re Bera­tung kann die Umset­zung der Maß­nah­men sowie die Behe­bung der iden­ti­fi­zier­ten Schwach­stel­len unter­stüt­zen. Dabei kön­nen zusätz­lich die nächs­ten Schrit­te bespro­chen wer­den. Falls nötig, kann eine zusätz­li­che Kam­pa­gne durch­ge­führt wer­den, um ver­glei­chen zu kön­nen, ob und in wel­cher Form die Awa­re­ness-Kam­pa­gne Wir­kung gezeigt hat.
Leis­tungs­be­schrei­bung

Das Ziel der Test­ak­ti­vi­tä­ten besteht im All­ge­mei­nen aus der Erzeu­gung quan­ti­fi­zier­ba­rer Metri­ken, um das Bewusst­sein der Mit­ar­bei­ter und die Wirk­sam­keit von Schu­lun­gen zur Sen­si­bi­li­sie­rung zu bewer­ten. Die­se Metri­ken ermög­li­chen eine Beur­tei­lung der Resi­li­enz von unse­ren Kun­den gegen­über tat­säch­li­chen Phis­hing-Angrif­fen und bie­ten die Grund­la­ge für Emp­feh­lun­gen zur Stei­ge­rung der Mit­ar­bei­ter­wach­sam­keit und zur Opti­mie­rung der Schu­lungs­in­hal­te.

Im Rah­men einer Phis­hing-Awa­re­ness-Kam­pa­gne wer­den dazu fol­gen­de Daten ermit­telt:

  • Anzahl der Per­so­nen, die Phis­hing-Mails geöff­net haben
  • Anzahl der Per­so­nen, die auf den Phis­hing Link geck­lickt haben
  • Anzahl der Per­so­nen, die Daten (bsp. Benut­zer­na­men und Pass­wör­tern) ein­ge­ge­ben haben

Bemer­kung: Auf­grund der Anony­men Aus­wer­tung kön­nen kei­ne Namen oder ande­re Daten die zur Iden­ti­fi­ka­ti­on ein­zel­ner Mit­ar­bei­ter die­nen genannt wer­den.

Neben den all­ge­mei­nen Zie­len besteht die Mög­lich­keit in Abspra­che mit dem Auf­trag­ge­ber die kon­kre­ten Test­zie­le sowie deren Prio­ri­sie­rung indi­vi­du­ell im Vor­feld der Test­durch­füh­rung indi­vi­du­ell fest­zu­le­gen und die Unter­su­chung ent­spre­chend anzu­pas­sen.

Quel­len

[1] BSI Bund