Im Unterschied zu einem Penetrationstest oder Ethical Hacking versuchen wir bei einer Sicherheitsprüfung nicht nur Stichprobenweise Zugriff zu Informationen zu erhalten, sondern wir führen eine umfassende Prüfung aller relevanten Komponenten durch.

So verschieden wie die Strukturen die wir prüfen sind auch die Ansätze nach denen die Prüfung erfolgt – bei einer umfassenden Sicherheitsprüfung hat sich aber der folgende Ablauf als sinnvoll erwiesen:

  • Definition der Ziele der Prüfung
  • Definition der zu prüfenden Objekte
  • Infomationssammlung
  • Prüfung auf Schwachstellen
  • Dokumentation der Resultate
  • Besprechung der Resultate

Da sowohl die Server-Infrastruktur wie auch Applikationen in den meisten fällen immer wieder angepasst werden ist eine periodische Prüfung sinnvoll (z.B. jährlich, nach grösseren Updates, nach Wechseln der Infrastruktur o.ä.)

 

Folgende Themenbereiche werden während einer Standard-Prüfung genau unter die Lupe genommern:

  • für das Angebot zuständige DNS Server (Nameserver)
  • für das Angebot zuständige Mailserver
  • Web- und Applikationsserver
  • Suche nach weiteren Servern der Kundin / des Kunde
  • Prüfung von externen Dienstleistern (Newsletter ASP, Payment Gateways etc)
  • Website der Kundin / des Kunden

 

Auf der Website wird folgendes geprüft

  • Anfälligkeit auf SQL Injection
  • Anfälligkeit auf XSS / Cross Site Scripting
  • Suche nach Dateien und Ordnern mit nicht für die Öffentlichkeit bestimmten Inhalten
  • Suche nach Fehlern in der Applikation welche die Ausgabe von nichtöffentlichen Daten oder die Ausführung von Programmen auf dem Server ermöglichen
  • Suche nach Fehlkonfigurationen (Directory Listing, SSL Konfiguration)
  • Sicherheit der Kundendaten (Logins, Sessions, Verschlüsselung etc.)

Der Prüfbericht umfasst normalerweise 50-200 Seiten und bietet neben einer Einstufung von “Gut” bis “Hohes Risiko” für jedes Kriterium auch Hintergrundinformationen zu allen Tests und Resultaten sowie ein Management Summery.

Natürlich lassen können wir auf Wunsch auch nur spezifische Teilbereiche prüfen.

Rufen Sie jetzt an auf  043 542 97 37 für eine unverbindliche Beratung oder senden Sie ein E-Mail!