FAQ

Einleitung für die FAQ-Seite zu IT-Sicherheitsdiensten

Willkommen auf unserer FAQ-Seite zu IT-Sicherheitsdiensten! In der heutigen digitalen Ära sind Fragen rund um IT-Sicherheit nicht nur häufig, sondern auch von entscheidender Bedeutung. Unabhängig davon, ob Sie sich über spezifische Dienstleistungen informieren möchten, allgemeine Sicherheitsanliegen haben oder sich einfach über die neuesten Best Practices in der Branche auf dem Laufenden halten möchten - hier finden Sie Antworten. Wir haben eine Liste der am häufigsten gestellten Fragen zusammengestellt, um Ihnen einen schnellen und einfachen Zugang zu den Informationen zu ermöglichen, die Sie benötigen. Unser Ziel ist es, Transparenz zu schaffen, Ihr Verständnis zu vertiefen und sicherzustellen, dass Sie sich bei der Auswahl unserer Dienstleistungen sicher und informiert fühlen. Sollten Sie Fragen haben, die hier nicht beantwortet werden, zögern Sie bitte nicht, uns direkt zu kontaktieren. Wir sind hier, um zu helfen und sicherzustellen, dass Ihre digitalen Ressourcen geschützt sind.

1- Seit wann sind wir im Bereich der IT-Sicherheit tätig?

Seit ca. 13 Jahren.

2- Welche Qualifikationen und Zertifizierungen haben wir?

CEH, ECCSP, ECSA, ENSA, CHFI, OSEE, OSWE, CISSP, GCUX, GCWN, LPIC 1,2,3, GSLC, OSWP.

3- Welche relevanten Projekte haben wir bisher durchgeführt?

Wir verstehen uns nicht nur als reiner Dienstleister im Bereich der IT-Sicherheit, sondern bieten auch anderen IT-Sicherheitsunternehmen verschiedene Dienste an und zwar bieten wir eine breite Palette an individuellen Schulungsmaßnahmen für Mitarbeiter (ethischer Hacker) von IT-Sicherheitsunternehmen.

Wir sind die Entwickler von zwei speziell für Hacker konzipierten Betriebssystemen, nämlich "BlackWin" und "MambaNux". Diese Betriebssysteme sind laut unserer Nutzer viel sicherer und benutzerfreundlicher als das weltweit bekannte Kali Linux. Diese enthalten viel mehr Tools, die überwiegend bei uns in Labor sind. Außerdem spionieren unsere Tools NICHT auf dem Rechner des Pentesters, was momentan das Hauptproblem bei der Nutzung von Kali Linux ist. Beispielsweise unser Betriebssystem BlackWin wurde bis jetzt mehrere Millionen Mal heruntergeladen und in vielen Sprachen werden immer wieder neue Tutorials durch unsere Nutzer gepostet.

Es gibt viele Ethical Hacker, die bereits mit unserem BlackWin arbeiten und darüber auf YouTube berichten. Eine kurze Recherche reicht für mehr Informationen. Genauso MambaNux. Es handelt sich um ein Unix-basiertes Betriebssystem mit erstaunlichen Features.

4- Welche Methoden und Tools werden verwendet, um Penetrationstests durchzuführen?

Black Box Testing, White Box Testing, Grey Box Testing, Red Teaming, Blue Teaming, sowie weltweit anerkannte Standards und Methodologien: OSSTMM, OWASP, NIST, PTES, ISSAF.

Penetration Testing Tools: Nmap, Burp Suite, OWASP ZAP, Wireshark, Aircrack-ng, John the Ripper, Hydra, Nikto, SQLmap, Nmap, Nessus, Rapid7 Metasploit Pro, Rapid7 Nexpose, Acunetix, AppDetectivePRO, Netsparker, und spezialisierte Betriebssysteme wie BlackWin (Unser eigenes weltweit bekanntes Hacking-Betriebssystem), Kali Linux, Parrot OS.

5- Gibt es eine standardisierte Vorgehensweise bei der Durchführung der Tests?

Nein, es gibt kein einheitlich anerkanntes Standardverfahren. Die Auswahl der Methodologien hängt von vielen Faktoren ab, einschließlich der Architektur des Systems, der Betriebsumgebung und der regulatorischen Vorgaben. Bekannte Rahmenwerke wie OWASP Testing Guide, PTES und NIST-Richtlinien werden individuell an die Anforderungen des Projekts angepasst.

6- Wie werden die Vertraulichkeit der getesteten Systeme und Daten gewährleistet?

Wir verwenden verschiedene Methoden und Standards:

Datenverarbeitung und -speicherung: Sensible Daten werden verschlüsselt gespeichert und nach Abschluss gelöscht.

Vertraulichkeitsvereinbarungen (NDAs): Rechtliche Absicherung gegen Offenlegung oder Missbrauch.

Rollenbasierte Zugriffskontrolle (RBAC): Zugang nur für notwendiges Personal.

Regelmäßige Audits: Um sicherzustellen, dass unsere Praktiken aktuell und sicher sind.

Maßgeschneiderte Ansätze: Verwendung von Branchenstandards wie ISO 27001, NIST oder OWASP, je nach Projektart.

Abschließend möchten wir betonen, dass die Sicherheit der Daten unserer Kunden bei uns höchste Priorität hat.

7- Können Referenzen von zufriedenen Kunden bereitgestellt werden?

Nicht nur in unserem Unternehmen, sondern in der gesamten Branche, ist Diskretion von höchster Bedeutung. Viele der Unternehmen, die unsere IT-Sicherheitsdienste in Anspruch nehmen, bevorzugen es, die Zusammenarbeit nicht öffentlich zu machen. Dies könnte sonst fälschlicherweise den Eindruck erwecken, dass das Unternehmen unsicher ist.

Diese Diskretionspolitik erstreckt sich auch auf unsere Arbeit mit staatlichen Einrichtungen, Ämtern und Behörden, wo die Nennung von Referenzen ohnehin kaum möglich ist. Bereits einige Kunden haben ihre Zustimmung zur Nennung als Referenz gegeben. Diese nennen wir Ihnen gerne bei einem persönlichen Gespräch.

8- Welche Haftungsrisiken bestehen im Zusammenhang mit den durchgeführten Penetrationstests?

Penetrationstests sind ein kritischer Bestandteil einer umfassenden Cybersicherheitsstrategie, jedoch beinhalten sie bestimmte Risiken, die adressiert und verwaltet werden müssen. Die hauptsächlichen Risiken und Verantwortlichkeiten bei Penetrationstests umfassen:

Unbeabsichtigte Störungen: Trotz aller Bemühungen, die Systeme störungsfrei zu testen, kann der Testprozess unbeabsichtigt die Leistung der Ziel-Systeme beeinträchtigen.

Datenverletzung: Es besteht die Gefahr, sensible Daten während des Tests offenzulegen, ein Risiko, das anerkannt werden muss, auch wenn es gegen die Absicht des Tests verstößt.

Physischer Schaden: Bei Tests, die physische Sicherheitsbewertungen umfassen, können Risiken bezüglich physischen Zugangs oder Schäden an der Hardware entstehen.

Komplikationen Dritter: Wenn getestete Systeme mit Drittsystemen verbunden sind, kann es unbeabsichtigte Folgen oder Verantwortlichkeiten gegenüber diesen Dritten geben.

Rechtliche Implikationen: Penetrationstester könnten unbeabsichtigt Gesetze oder Vorschriften verletzen, wenn kein klar definierter Umfang und keine ordnungsgemäße Genehmigung vorliegen.

Um diese Risiken zu mindern, ist es wichtig, dass:

  • Wir den Umfang der Penetrationstests klar und eindeutig definieren.
  • Wir Kommunikationsprotokolle vor, während und nach den Tests festlegen.
  • Wir immer nach dem Grundsatz "keinen Schaden anrichten" handeln.
  • Wir einen gründlichen Dokumentationsprozess aufrechterhalten.

Hinsichtlich der Standards sei darauf hingewiesen, dass die Auswahl bestimmter Standards und Methoden für Penetrationstests von Projektart, Branche und spezifischen regulatorischen oder Compliance-Anforderungen abhängt. Wir sorgen stets dafür, dass unsere Testmethoden den anerkannten Branchenstandards entsprechen.

Wir schätzen das Vertrauen unserer Kunden und verpflichten uns, unsere Dienstleistungen mit höchster Integrität und Professionalität anzubieten.

9- Verfügt das Unternehmen über eine ausreichende Versicherungsdeckung für Haftungsfälle?

Trotz unserer Sorgfältigkeit haben wir uns gegen unvorhersehbare Schäden, die ungewollt und trotz Einhaltung von Standardisierten Methoden eintreten bis zu einer Summe von 1 Million Euro versichert.

10- Wie wird die Verantwortung für Schäden oder Datenverluste während der Tests geregelt?

Falls durch unsere Maßnahmen Fehler auftreten oder Teile des Zielsystems nicht mehr funktionieren, werden wir uns mit allen uns zur Verfügung stehenden Möglichkeiten um die Beseitigung des Fehlers kümmern und das System wieder in Gang bringen.

Selbstverständlich ist das Ziel unserer IT-Sicherheitsmaßnahmen, das Zielsystem zu testen. Es ist üblich, wenn dabei beispielsweise die Website des Zielsystems oder bestimmte Dienste vorübergehend nicht mehr funktionieren.

Dass durch Penetrationstests Daten gänzlich gelöscht oder Teile des Systems dauerhaft beschädigt werden, ist äußerst selten. Meistens ist es so, dass durch bestimmte Angriffe Teile des Zielsystems für eine kurze Dauer nicht erreichbar sind..

11- Welche Sicherheitsmaßnahmen werden ergriffen, um die Integrität und Vertraulichkeit der Daten während der Tests zu gewährleisten?

Um die Datenintegrität und -vertraulichkeit während der Penetrationstests sicherzustellen, wenden wir in der Regel mehrere strenge Sicherheitsmaßnahmen und bewährte Verfahren an:

Genehmigung und Autorisierung: Vor Beginn eines Tests holen wir die ausdrückliche schriftliche Genehmigung von der obersten Leitung der Organisation oder der zuständigen Behörde ein. Dies gewährleistet, dass der Test gesetzlich genehmigt ist und mögliche Missverständnisse vermieden werden.

Definition des Umfangs: Der Umfang des Tests wird klar definiert, um Grenzen festzulegen. Dies stellt sicher, dass nur die vereinbarten Systeme, Anwendungen oder Netzwerke getestet werden, und unbeabsichtigte Störungen oder Eingriffe vermieden werden.

Datenverarbeitung und -speicherung: Die während des Tests erfassten Daten, insbesondere sensible oder vertrauliche Informationen, werden mit größter Sorgfalt behandelt. Die Verwendung von verschlüsseltem Speicher, sicheren Übertragungsprotokollen und sicheren Löschmethoden garantiert jederzeit den Schutz der Daten.

Geheimhaltungsvereinbarungen (NDAs): Penetrationstester und alle beteiligten Parteien unterzeichnen oft NDAs. Dies verpflichtet sie rechtlich, die Vertraulichkeit aller sensiblen Informationen zu wahren, auf die sie während des Tests stoßen könnten.

Isolierte Testumgebung: Wenn möglich, wird der Test in isolierten Replikaten der Live-Umgebung durchgeführt, um sicherzustellen, dass keine unbeabsichtigte Datenleckage oder Änderung an den tatsächlichen Systemen stattfinden.

Backup-Verfahren: Vor Beginn der Testphase werden nach Möglichkeit Backups von kritischen Systemen und Daten durchgeführt. Dies stellt sicher, dass die Systeme im Falle unerwarteter Probleme in ihren ursprünglichen Zustand zurückversetzt werden können.

Verwendung von standardisierten Tools und Methoden: Wir nutzen geprüfte und allgemein akzeptierte Tools und Methoden, um die Vorhersehbarkeit und Zuverlässigkeit der Tests sicherzustellen.

Nachtest-Überprüfung: Nach Abschluss des Tests führen wir eine Überprüfung durch, um mögliche Risiken für die Datenintegrität oder -vertraulichkeit zu bewerten, die während des Tests aufgetreten sein könnten, und erforderlichenfalls Abhilfemaßnahmen zu ergreifen.

Berichterstattung: Es werden detaillierte Berichte erstellt, in denen Schwachstellen, potenzielle Risiken und empfohlene Minderungsstrategien hervorgehoben werden. Diese Berichte werden nur mit autorisiertem Personal geteilt, um die Vertraulichkeit zu wahren.

Es ist wichtig zu betonen, dass die genau angewendeten Standards und Methoden je nach Art des Projekts, der Branche, in der die Organisation tätig ist, und den spezifischen regulatorischen oder Compliance-Anforderungen, die möglicherweise bestehen, variieren können.

12- Werden die relevanten Datenschutzbestimmungen und gesetzlichen Anforderungen eingehalten?

Hinsichtlich der Datenschutzbestimmungen und rechtlichen Konformität haben die Vertraulichkeit und Sicherheit von Daten und Informationen höchste Bedeutung.

Selbstverständlich werden bei der Durchführung des Penetrationstests alle relevanten Datenschutzbestimmungen und gesetzlichen Anforderungen strikt eingehalten. Wir legen großen Wert auf die Einhaltung von Standards und Gesetzen und haben hierfür interne Richtlinien und Verfahren implementiert, um sicherzustellen, dass alle Aktivitäten im Einklang mit den geltenden Datenschutzgesetzen stehen.

Zu den Maßnahmen, die wir ergreifen, gehören unter anderem:

Vertragliche Vereinbarungen: Vor dem Test wird eine klare schriftliche Vereinbarung getroffen, die alle Aspekte des Tests regelt, einschließlich der Handhabung von Daten.

Einhalten lokaler und internationaler Datenschutzgesetze: Wir halten uns an die Datenschutzgesetze, die in der Region des Kunden und in unserer eigenen Jurisdiktion gelten.

Datensicherheit und Zugangskontrolle: Wir treffen Vorkehrungen, um sicherzustellen, dass alle während des Tests erfassten Daten sicher aufbewahrt und nur von autorisierten Personen eingesehen werden können.

Minimierung der Datenerfassung und -aufbewahrung: Wir erfassen nur die notwendigen Daten und sorgen dafür, dass sie nach Abschluss des Tests sicher vernichtet oder anonymisiert werden.

Einholung aller erforderlichen Zustimmungen: Wir stellen sicher, dass die Zustimmung aller betroffenen Parteien eingeholt wird, wenn dies erforderlich ist.

Unsere Verpflichtung zur Einhaltung von Datenschutzbestimmungen und gesetzlichen Anforderungen ist ein zentraler Aspekt unseres Engagements für die Integrität und Professionalität unserer Dienstleistungen.

13- Wie werden die Ergebnisse der Penetrationstests behandelt und wie lange werden sie aufbewahrt?

Unsere Vorgehensweisen in Bezug auf Kontrolle und Aufbewahrung der Ergebnisse sind sowohl umfassend als auch flexibel gestaltet, um den Anforderungen verschiedener Projekte gerecht zu werden.

Kontrolle der Ergebnisse: Nach dem Abschluss der Penetrationstests werden die Ergebnisse umgehend verschlüsselt und in einer gesicherten, kontrollierten Umgebung gespeichert. Der Zugang zu diesen Ergebnissen ist ausschließlich autorisierten Personen vorbehalten, die unmittelbar an dem Projekt oder an der nachfolgenden Analyse beteiligt sind. Durch regelmäßige Überprüfungen stellen wir sicher, dass kein unbefugter Zugriff erfolgt.

Aufbewahrungsfrist: Die Aufbewahrungsdauer der Ergebnisse eines Penetrationstests hängt von der Art des Projekts und den spezifischen Anforderungen des Kunden ab. Wenn keine gesonderte Vereinbarung getroffen wird, speichern wir diese Ergebnisse dauerhaft. Dies gilt jedoch nur, wenn der Kunde keine anderen Anweisungen gibt oder spezielle Vorschriften oder Branchenstandards für das Projekt Anwendung finden. Kunden fragen oft auch Jahre nach dem Test nach alten Ergebnissen. Sollte ein Kunde wünschen, die Daten zu löschen, können wir dies zum Beispiel innerhalb eines gewünschten Zeitraums umsetzen. Es ist ebenfalls wichtig zu betonen, dass wir zusätzlich zu unseren regulären Dienstleistungen auch Cloud-Speicher anbieten.

Viele unserer Kunden nutzen unsere Cloud-Lösung bereits und sind sich daher der hohen Sicherheit bewusst, die wir für ihre Daten bieten. Sie müssen sich also keine Sorgen um ihre Informationen machen.

Aus diesem Grund lassen sie die Ergebnisse häufig langfristig bei uns speichern, sodass wir bei späteren Anfragen sofort darauf zugreifen können. In der EU bieten wir unsere Cloud-Lösung jedoch noch nicht direkt an. Um den regionalen Bedarf an Cloud-Computing und -Speicherung zu decken, arbeiten wir in der EU mit unserem Partner Pottcloud zusammen.

14- Wie sieht der Bericht über die Ergebnisse des Penetrationstests aus? Enthält er eine klare und verständliche Zusammenfassung der Schwachstellen und Empfehlungen zur Behebung?

Die Methoden und Standards, die wir bei unseren Penetrationstests anwenden, werden individuell auf die jeweiligen Anforderungen jedes Projekts zugeschnitten. Nach Abschluss eines Tests erstellen wir einen detaillierten Bericht, der die Ergebnisse präzise wiedergibt.

In unseren Berichten werden die erkannten Schwachstellen klar aufgelistet, und wir bieten ein tiefgehendes Verständnis der jeweiligen Probleme, ohne sie zu vereinfachen oder zusammenzufassen. Dadurch gewährleisten wir volle Transparenz und Klarheit. Zusätzlich zu diesen Erkenntnissen unterbreiten wir konkrete Vorschläge und Lösungen, um die identifizierten Schwachstellen zu beheben.

Unser Hauptziel besteht darin, unseren Kunden klare und genaue Einblicke in ihre Sicherheitssituation zu geben. Damit möchten wir ihnen ermöglichen, gut informierte Entscheidungen zu treffen und effektive Maßnahmen einzuleiten.