Hintergrundgrafik intersoft consulting services AG
Weiter zum Inhalt
IT-Sicherheit

IT-Schwachstellenanalyse

Wir überprüfen Ihre IT‑Infrastruktur auf IT‑Sicherheitslücken, um Ihre personenbezogenen Daten gemäß DSGVO zu schützen.

Ihre Vorteile

Überzeugen Sie sich von den Vorteilen einer Zusammenarbeit.

  • Praxisorientierte Ergebnisse

    Unsere Berater geben Ihnen pragmatische Handlungsempfehlungen mit auf den Weg, um Ihr IT‑Sicherheitsniveau auch im Hinblick auf die DSGVO maßgeblich zu steigern.

  • Professionelle Unterstützung

    Unsere IT‑Sicherheitsexperten stehen Ihnen beratend zur Seite, um die für Sie bestmögliche Auswahl der zu testenden Systeme festzulegen.

  • Erfahrene IT‑Experten

    Die hochspezialisierten Berater im Bereich IT‑Sicherheit verfügen über langjährige Erfahrung und Expertise.

Technischer Datenschutz von außen

Details einer IT‑Schwachstellenanalyse

Cyberangriffe steigen kontinuierlich an und die Angreifer werden zunehmend professioneller. Das Risikobewusstsein ist mittlerweile in vielen Unternehmen angekommen, daher investieren immer mehr Unternehmen in präventive IT‑Sicherheitsmaßnahmen. Die Angreifer haben es dabei vor allem auf personenbezogene Daten abgesehen, da diese auf dem Markt besonders lukrativ sind. Sensible Unternehmensdaten müssen heutzutage vor Hacker-Angriffen maßgeblich geschützt werden.

Bei der Verarbeitung personenbezogener Daten ist ein angemessenes Schutzniveau zu gewährleisten, das mit Hilfe geeigneter technischer und organisatorischer Maßnahmen („TOMs“) sicherzustellen ist. Eine regelmäßige Überprüfung der bestehenden technischen und organisatorischen Maßnahmen auf ihre Wirksamkeit ist nach den Bestimmungen der DSGVO verpflichtend vorgeschrieben. Dies umfasst z. B. die Ermittlung der Patch-Stände von IT‑Systemen – eine im Alltagsgeschäft häufig übersehene IT‑Sicherheitslücke.

IT‑Sicherheitslücken aufspüren und Maßnahmenempfehlung ableiten

Eine IT‑Schwachstellenanalyse dient also der Verbesserung des IT‑Sicherheitsniveaus in Unternehmen und sollte immer auf die Gegebenheiten Ihrer Firma angepasst werden. Hierbei wird die Widerstandsfähigkeit der internen IT‑Umgebung gegenüber externen Angreifern geprüft. Das bedeutet, dass Netzwerke und Geräte auf Schwachstellen untersucht werden. Das Ergebnis der Analyse identifiziert potenzielle Einfallstore für einen externen Angreifer aus dem Internet heraus und gibt letztendlich Aufschluss über die Größe der Angriffsfläche, die es zu schließen gilt. Nicht selten sind Anwendungen mit sensiblen Kundendaten, die bspw. über einen Webserver erreichbar sind, nicht ausreichend abgesichert und somit für Angreifer zugänglich. Sollte ein Angreifer solch einen Webserver hacken, könnte es sich hierbei um einen Datenschutzvorfall handeln, der grundsätzlich den Aufsichtsbehörden und ggf. auch den betroffenen Personen gemeldet werden muss (gemäß Art. 33, 34 DSGVO).

Der Umfang der Analyse ist im Vorwege mit dem Auftraggeber in einem Vorgespräch zu klären und kann von Unternehmen zu Unternehmen variieren. Daher ist auch die Durchführungsdauer sehr individuell, da sie mit der Größe und Komplexität der zu untersuchenden Systeme des Unternehmens zusammenhängt. Nach Durchführung werden die Ergebnisse in einem Abschlussbericht aufgearbeitet, wobei die erkannten Schwachstellen einem Gefährdungsrisiko zugeordnet werden. Anschließend werden Maßnahmen zur Behebung für die jeweiligen Schwachstellen näher erläutert. Dies gibt dem Kunden einen Überblick sowie eine Handreichung über die notwendigen Schritte, die eingeleitet werden müssen, um die IT‑Sicherheitslücken zu schließen und den technischen Datenschutz zu wahren.

So können wir Sie unterstützen

  • Testen und Darstellung des IT‑Sicherheitsniveaus
  • Aufdeckung kritischer IT‑Sicherheitslücken
  • Einordnung der Befunde nach Gefährdungsrisiko
  • Nachweis von angemessenen Maßnahmen zum Schutz personenbezogener Daten (DSGVO)
  • Überprüfung der technischen und organisatorischen Maßnahmen (z. B. des Patch-Managements)
  • Ableitung von Maßnahmenempfehlungen für den Kunden
  • Erstellung eines Berichts mit den Ergebnissen der Analyse
Hintergrundgrafik intersoft consulting services AG
Angebotspreis: Wir prüfen bis zu 20 IP‑Adressen für 3.200 €. Hier unverbindlich anfragen

Unser Ablauf

  • Vorgespräch

    In einem Erstgespräch sollen zwischen Auftraggeber und Auftragnehmer alle Rahmenbedingungen besprochen werden. Es wird geklärt, was genau getestet werden soll. Dies kann z. B. eine einzelne Webapp oder eine vorbestimmte Anzahl an IP-Adressen beinhalten. Hier stehen wir Ihnen selbstverständlich beratend zur Seite, um die für Sie sinnvollsten Möglichkeiten aufzuzeigen. Eine Mitwirkung des Kunden ist für eine erfolgreiche Durchführung der IT-Schwachstellenanalyse notwendig.

  • Durchführung der Analyse

    Die Analyse wird an einem abgestimmten Termin durchgeführt. Wir nehmen hierbei die Sicht eines externen Angreifers aus dem Internet heraus ein und identifizieren IT-Sicherheitslücken für die abgestimmten Systeme und Geräte, die es zu testen gilt. Der Test wird von unseren Büroräumen aus durchgeführt.
    Um einen reibungslosen Ablauf zu garantieren, sollte der Auftraggeber einen Ansprechpartner für den durchzuführenden Consultant zur Verfügung stellen.

  • Berichterstellung

    Der Bericht wird in vier Bereiche unterteilt: Allgemeines, Management Zusammenfassung, technische Details und erkannte Dienste. Der Schwerpunkt liegt hierbei auf den technischen Details. Dort werden die erkannten Verwundbarkeiten je nach Gefährdungsrisiko kategorisiert. Es wird dabei zwischen den kritischen Lücken abgewogen und denen, die ein verhältnismäßig geringes Risiko darstellen. Anschließend werden Handlungsempfehlungen zur Schließung der IT-Sicherheitslücken abgeleitet.

Häufige Fragen

Wir beantworten Fragen zur Durchführung einer IT‑Schwachstellenanalyse.

Eine IT‑Schwachstellenanalyse kann als Vorstufe eines Penetrationstest angesehen werden. Bei einer IT‑Schwachstellenanalyse soll das technische Sicherheitsniveau eines Kunden ermittelt werden. Also werden Dienste und Mechanismen auf ihre Verwundbarkeit überprüft. Es werden hierbei IT‑Schwachstellen festgestellt, die einem Gefährdungsrisiko zugeordnet werden können. Diese Sicherheitslücken werden in moderate bis hin zu kritische Schwachstellen eingestuft. Nach Aufspüren der Schwachstellen können anschließend Maßnahmen zur Behebung abgeleitet werden. Bei solch einem Test kann es jedoch auch zu sogenannten False Positives kommen. Das sind vermeintlich erkannte Schwachstellen, die jedoch fälschlicherweise erkannt wurden oder nicht ausnutzbar sind. Diese werden im Rahmen einer IT‑Schwachstellenanalyse nicht weiter verifiziert.

Bei einem Penetrationstest allerdings schon. Somit ist ein Penetrationstest vom Umfang und von den Kosten her deutlich größer als eine IT‑Schwachstellenanalyse. Hier werden die False Positives erkannt und reduziert. Gefundene Schwachstellen werden aktiv ausgenutzt. Dadurch kann der mögliche Schaden und das Ausmaß ermittelt werden. Ziel ist es, möglichst tief in die IT‑Infrastruktur einzudringen und dem Kunden anhand der Funde die Auswirkungen der Schwachstellen auf das Unternehmen darzulegen.

Um sich einen ersten Überblick über das IT‑Sicherheitsniveau eines Unternehmens zu schaffen, ist eine IT‑Schwachstellenanalyse besonders gut geeignet. Hierbei können schnell Rückschlüsse auf IT‑Sicherheitslücken gezogen werden sowie Maßnahmen zur Schließung dieser umgesetzt werden.

Eine IT‑Schwachstellenanalyse eignet sich für jedes Unternehmen – von klein bis mittelständischen Unternehmen bis hinzu großen Konzernen. Der Umfang einer Analyse wird jedoch sehr individuell auf die Kundenwünsche angepasst. Potenzielle Kunden sollten sich über die Anzahl der zu testenden Systeme im Vorwege Gedanken machen.

Die Branche eines Unternehmens spielt keine Rolle, denn jedes Unternehmen ist den Gefahren von Cyberangriffen ausgesetzt. Um sich vor potenziellen Angreifern zu schützen, sollte jedes Unternehmen präventiv in IT‑Sicherheitsmaßnahmen investieren, um die Einfallstore für Angreifer zu minimieren und zu schließen. Hierfür kann eine IT‑Schwachstellenanalyse Hilfe leisten. Wir nehmen hierbei die Sicht eines externen Angreifers aus dem Internet ein. Für die Durchführung benötigen wir einen Ansprechpartner beim Kunden, der während der Durchführung erreichbar ist.

Für alle Unternehmen, die eigene öffentlich erreichbare IT‑Systeme nutzen, wie z. B. ein E-Mail Server oder der eigene Webdienst, ist die Sicht eines externen Angreifers besonders spannend und geeignet. Denn der Startpunkt eines externen Angriffs erfolgt meist aus dem Internet heraus. Dort versucht ein Angreifer, erste IT‑Sicherheitslücken zu identifizieren, um in ein Unternehmensnetzwerk einzudringen und sich von dort aus weiter vorzuarbeiten. In einem Bericht erhalten Sie von uns Empfehlungen, wie Sie diese IT‑Sicherheitslücken schnellstmöglich schließen können.

Der Umfang einer IT‑Schwachstellenanalyse ist sehr individuell auf die Gegebenheiten sowie Vorgaben eines Unternehmens ausgerichtet und kann daher von Unternehmen zu Unternehmen variieren. Der gesamte Umfang richtet sich beispielsweise nach der Anzahl der zu testenden Systeme, der verfügbaren Dienste sowie der gefundenen Schwachstellen. Kann der Kunde genau schildern, was getestet werden soll, kann dies im Testverfahren entsprechend berücksichtigt werden. Werden nur wenige bis keine Details bekannt gegeben, kann es passieren, dass der ausführende Berater andere Systeme priorisiert als der Kunde. Daher ist das Ergebnis der Analyse stark von der Mitarbeit des Kunden abhängig. Um die genauen Bedürfnisse herauszustellen, stehen wir Ihnen selbstverständlich beratend in einem Vorgespräch zur Seite.

Sobald alle Rahmenbedingungen geklärt sind, wird die Analyse durchgeführt, um die IT‑Sicherheitslücken aufzudecken. Diese werden je nach Gefährdungsrisiko in moderate bis kritische Schwachstellen aufgeteilt. Anschließend erhält der Kunde ein Ergebnisbericht inklusive Maßnahmen zur Behebung, um die IT‑Sicherheitslücken möglichst schnell schließen zu können. Der gesamte Umfang der IT‑Schwachstellenanalyse wird von uns so schnell wie möglich bearbeitet. Sollten in Ihrem Unternehmen kritische IT‑Sicherheitslücken vorhanden sein, sollten diese umgehend geschlossen werden.

Hintergrundgrafik intersoft consulting services AG
Fragen Sie uns. Wir erstellen Ihnen ein zugeschnittenes Angebot. Hier unverbindlich anfragen

Spezialisierte Berater für Ihre IT‑Sicherheit

Erfahrene Berater liefern passende Lösungen für Ihr Unternehmen. Lernen Sie hier eine Auswahl kennen.

Aufgelistet finden Sie Zertifikate und Mitgliedschaften der Unternehmensgruppe, die unseren hohen Anspruch belegen.

Top-Berater

Top-Berater

intersoft consulting services hat die Auszeichnung „Top-Berater“ erhalten und ist somit ins Qualitätsregister für Berater von ServiceValue aufgenommen. Im Rahmen eines Prüfverfahrens von ServiceValue und dem Hamburger Consulting Club (HCC) wurden die Gebiete Company, Collaboration und Competence bewertet sowie das Testat mit herausragendem Prüfergebnis erstellt.

ISO 27001 zertifiziert

ISO 27001 zertifiziert

Mit der Zertifizierung ihres Informationssicherheits-managementsystems (ISMS) nach ISO 27001 dokumentiert die intersoft consulting services AG ihre Fähigkeit, Vertraulichkeit, Integrität und Verfügbarkeit der ihr anvertrauten Informationen zu wahren. Die Kunden können damit auf eine angemessene Steuerung von Risiken vertrauen.
Zertifikat öffnen

ISO 9001 zertifiziert

ISO 9001 zertifiziert

Mit der Zertifizierung seines Qualitätsmanagements nach ISO 9001 dokumentiert die intersoft consulting services AG ihr Streben nach stetiger Verbesserung der Dienstleistungen, Prozesse und Kosteneffizienz, um die Zufriedenheit von Kunden und Mitarbeitern weiter zu erhöhen.
Zertifikat öffnen

Cyber-Security Practitioner

Cyber-Security Practitioner

Mehrere Mitarbeiter der intersoft consulting services AG sind durch die Information Systems Audit and Control Association (ISACA) zum Cyber Security Practitioner (CSP) zertifiziert. Dies ist ein Zertifikatskurs in Kooperation mit der Allianz für Cybersicherheit vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Damit ist man als Experte auf diesem Gebiet qualifiziert und in der Lage, einen Cyber-Sicherheits-Check durchzuführen, um die Cyber-Sicherheit in Unternehmen und Behörden zu beurteilen.

Competence Center for Applied Security Technology e.V. (CAST)

Competence Center for Applied Security Technology e.V. (CAST)

Als CAST-Mitglied genießen wir den Zugang zu einem etablierten Kompetenznetzwerk. Der Verein ist Ansprechpartner für IT-Sicherheit und modernster Informationstechnologie und bieten vielfältige Dienstleitungen sowie Wissens- und Erfahrungsaustausch auf hohem Niveau.

Advanced Persistent Threat (APT)

Advanced Persistent Threat (APT)

intersoft consulting ist qualifizierter APT-Response-Dienstleister des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und dort offiziell gelistet. Damit erfüllt das Unternehmen die gemäß § 3 BSIG Auswahlkriterien, um gezielte Angriffe starker Gegner (Advanced Persistent Threat, APT) abzuwehren. Bei der Aufnahme als Dienstleister wird vom BSI auf eine Vielzahl von Kriterien geachtet. Eine durchgängige Erreichbarkeit sowie technische Ausstattung spielen dabei ebenso eine tragende Rolle wie juristisches Fachwissen.

Cyber-Sicherheitsnetzwerk (CSN)

Cyber-Sicherheitsnetzwerk (CSN)

Das Cyber-Sicherheitsnetzwerk (CSN) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist ein freiwilliger Zusammenschluss qualifizierter IT‑Sicherheitsexperten für IT‑Sicherheitsvorfälle. Die intersoft consulting services AG stellt als Mitglied des CSN ihr Know-how zur Verfügung und ist als qualifizierter Dienstleister im Bereich Incident Handling / Response gelistet.

Auditteamleiter für ISO 27001 auf der Basis von IT‑Grundschutz

Auditteamleiter für ISO 27001 auf der Basis von IT‑Grundschutz

Unser Mitarbeiter Ralf Lüneburg ist durch das BSI personenzertifizierter Auditteamleiter für ISO 27001‑Audits auf der Basis von IT‑Grundschutz. Er stützt sich bei seiner Arbeit auf eine über zwanzigjährige Berufserfahrung im Bereich der Informationssicherheit. Darüber hinaus ist er Sachverständiger für Telematikinfrastruktur (gematik) und Auditor für ISO 22031.

  • BSI-zertifizierte Auditteamleiter für ISO 27001 auf der Basis von IT‑Grundschutz
  • ISO/IEC 27001 Lead Auditor, ISO/IEC 27001 Implementer, ISO/IEC 27001 Practitioner
  • GIAC Certified Forensic Examiner, GIAC Certified Forensic Analyst, GIAC Battlefield Forensics and Acquisition
  • IT-Sicherheitsbeauftragte (TÜV)
  • Business Continuity Manager (TÜV)
  • Informatiker und Wirtschaftsinformatiker
  • Master of Science Informationsmanagement
  • Bachelor of Science Informatik
  • Cyber Security Practitioner (ISACA), IT Information Security Practitioner (ISACA)
  • Cloud Information Security (ISO 27017/27018)
  • Volljuristen (2 Staatsexamina), darunter promovierte Rechtsanwälte
  • Fachanwälte für IT‑Recht, gewerblichen Rechtsschutz, Urheber- und Medienrecht, Versicherungsrecht und Sozialrecht
  • Master of Laws in IT‑Recht, Medienrecht, Immaterialgüterrecht, Gewerblichen Rechtsschutz und Recht des geistigen Eigentums
  • Bachelor of Laws für Informationsrecht und Wirtschaftsrecht
  • ISO 27701 Lead Implementer
  • TÜV‑zertifizierte Datenschutzbeauftragte und Datenschutzauditoren
  • Certified Information Privacy Manager (CIPM), Certified Information Privacy Professional (CIPP/E)
  • IT‑Compliance-Manager (ISACA) und Compliance-Officer (TÜV)
  • Datenschutzbeauftragte nach Verbandkriterien verpflichtet (BvD)

Referenzen

Wir beraten deutschlandweit hunderte Unternehmen und sind daher in allen Branchen vertreten. Dies ist nur ein Auszug unserer Referenzen.

Celonis
DPS Engineering
cellent
Uelzener Allgemeine Versicherungs-Gesellschaft
BVV Versicherungsverein des Bankgewerbes
DRK-Landesverband Schleswig-Holstein
Hilite Germany
INTER Krankenversicherung

Standorte

Standorte
Mit bundesweiten Niederlassungen sind wir auch in Ihrer Nähe vertreten.

Kontaktieren Sie uns

Hintergrundgrafik intersoft consulting services AG
Julia Reiter
Vertriebsleiterin
Gern beantworten wir Ihre Fragen oder erstellen Ihnen ein individuelles Angebot. Hier unverbindlich anfragen

PDF-Download

NEWSLETTERInfos zum Unternehmenkostenlose WebinareFachbeiträge