Hintergrundgrafik intersoft consulting services AG
Skip to content
IT-Sicherheit

IT-Schwachstellenanalyse

Wir überprüfen Ihre IT‑Infrastruktur auf IT‑Sicherheitslücken, um Ihre personenbezogenen Daten gemäß DSGVO zu schützen.

Ihre Vorteile

Überzeugen Sie sich von den Vorteilen einer Zusammenarbeit.

  • Praxisorientierte Ergebnisse

    Unsere Berater geben Ihnen pragmatische Handlungsempfehlungen mit auf den Weg, um Ihr IT‑Sicherheitsniveau auch im Hinblick auf die DSGVO maßgeblich zu steigern.

  • Professionelle Unterstützung

    Unsere IT‑Sicherheitsexperten stehen Ihnen beratend zur Seite, um die für Sie bestmögliche Auswahl der zu testenden Systeme festzulegen.

  • Erfahrene IT‑Experten

    Die hochspezialisierten Berater im Bereich IT‑Sicherheit verfügen über langjährige Erfahrung und Expertise.

Technischer Datenschutz von außen

Details einer IT‑Schwachstellenanalyse

Cyberangriffe steigen kontinuierlich an und die Angreifer werden zunehmend professioneller. Das Risikobewusstsein ist mittlerweile in vielen Unternehmen angekommen, daher investieren immer mehr Unternehmen in präventive IT‑Sicherheitsmaßnahmen. Die Angreifer haben es dabei vor allem auf personenbezogene Daten abgesehen, da diese auf dem Markt besonders lukrativ sind. Sensible Unternehmensdaten müssen heutzutage vor Hacker-Angriffen maßgeblich geschützt werden.

Bei der Verarbeitung personenbezogener Daten ist ein angemessenes Schutzniveau zu gewährleisten, das mit Hilfe geeigneter technischer und organisatorischer Maßnahmen („TOMs“) sicherzustellen ist. Eine regelmäßige Überprüfung der bestehenden technischen und organisatorischen Maßnahmen auf ihre Wirksamkeit ist nach den Bestimmungen der DSGVO verpflichtend vorgeschrieben. Dies umfasst z. B. die Ermittlung der Patch-Stände von IT‑Systemen – eine im Alltagsgeschäft häufig übersehene IT‑Sicherheitslücke.

IT‑Sicherheitslücken aufspüren und Maßnahmenempfehlung ableiten

Eine IT‑Schwachstellenanalyse dient also der Verbesserung des IT‑Sicherheitsniveaus in Unternehmen und sollte immer auf die Gegebenheiten Ihrer Firma angepasst werden. Hierbei wird die Widerstandsfähigkeit der internen IT‑Umgebung gegenüber externen Angreifern geprüft. Das bedeutet, dass Netzwerke und Geräte auf Schwachstellen untersucht werden. Das Ergebnis der Analyse identifiziert potenzielle Einfallstore für einen externen Angreifer aus dem Internet heraus und gibt letztendlich Aufschluss über die Größe der Angriffsfläche, die es zu schließen gilt. Nicht selten sind Anwendungen mit sensiblen Kundendaten, die bspw. über einen Webserver erreichbar sind, nicht ausreichend abgesichert und somit für Angreifer zugänglich. Sollte ein Angreifer solch einen Webserver hacken, könnte es sich hierbei um einen Datenschutzvorfall handeln, der grundsätzlich den Aufsichtsbehörden und ggf. auch den betroffenen Personen gemeldet werden muss (gemäß Art. 33, 34 DSGVO).

Der Umfang der Analyse ist im Vorwege mit dem Auftraggeber in einem Vorgespräch zu klären und kann von Unternehmen zu Unternehmen variieren. Daher ist auch die Durchführungsdauer sehr individuell, da sie mit der Größe und Komplexität der zu untersuchenden Systeme des Unternehmens zusammenhängt. Nach Durchführung werden die Ergebnisse in einem Abschlussbericht aufgearbeitet, wobei die erkannten Schwachstellen einem Gefährdungsrisiko zugeordnet werden. Anschließend werden Maßnahmen zur Behebung für die jeweiligen Schwachstellen näher erläutert. Dies gibt dem Kunden einen Überblick sowie eine Handreichung über die notwendigen Schritte, die eingeleitet werden müssen, um die IT‑Sicherheitslücken zu schließen und den technischen Datenschutz zu wahren.

So können wir Sie unterstützen

  • Testen und Darstellung des IT‑Sicherheitsniveaus
  • Aufdeckung kritischer IT‑Sicherheitslücken
  • Einordnung der Befunde nach Gefährdungsrisiko
  • Nachweis von angemessenen Maßnahmen zum Schutz personenbezogener Daten (DSGVO)
  • Überprüfung der technischen und organisatorischen Maßnahmen (z. B. des Patch-Managements)
  • Ableitung von Maßnahmenempfehlungen für den Kunden
  • Erstellung eines Berichts mit den Ergebnissen der Analyse
Hintergrundgrafik intersoft consulting services AG
Als Experten für IT‑Sicherheit sind wir an Ihrer Seite. Kontaktieren Sie uns. Hier unverbindlich anfragen

Unser Ablauf

  • Vorgespräch

    In einem Erstgespräch sollen zwischen Auftraggeber und Auftragnehmer alle Rahmenbedingungen besprochen werden. Es wird geklärt, was genau getestet werden soll. Dies kann z. B. eine einzelne Webapp oder eine vorbestimmte Anzahl an IP-Adressen beinhalten. Hier stehen wir Ihnen selbstverständlich beratend zur Seite, um die für Sie sinnvollsten Möglichkeiten aufzuzeigen. Eine Mitwirkung des Kunden ist für eine erfolgreiche Durchführung der IT-Schwachstellenanalyse notwendig.

  • Durchführung der Analyse

    Die Analyse wird an einem abgestimmten Termin durchgeführt. Wir nehmen hierbei die Sicht eines externen Angreifers aus dem Internet heraus ein und identifizieren IT-Sicherheitslücken für die abgestimmten Systeme und Geräte, die es zu testen gilt. Der Test wird von unseren Büroräumen aus durchgeführt.
    Um einen reibungslosen Ablauf zu garantieren, sollte der Auftraggeber einen Ansprechpartner für den durchzuführenden Consultant zur Verfügung stellen.

  • Berichterstellung

    Der Bericht wird in vier Bereiche unterteilt: Allgemeines, Management Zusammenfassung, technische Details und erkannte Dienste. Der Schwerpunkt liegt hierbei auf den technischen Details. Dort werden die erkannten Verwundbarkeiten je nach Gefährdungsrisiko kategorisiert. Es wird dabei zwischen den kritischen Lücken abgewogen und denen, die ein verhältnismäßig geringes Risiko darstellen. Anschließend werden Handlungsempfehlungen zur Schließung der IT-Sicherheitslücken abgeleitet.

Häufige Fragen

Wir beantworten Fragen zur Durchführung einer IT‑Schwachstellenanalyse.

Eine IT‑Schwachstellenanalyse kann als Vorstufe eines Penetrationstest angesehen werden. Bei einer IT‑Schwachstellenanalyse soll das technische Sicherheitsniveau eines Kunden ermittelt werden. Also werden Dienste und Mechanismen auf ihre Verwundbarkeit überprüft. Es werden hierbei IT‑Schwachstellen festgestellt, die einem Gefährdungsrisiko zugeordnet werden können. Diese Sicherheitslücken werden in moderate bis hin zu kritische Schwachstellen eingestuft. Nach Aufspüren der Schwachstellen können anschließend Maßnahmen zur Behebung abgeleitet werden. Bei solch einem Test kann es jedoch auch zu sogenannten False Positives kommen. Das sind vermeintlich erkannte Schwachstellen, die jedoch fälschlicherweise erkannt wurden oder nicht ausnutzbar sind. Diese werden im Rahmen einer IT‑Schwachstellenanalyse nicht weiter verifiziert.

Bei einem Penetrationstest allerdings schon. Somit ist ein Penetrationstest vom Umfang und von den Kosten her deutlich größer als eine IT‑Schwachstellenanalyse. Hier werden die False Positives erkannt und reduziert. Gefundene Schwachstellen werden aktiv ausgenutzt. Dadurch kann der mögliche Schaden und das Ausmaß ermittelt werden. Ziel ist es, möglichst tief in die IT‑Infrastruktur einzudringen und dem Kunden anhand der Funde die Auswirkungen der Schwachstellen auf das Unternehmen darzulegen.

Um sich einen ersten Überblick über das IT‑Sicherheitsniveau eines Unternehmens zu schaffen, ist eine IT‑Schwachstellenanalyse besonders gut geeignet. Hierbei können schnell Rückschlüsse auf IT‑Sicherheitslücken gezogen werden sowie Maßnahmen zur Schließung dieser umgesetzt werden.

Eine IT‑Schwachstellenanalyse eignet sich für jedes Unternehmen – von klein bis mittelständischen Unternehmen bis hinzu großen Konzernen. Der Umfang einer Analyse wird jedoch sehr individuell auf die Kundenwünsche angepasst. Potenzielle Kunden sollten sich über die Anzahl der zu testenden Systeme im Vorwege Gedanken machen.

Die Branche eines Unternehmens spielt keine Rolle, denn jedes Unternehmen ist den Gefahren von Cyberangriffen ausgesetzt. Um sich vor potenziellen Angreifern zu schützen, sollte jedes Unternehmen präventiv in IT‑Sicherheitsmaßnahmen investieren, um die Einfallstore für Angreifer zu minimieren und zu schließen. Hierfür kann eine IT‑Schwachstellenanalyse Hilfe leisten. Wir nehmen hierbei die Sicht eines externen Angreifers aus dem Internet ein. Für die Durchführung benötigen wir einen Ansprechpartner beim Kunden, der während der Durchführung erreichbar ist.

Für alle Unternehmen, die eigene öffentlich erreichbare IT‑Systeme nutzen, wie z. B. ein E-Mail Server oder der eigene Webdienst, ist die Sicht eines externen Angreifers besonders spannend und geeignet. Denn der Startpunkt eines externen Angriffs erfolgt meist aus dem Internet heraus. Dort versucht ein Angreifer, erste IT‑Sicherheitslücken zu identifizieren, um in ein Unternehmensnetzwerk einzudringen und sich von dort aus weiter vorzuarbeiten. In einem Bericht erhalten Sie von uns Empfehlungen, wie Sie diese IT‑Sicherheitslücken schnellstmöglich schließen können.

Der Umfang einer IT‑Schwachstellenanalyse ist sehr individuell auf die Gegebenheiten sowie Vorgaben eines Unternehmens ausgerichtet und kann daher von Unternehmen zu Unternehmen variieren. Der gesamte Umfang richtet sich beispielsweise nach der Anzahl der zu testenden Systeme, der verfügbaren Dienste sowie der gefundenen Schwachstellen. Kann der Kunde genau schildern, was getestet werden soll, kann dies im Testverfahren entsprechend berücksichtigt werden. Werden nur wenige bis keine Details bekannt gegeben, kann es passieren, dass der ausführende Berater andere Systeme priorisiert als der Kunde. Daher ist das Ergebnis der Analyse stark von der Mitarbeit des Kunden abhängig. Um die genauen Bedürfnisse herauszustellen, stehen wir Ihnen selbstverständlich beratend in einem Vorgespräch zur Seite.

Sobald alle Rahmenbedingungen geklärt sind, wird die Analyse durchgeführt, um die IT‑Sicherheitslücken aufzudecken. Diese werden je nach Gefährdungsrisiko in moderate bis kritische Schwachstellen aufgeteilt. Anschließend erhält der Kunde ein Ergebnisbericht inklusive Maßnahmen zur Behebung, um die IT‑Sicherheitslücken möglichst schnell schließen zu können. Der gesamte Umfang der IT‑Schwachstellenanalyse wird von uns so schnell wie möglich bearbeitet. Sollten in Ihrem Unternehmen kritische IT‑Sicherheitslücken vorhanden sein, sollten diese umgehend geschlossen werden.

Hintergrundgrafik intersoft consulting services AG
Fragen Sie uns. Wir erstellen Ihnen ein zugeschnittenes Angebot. Hier unverbindlich anfragen

Spezialisierte Berater für Ihre IT‑Sicherheit

Erfahrene Berater liefern passende Lösungen für Ihr Unternehmen. Lernen Sie hier eine Auswahl kennen.

Aufgelistet finden Sie Zertifikate und Mitgliedschaften der Unternehmensgruppe, die unseren hohen Anspruch belegen.

Allianz für Cyber-Sicherheit

Allianz für Cyber-Sicherheit

Die Allianz für Cyber-Sicherheit (ACS) ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI), welche sich proaktiv der Bekämpfung von Cyber-Bedrohungen widmet. Die intersoft consulting services AG ist Partner der ACS und engagiert sich proaktiv, um die IT-Sicherheit in Unternehmen zu stärken.

Cyber-Security Practitioner

Cyber-Security Practitioner

Mehrere Mitarbeiter der intersoft consulting services AG sind durch die Information Systems Audit and Control Association (ISACA) zum Cyber Security Practitioner (CSP) zertifiziert. Dies ist ein Zertifikatskurs in Kooperation mit der Allianz für Cybersicherheit vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Damit ist man als Experte auf diesem Gebiet qualifiziert und in der Lage, einen Cyber-Sicherheits-Check durchzuführen, um die Cyber-Sicherheit in Unternehmen und Behörden zu beurteilen.

GIAC Penetration Tester (GPEN)

GIAC Penetration Tester (GPEN)

Unser IT-Forensiker Adrian Klick-Strehl ist durch die Global Information Assurance Certification (GIAC) zertifizierter Penetration Tester (GPEN). Zuvor wurde er am SANS-Institut ausgebildet, das weltweit anerkannte Trainings in dem Bereich IT-Sicherheit anbietet. Herr Klick-Strehl qualifiziert sich hierdurch als Experte, um Zielnetzwerke und -systeme auf Sicherheitslücken zu untersuchen.

ISO 27001 zertifiziert

ISO 27001 zertifiziert

Mit der Zertifizierung ihres Informationssicherheits-managementsystems (ISMS) nach ISO 27001 dokumentiert die intersoft consulting services AG ihre Fähigkeit, Vertraulichkeit, Integrität und Verfügbarkeit der ihr anvertrauten Informationen zu wahren. Die Kunden können damit auf eine angemessene Steuerung von Risiken vertrauen.
Zertifikat öffnen

IS-Revisor (BSI)

IS-Revisor (BSI)

Die intersoft consulting services AG verfügt über einen eigenen vom BSI zertifizierten IS-Revisor. Dieser hat die Kompetenz Bundesbehörden bei der Erstellung und Umsetzung von Sicherheitskonzepten sowie bei der Durchführung von IS-Revisionen gemäß „Leitfaden für die Informationssicherheitsrevision auf Basis von IT-Grundschutz“ zu unterstützen.

ISO/IEC 27001 Practitioner – Information Security Officer

ISO/IEC 27001 Practitioner – Information Security Officer

Unser IT-Forensiker Adrian Klick-Strehl ist durch APMG International zum ISO/IEC Practitioner – Information Security Officer zertifiziert. Er ist damit auf Informationssicherheitsmanagementsysteme (ISMS) auf der Grundlage des ISO/IEC 27001-Standards spezialisiert. Durch diese Fortbildung erlangte Herr Klick-Strehl tiefgreifende Expertise ein ISMS zu planen, aufzubauen, aufrechtzuerhalten und zu verbessern.

Competence Center for Applied Security Technology e.V. (CAST)

Competence Center for Applied Security Technology e.V. (CAST)

Als CAST-Mitglied genießen wir den Zugang zu einem etablierten Kompetenznetzwerk. Der Verein ist Ansprechpartner für IT-Sicherheit und modernster Informationstechnologie und bieten vielfältige Dienstleitungen sowie Wissens- und Erfahrungsaustausch auf hohem Niveau.

De-Mail-Auditor für ISO 27001-Audits / IT-Grundschutz

De-Mail-Auditor für ISO 27001-Audits / IT-Grundschutz

Für den Dienst „De-Mail“ vom Bundesministerium des Innern (BMI) verfügen wir über akkreditierte De-Mail-Auditoren. Die intersoft consulting services Unternehmensgruppe hat die ersten De-Mail-Diensteanbieter erfolgreich durch den Zertifizierungsprozess begleitet.

  • BSI-zertifizierte Auditteamleiter für ISO 27001 auf der Basis von IT‑Grundschutz, De‑Mail‑Auditor und IS‑Revisor
  • Certified ISO/IEC 27001 Lead Auditor, ISO/IEC 27001 Implementer, ISO/IEC 27001 Practitioner
  • IT-Sicherheitsbeauftragte (TÜV)
  • Informatiker und Wirtschaftsinformatiker
  • Master of Engineering IT‑Sicherheit und Forensik
  • Cyber Security Practitioner (ISACA), IT Information Security Practitioner (ISACA)
  • GIAC Penetration Tester, GIAC Certified Forensic Examiner, GIAC Advanced Smartphone Forensics, GIAC Reverse Engineering Malware
  • Volljuristen (2 Staatsexamina), darunter promovierte Rechtsanwälte
  • Fachanwälte für IT‑Recht, gewerblichen Rechtsschutz, Urheber- und Medienrecht, Versicherungsrecht und Sozialrecht
  • Master of Laws in IT‑Recht, Medienrecht, Immaterialgüterrecht, Gewerblichen Rechtsschutz und Recht des geistigen Eigentums
  • Bachelor of Laws für Informationsrecht und Wirtschaftsrecht
  • TÜV‑zertifizierte Datenschutzbeauftragte und Datenschutzauditoren
  • IT‑Compliance-Manager (ISACA) und Compliance-Officer (TÜV)
  • Datenschutzbeauftragte nach Verbandkriterien verpflichtet (BvD)

Referenzen

Wir beraten deutschlandweit hunderte Unternehmen und sind daher in allen Branchen vertreten. Dies ist nur ein Auszug unserer Referenzen.

Celonis
DRK-Landesverband Schleswig-Holstein
cellent
Uelzener Allgemeine Versicherungs-Gesellschaft
Hilite Germany
DPS Engineering
Deutsche Pensions Group
INTER Krankenversicherung

Standorte

Standorte
Mit bundesweiten Niederlassungen sind wir auch in Ihrer Nähe vertreten.

Kontaktieren Sie uns

Hintergrundgrafik intersoft consulting services AG
Julia Reiter
Vertriebsleiterin
Gern beantworten wir Ihre Fragen oder erstellen Ihnen ein individuelles Angebot. Hier unverbindlich anfragen

PDF-Download