Die für Sicherheit und IT verantwortlichen Personen in Unternehmen und Organisationen haben meist eine „gefühlte Sicherheit“. Um Sicherheits- und IT-Verantwortlichen auch Gewissheit zu verschaffen, sind wir auf standardbasiertes Sicherheitstestniveau spezialisiert. So können die verantwortlichen Personen die Technical Compliance innerhalb des Sicherheitsmanagement-Prozesses, z. B. nach ISO 27001 prüfen. Die Technical Compliance prüft dabei, ob die Vorgaben in dem Security Paperwork (Policies, Procedures etc.) technisch auch so wirken, wie konzipiert. Hieraus kann sodann Handlungsbedarf für den Security- oder Betriebsprozess oder die gesamte Sicherheitsorganisation erkannt werden.

Entspannung ist spürbar

Sicherheit ist messbar

Bei der admeritia erhalten Sie standardbasierte und reproduzierbare Penetrations- und Sicherheitstests mit messbarem Sicherheitsniveau Ihrer Assets und IT-Security. Gleichzeitig beschreiben wir beurteilend alle kennzeichnenden Merkmale Ihrer IT-Security. Durch das Testen der Angriffsfläche, die Prüfung der Wirksamkeit der Controls und die Herausarbeitung von Security Limitations als Schwachstellen und Vulnerabilities erhalten Sie eine vollständige IT-Security-Charakteristik der für Sie relevanten Ausschnitte Ihrer IT-Umgebung (Untersuchungsbereich). Dabei ist nicht nur die Angriffssicherheit sondern auch die Betriebssicherheit unter die Lupe genommen.

Für Sie führen wir die Sicherheitstests nach dem de facto-Standard Open Source Security Testing Methodology Manual (OSSTMM) durch. Bei Bedarf verknüpfen wir den modularen Testkatalog mit weiteren Standards, wie z. B. dem Open Web Application Security Project (OWASP). Die so entstehenden Methoden erfassen ganzheitlich und völlig systematisch, wie Ihre Sicherheit funktioniert. Dies erstreckt sich über alle Ebenen der IT, von der Infrastruktur über die Protokollschicht und Netzwerksicherheit bis hin zur Anwendungsebene. Selbstverständlich wird dabei der Faktor Mensch nicht vernachlässigt.

Als Main Contributor hat die admeritia diverse Appiled Methodologies für OSSTMM erstellt, z. B. für VoIP oder Active Directory Security.

Ein standardbasiertes Phasenmodell und eine modulare Vorgehensweise sorgen für optimale Erkenntnisse zum Nutzen unserer Kunden. Das wir dabei Kommunikation groß schreiben, versteht sich von selbst.

Über alle Phasen dokumentierten wir unsere Testoperationen und die Ergebnisse, um Ihnen optimale Transparenz bieten zu können. Ebenso lückenlos kommunizieren wir mit Ihnen über sämtliche Zwischenergebnisse und Projektstatus. Alle Aktivitäten dienen dazu, Ihre Sicherheit gründlich zu beschreiben und standardbasiert zu bewerten. Dabei nehmen wir Abstand von dem Ansatz „Hacking as an Art“ sondern arbeiten nach OSSTMM-Vorgaben hoch systematisch. So wird einerseits die Durchlässigkeit Ihrer operativen Sicherheit im Ist-Zustand bemessen und mit den Soll-Vorgaben verglichen. Gleiches passiert mit den Gegenmaßnahmen. Ihre Sicherheitsmaßnahmen prüfen wir OSSTMM-bestimmt auf die Wirksamkeit. Security Limitations, wie gemäß OSSTMM Schwachstellen und Vulnerabilities bezeichnet werden, werden in standardbasierten Bewertungskategorien reproduzierbar kommuniziert. Auf Wunsch stehen weitere Analysemodule zur Verfügung, z. B. Compliance- oder Risikoanalysen. Eine besondere Spezialität stellt die Risikobewertung der Findings unserer Sicherheitstests dar, die wir gemeinsam mit Ihnen in die Risikoanalyse-Methoden Ihrer Organisation überführen. So können Sie Sicherheit dauerhaft, risikobasiert und nachhaltig managen.

Wenn das für Sie von Interesse ist oder Sie einen Penetrationstest planen, kommen wir gerne zu Ihnen ins Haus, um Ihnen in einem Security Test Design Workshop die Methodik zu erörtern und die Eckdaten für einen Security Test gemeinsam zu ermitteln. Gerne senden wir Ihnen auch individualisiertes Informationsmaterial, welches Sie hier anfordern können.

News

Besuchen Sie uns auf der CeBIT (6. - 10.03.2012) mehr

admeritia unterstützt BITKOM bei Cloud-Studie mehr

Heiko Rudolph ISO-Co-Editor mehr