Security Penetration Test (SPT)
1. Wie sieht die aktuelle Bedrohungslage aus?
Vor dem Hintergrund einer sich systematisch verdichtenden Bedrohungslage (vgl. BSI-Magazin 2016/01, S. 16) und der steigenden Bedeutung von Unternehmensinformationen muss der risikoorientierte Schutz von sensiblen Informationen und Daten integraler Bestandteil der Unternehmensstrategie sein, um den Unternehmenserfolg langfristig zu sichern.
Die vorherrschende Bedrohungslage manifestiert sich durch den Anstieg von Angriffen auf sensible Unternehmensinformationen (Produktspezifikationen, Kundendaten, Verkaufszahlen, etc.) durch Hacktivisten, Hacker, Mitbewerber oder Staaten. Im Zuge der zunehmenden Digitalisierung und Vernetzung von Produktionsabläufen und Dienstleistungsprozessen steht die wachsende Verwundbarkeit von Unternehmen einer Professionalisierung von gezielten Angriffen auf Unternehmensinformationen gegenüber. Das unternehmensinterne Gefährdungspotential basiert größtenteils auf einer unzureichend gelebten Informationssicherheitskultur, unzureichend qualifizierten Mitarbeitern und dem Betrieb von historisch gewachsenen Strukturen mit stark gewachsener Komplexität.
Neben den DAX-Konzernen stehen mittelständische Unternehmen im Fokus der Angreifer, die mit ihren Angriffen die Systemverfügbarkeit, Mitarbeiter- und Systemzugangsdaten und damit die Unternehmens-reputation gefährden (vgl. PwC Studie IT Sec. Mittelstand). Die Auswirkungen der Angriffe können Unternehmen erheblichen Schaden zufügen und in ihrer Existenz bedrohen, falls keine geeigneten Schutzmaßnahmen eingesetzt werden.
2. Warum sollten Unternehmen auf die Bedrohungslage reagieren?
Security Penetration Tests betrachten Ihr Unternehmen aus der Perspektive eines Hackers - ohne die damit für Sie verbundenen Risiken. Ein Security Penetration Test hilft Ihnen bei der Beantwortung wichtiger Fragen:
- Werden Ihre Daten und Ihre IT-Infrastruktur durch angemessene Sicherheitsmechanismen und Kontrollen wirksam gegen Angriffe von innen und außen geschützt?
- Hat sich das Risikoprofil Ihrer IT durch die Einführung neuer Systeme oder durch die Vernetzung von Anwendungen verändert?
- Ist die Wartung und Pflege der Sicherheitsinfrastruktur so gestaltet, dass auch neue Angriffsmechanismen zuverlässig abgewehrt werden können?
- Können Angriffe zeitnah erkannt und ihnen angemessen begegnet werden (Incident Response, Forensik, Kommunikation und Eskalation)?
- Sind die Mechanismen zur Abwehr von Angriffen mit Hilfe von Viren oder Ransomware effektiv?
- Wie sicherheitsbewusst sind Ihre Mitarbeiter?
Bedrohungen resultieren nicht alleine aus der Anbindung der IT-Systeme an externe Netze, wie beispielsweise das Internet, sondern sind häufig auch auf Gefahrenquellen innerhalb des Unternehmens zurückzuführen.
Wir erarbeiten und bewerten mit Ihnen zusammen die internen und externen Gefährdungsprofile für Ihre Geschäftsprozesse, Mitarbeiter und IT-Systeme. Auf dieser Basis werden Angriffsszenarien von uns entwickelt, um die Sicherheit Ihrer IT-Systeme mit minimalem Risiko für die produktiven Abläufe im Unternehmen zu testen.
3. Was ist ein Security Penetration Test?
Security Penetration Testing hat zum Ziel, auf Basis einer systematischen Methodik Schwachstellen in IT-Systemen einer definierten Zielumgebung zu identifizieren. Bei der Durchführung von SPTs werden die gleichen Techniken, Werkzeuge und Expertenkenntnisse verwendet, die auch reale Angreifer nutzen. Unsere erfahrenen Penetrationtester setzen automatisierte und manuelle Testverfahren ein, um effizient realistische Angriffsszenarien darzustellen.
Neben technischen Analysen können auch Angriffe auf sozialer Ebene zum Umfang eines Security Penetration Tests zählen, um das Sicherheitsbewusstsein der Mitarbeiter eines Unternehmens hinsichtlich Informationsweitergabe und bewusstem oder unbewusstem Einsatz nicht freigegebener Anwendungen auf die Probe zu stellen.
4. Wie sieht die PwC-Methodik zur Durchführung von Security Penetration Tests aus?
PwC hat zur Durchführung von Security Penetration Tests eine eigene Methodik entwickelt, deren Fokus auf der risikobasierten Durchführung der nachfolgend beschriebenen Analysen liegt.
PwC-Methodik zur Durchführung von SPTs
In Phase I wird eine IST-Aufnahme der Bedrohungslage Ihres Unternehmens erstellt. Ziel der IST-Aufnahme ist es die Angriffsarten, Angriffswege, Angriffswahrscheinlichkeiten und deren Auswirkungen auf Ihre IT-Systeme zu analysieren und die Testdurchführung abzuleiten.
In Phase II werden Basistests durchgeführt, um relevante Schwachstellen aktiver Systeme, Netzwerk-komponenten und Wireless-Netzwerke und Dienste aufzudecken.
Phase III ist die Angriffsphase. Unter der Verwendung von öffentlich zugänglichen Exploits oder durch Anwendung hochspezialisierter Angriffstechniken greift PwC in stetiger Abstimmung mit Ihrem Unternehmen ausgewählte IT-Systeme an, um potenzielle Schwachstellen zu identifizieren.
In Phase IV erfolgt die Auswertung und Beurteilung des Security Penetration Tests. Der Abschlussbericht erläutert die identifizierten Schwachstellen und beschreibt einzuleitende Gegenmaßnahmen.
Die gesamte PwC-Methodik zur Durchführung von Security Penetration Tests wird unter Einbeziehung von Expertenwissen, „best practise“ Methoden und Standards (OWASP Top 10 (Stand: 2013), OSSTMM, BSI Penetrationtest Methodology, WASC oder SANS Top 25) durchgeführt.
5. Welche Security Penetration Test Leistungen bietet PwC im Einzelnen an?
Im Rahmen der PwC-Methodik zur Durchführung von SPTs bieten wir Ihnen ein umfangreiches Portfolio von hochspezialisierten Leistungen an. Die nachfolgend aufgeführten Leistungen lassen sich auf den Bedarf Ihres Unternehmens individuell zuschneiden und kombinieren.
- Externer Netzwerk-, System- und Serviceidentifikation
- Externer Vulnerability Scan von Netzwerkkomponenten und Systemen
- Interner SPT lokaler Infrastrukturen und Netzwerke inkl. WLAN
- Clientsysteme
- Serversysteme
- Datenbanken
- Produktionsanlagen (ICS, SCADA)
- Modbus (TCP), PROFINET, BACNET (Layer 2 / Multicast) and SIMATIC S7 (plus)
- Dedizierte Web-Applikation Security Penetration Test / Compliance Test
- Social Engineering
- Source Code Reviews (alle gängigen Programmiersprachen)
- Hardware Analysen
- Reverse Engineering (u.a. 32 Bit Intel, 64 Bit Intel, ARM)
- Protokoll Fuzzing
- Malware Simulation
- Härtungsreview verschiedener Systeme z.B.:
- Clientsystem (z.B. Notebooks)
- Serversystem/Serverimage
- Windows Group Policy
- Telekommunikationsanlagen
- Netzwerkkomponenten wie Router und Switches
- Mobile Device Management
6. Was ist Ihr Nutzen?
Die Analyse- und Testergebnisse des Security Penetration Tests geben detaillierten Aufschluss darüber, welche Ziele aus Sicht eines Angreifers erfolgreich erreicht werden könnten und welche Maßnahmen erforderlich sind, um möglichen Gefahren entgegenzuwirken. Damit leistet der Security Penetration Test einen wesentlichen Beitrag zur Risikokontrolle in einem sensiblen und gleichzeitig für die meisten Unternehmen schwer zu bewertenden Bereich.
Profitieren Sie von unseren Analysen und Bewertungen, die speziell auf Ihre IT-Verbundsysteme und Geschäftsprozesse ausgerichtet sind. Angriffe und deren Auswirkungen werden von uns in jedem Einzelfall nachweisbar und nachvollziehbar dargestellt. Sie erhalten durch unsere technischen und strategischen Empfehlungen Informationen darüber, wie Sie zukünftig Ihren sicherheitsspezifischen Herausforderungen entgegentreten und mögliche Folgekosten auf ein Minimum reduzieren können.
Im Rahmen eines Security Penetration Tests mit PwC testet ein Expertenteam Ihre Systeme, bevor es echte Angreifer ohne Ihr Wissen tun. Schnell und mit der nötigen Vertraulichkeit helfen wir Ihnen, Schwachstellen Ihrer IT-Systeme und die damit verbundenen Risiken zu identifizieren. Genau da wo es erforderlich ist. Wir zeigen Ihnen nicht nur Schwachstellen und Risiken auf, sondern werden mit Ihnen gemeinsam tragfähige und effektive IT-Lösungen für Ihr Unternehmen schaffen.
7. In welchen Industriebranchen hat PwC bereits erfolgreich Security Penetration Tests durchgeführt?
PwC Deutschland ist unabhängiges Mitglied des globalen PwC-Netzwerks und kann auf die internationale Unterstützung von hochspezialisierten SPT Experten zugreifen. Als vollumfänglicher IT Service Dienstleister hat PwC in der Vergangenheit bereits erfolgreich eine Vielzahl von Security Penetration Tests durchgeführt. Die von PwC beratenen Kunden variieren dabei nicht nur in der Größe, sondern auch in der Industriezugehörigkeit.
- Automobilindustrie
- Energiewirtschaft
- Finanzwirtschaft
- Öffentlicher Sektor
- Industrielle Produktion
- Technologie, Medien und Telekommunikation
- Handel und Konsumgüter
- Transport und Logistik
- Familienunternehmen und Mittelstand
- Gesundheitswesen und Pharma
- Kapitalmarkorientierte Unternehmen
Contact us
