VASGARD/SCC

VASGARD/SCC

VASGARD/SCC

Der Vasgard Security Compliance Check besteht aus möglichen Festpreispaketen zur Durchführung von Audits, Penetrationstests oder gleich einem ganzen „Kontingent“ an Analystentagen. Unsere Auditoren und Security-Analysten blicken auf langjährige Erfahrungen bei der Durchführung von Sicherheitsüberprüfungen und Penetrationstests zurück. Zu unseren Auftraggebern zählen nationale und internationale Unternehmen verschiedener Branchen (soziale Träger, Banken, Versicherungen, Telekommunikationsunternehmen, Online-Shops, etc.).

Welchen Nutzen bringt Ihnen die Security Compliance Prüfung?

Der VG/SCC zeigt Ihnen, ob Sie die gesetzlichen und regulatorischen Vorgaben zum Thema Informationssicherheit einhalten. Er fokussiert auf mögliche Schwachstellen und damit einhergehender Risiken. Wir zeigen Ihnen, wo Ihre Systeme anfällig sind für die Angriffe von Hackern, Cyberkriminellen, Marktbegleitern, Innentätern oder ausländischen Diensten. Jeder Auditor hat eine anerkannte Akkreditierung. Unsere Security-Analysten sind ausgebildete „White Hat“ Hacker und sind in der Lage, Angriffe über alle Kommunikationsebenen zu simulieren. Sie beherrschen Code Analysen, Reverse Engineering und Advanced Threat Simulationen.

Zu einem durchgeführten Penetrationstest gehört ein Abschlussbericht, der ein Management Summary, eine Dokumentation der Vorgehensweise, eine detaillierte Beschreibung aller gefundenen Auffälligkeiten und Schwachstellen sowie entsprechende Handlungsempfehlungen zu ihrer Beseitigung enthält.

Ein Audit wird gegen bestehende Vorgaben, ISO-Normen oder Compliance-Standards durchgeführt. Der Bericht zeigt die Abweichungen vom Standard, dem Gesetz oder der entsprechenden Norm. Ein Management Summary, eine Beschreibung des Geltungsbereichs (Scope) und die durchgeführten Überprüfungsschritte gehören zum Ergebnisbericht. Auf Wunsch erstellen wir auch einen Projekt- und Maßnahmenplan zur Abarbeitung der Abweichungen.

Wie gehen wir vor?

Webapplikationen werden in Anlehnung an den vom Open Web Application Security Project (OWASP) veröffentlichten Testing Guide getestet, wobei mindestens die zum Zeitpunkt der Testdurchführung zuletzt veröffentlichten OWASP Top 10 mit den 10 wesentlichsten Schwachstellen von Webapplikationen berücksichtigt werden. Sofern nicht anders vereinbart, werden zur Analyse von Netzwerken und einzelnen Systemen oder Applikationen zunächst verschiedene Werkzeuge zur (teilautomatisierten) Identifzierung von vorhandenen Schwachstellen eingesetzt, deren Ergebnisse verifiziert werden. Darauf basierend wird anschließend manuell nach weitergehenden Möglichkeiten zur Penetration des Zielobjekts gesucht.

Die Intensität der Untersuchungen folgt der individuell für das konkrete Ziel getroffenen Vereinbarung und berücksichtigt die gemäß der gewählten Paketvariante nur begrenzt zur Verfügung stehende Testzeit. Es wird insbesondere festgelegt, inwiefern Tests durchgeführt werden dürfen, bei denen eine Beeinträchtigung der Verfügbarkeit des untersuchten Gegenstandes zu erwarten ist.

Die während der Tests erzielten Ergebnisse werden in einem Abschlussbericht aufbereitet und an die Kontaktperson bei unserem Kunden übergeben. Bei Bedarf werden die Ergebnisse zudem im Rahmen einer Abschlussbesprechung vorgestellt.

Sowohl die Pakete zur Durchführung von Compliance Audits, den Penetrationstests als auch die Analystentage können projektweise oder nach Bedarf als Kontingent bestellt und abgerufen werden.