Wie sicher sind mein Unternehmen, meine Daten? Der Praxistest durch „Auftrags-Kriminelle“

Sie sind Unternehmer oder Unternehmerin und haben Sorge, dass das Thema Sicherheit zu lax gehandhabt wird? Sie wollen die Umsetzung der Sicherheitsmaßnahmen in Ihrem Unternehmen testen und daraus Konsequenzen für weitere Schwerpunkte in der Mitarbeiter-Schulung oder bei Absicherungsmaßnahmen treffen?

Penetration-Testing oder Red-Teaming bedeutet, dass wir beautragt werden, die Rolle des „Feindes“ einzunehmen und wie Kriminelle zu agieren. Wir suchen Schwachstellen in Ihren Systemen, Zutrittsverfahren und Sicherheitsmaßnahmen, die auch Angreifer nutzen könnten – und testen Ihre Maßnahmen auf Belastbarkeit.

Unser Team prüft, wie weit Kriminelle in Ihrem Unternehmen kommen könnten: Ausgestattet mit einem Legitimationsschreiben des Unternehmens und einer Hotline zum Auftraggeber, versuchen unsere Detektive an Ihre Daten zu kommen, Ihre Passwörter zu organisieren oder sich Zutritt zu Lagern oder Fahrzeugen zu verschaffen.

Im besten Fall werden wir dabei erwischt, die Mitarbeiter reagieren richtig und die Situation wird durch uns und die Geschäftsleitung aufgeklärt. In einem – für das Unternehmen weniger optimalen Szenario – legen wir der Geschäftsleitung unseren Bericht vor, wie wir es geschafft haben, an vertrauliche Daten zu kommen, Wertgegenstände zu entwenden oder Zutritt zu sensiblen Bereichen zu erlangen.

Möglicherweise ist für Sicherheitslücken nicht einmal das Betreten von Örtlichkeiten notwendig: Alle guten Ermittler besitzen gute Social-Engineering Skills, mit denen relevante Informationen möglicherweise ja schon per Telefon „entwendet“ werden können…

Das Ergebnis unserer Maßnahmen wird von uns in einem detaillierten Bericht aufgearbeitet und Ihnen zur weiteren Verwendung übergeben. Je nach Bedarf können wir auch bei der Planung, Umsetzung und Schulung von überarbeiteten Sicherheitsmaßnahmen für Ihr Unternehmen unterstützen.

Jeder Einsatz dieser Art ist individuell zu gestalten. Je kleiner der Personenkreis im Unternehmen ist, der von der Planung einer solchen Maßnahme weiß, desto realer werden die Rahmenbedingungen unseres Tests. Es kann jedoch in manchen Fällen auch sinnvoll sein, die Mitarbeiter vorab zu informieren, um Sicherheitsthemen sogar spielerisch im Bewusstsein der Kollegen zu verankern.

Am Beginn des Einsatzes steht ein Vorgespräch, wo wir gemeinsam mit den Auftraggebern die Aufgabenstellung und die Möglichkeiten definieren. Dann werden Zeitraum und Örtlichkeiten definiert und auch die Legitimation und die Dokumentationsweisen unserer Mitarbeiter geklärt. Ab dann beginnt unser Team mit der „Mission: What’s possible?“. 

Die Kosten eines Pen-Testing Einsatzes müssen individuell für die jeweilige Aufgabenstellung betrachtet werden und werden in der Vorbesprechung erörtert und mit den Auftraggebern akkordiert. In der Regel wird Pen-Testing „zerstörungsfrei“ durchgeführt und es werden beispielsweise keine verschlossenen Türen aufgebrochen, so dass Reparatur-Kosten entstehen – es sei denn, wir bekommen die Freigabe zu solchen Maßnahmen vorab.

Nicht im Programm: IT- und Hacker-Attacken

Was nicht Bestandteil unseres Kompetenz-Bereichs ist, ist das Eindringen in EDV-Netzwerke und das Hacken von Daten: Wir ziehen die Grenze beim Eindringen in Datenbanken dort, wo wir nachweisen können dass wir Zutritt zu ungeschützten EDV-Systemen haben. Wir kopieren jedoch keine Datenbanken, dringen in keine Computersysteme ein und manipulieren keine Netzwerke. Wenn Sie in dieser Hinsicht aktiv werden wollen, können wir Sie aber gerne an geeignete Partner empfehlen.