media transfer AGDolivostrasse 1164293 Darmstadt

Telefon: +49 61 51 81 93-0Telefax: +49 61 51 81 93-43Web: http://www.mtg.de

Registergericht: Amtsgericht Darmstadt, HRB 8901Vorstand: Jürgen Ruf (Vors.), Tamer KemerözAufsichtsratsvorsitzender: Dr. Thomas Milde

IT‐Schwachstellenanalyse: Unser Leistungsportfol io

IT-Sch

wachstellenan

alyse:

UnserLeistungspo

rtfolio

-Version

2.1-Oktob

er20

11

Warum Schwachstellenanalysen?Der Betrieb einer Firewal l und die Insta l lation von Viren-scannern zum Schutz des Unternehmensnetzwerks sindgrundlegende Maßnahmen, die mittlerweile fast jedesUnternehmen ergriffen hat. Trotzdem kann eine wach-sende Anzahl von Sicherheitsvorfäl len beobachtet werden.Aktuel len Studien und Umfragen zufolge nennen deut-sche Unternehmen als Hauptgefahren für ihre IT-Sicher-heit

• I rrtum und Nachlässigkeit der eigenen Mitarbeiter (un-beabsichtigte Fehler),

• Gefährdung durch Malware (Viren, Würmer, etc.) ,• Softwaremängel ,• gezielte Angriffe und• "Datenklau" / Wirtschaftsspionage.

Als besonders problematisch neben der unbefriedigendenSicherheitslage bei mobilen Geräten, Heimarbeitsplätzenund Funknetztechnologien (WLAN, Bluetooth) wird dabeidie Angreifbarkeit von Serverdiensten und Extranets em-pfunden.

Dem gegenüber stehen eine Vielzahl von Gesetzen, Ver-ordnungen und Richtl inien, die die Sicherstel lung vonVertraul ichkeit, Verfügbarkeit und Integrität sensiblerpersonenbezogener Daten verlangen. Ebenso relevant istdie Sicherung steuer- bzw. handelsrechtl ich bedeutsamerDaten sowie die Errichtung einer firmeninternen Risiko-vorsorge bzw. eines Risikomanagements. Zum Beispiel

• verlangt das Handelsgesetzbuch Sicherung und Schutzvorhandener Informationen im Rahmen eines internenKontrol lsystems;

• verpfl ichtet das Gesetz zur Kontrol le und Transparenzim Unternehmensbereich (KonTraG) den Vorstand vonAktiengesel lschaften sowie die Geschäftsführung vonGmbHs zur Errichtung eines Risikomanagementsys-tems;

• betreffen die Verordnungen und Verlautbarungen derBundesanstalt für Finanzdienstleistungsaufsicht (BA-Fin) Banken und andere Finanzdienstleister;

• verlangen das Bundesdatenschutzgesetz und EU-Da-tenschutzrichtl inien die Sicherstel lung der Vertraul ich-keit bei Erhebung und Verarbeitung personenbezo-gener Daten;

• fordert das Telekommunikationsgesetz den Schutz vonTelekommunikations- und Datenverarbeitungssyste-men gegen äußere Angriffe;

• verpfl ichtet Basel I I Unternehmen zur Messung undSteuerung der operationel len Risiken.

Die Folgen von Sicherheitslücken können in rechtl icher

IT-Schwachstellen identifizieren und abwehren

IT-Sicherheit im Unternehmen erhöhen

IT-Systeme gewinnen mehr und mehr an Komplexität. Installations- und/oder Konfigurationsfehler solcher IT-Sys-

teme sowie deren komplexe Kommunikationsbeziehungen untereinander unter Nutzung von öffentlichen Netzwer-

ken eröffnen für potentiel le Angreifer oftmals sicherheitsrelevante Angriffsmöglichkeiten. Schwachstellenanalysen

zielen darauf ab, solche meist unternehmenskritische Angriffsmöglichkeiten zu identifizieren und aus den Ergeb-

nissen Handlungsempfehlungen zu deren Abwehr abzuleiten.

media transfer AGDolivostrasse 1164293 Darmstadt

Telefon: +49 61 51 81 93-0Telefax: +49 61 51 81 93-43Web: http://www.mtg.de

Registergericht: Amtsgericht Darmstadt, HRB 8901Vorstand: Jürgen Ruf (Vors.), Tamer KemerözAufsichtsratsvorsitzender: Dr. Thomas Milde

IT‐Schwachstellenanalyse: Unser Leistungsportfol io

IT-Sch

wachstellenan

alyse:

UnserLeistungspo

rtfolio

-Version

2.1-Oktob

er20

11

und finanziel ler Hinsicht sehr schwerwiegend sein wie• Mögl ichkeit des unberechtigten Zugriffs auf vertraul i-

che Daten,• Mögl ichkeit der Datenmanipulation,• Mögl ichkeit des Datenverlusts,• gravierender Vertrauens- und Imageverlust,• Kommunikationsausfäl le,• damit einhergehend Produktionsausfäl le und Liefe-

rengpässe und• persönl iche Haftung des Managements.

Ziel bei der Durchführung von Schwachstel lenanalysen istes, h ier Vorsorge zu treffen und die Sicherheit der techni-schen Systeme sowie ggf. auch der organisatorischen In-frastruktur zu bewerten und bei Bedarf zu erhöhen, bevorein Schadensfal l eintritt.

Und noch eine altbekannte Tatsache: Sicherheit im Un-ternehmensnetzwerk lässt sich durch eine einmal igeÜberprüfung nicht dauerhaft herstel len, sondern ist imGegenteil ein kontinuierl icher Prozess, dem permanentdie nötige Aufmerksamkeit geschenkt werden muss. EinIT-System ist keine feste unveränderl iche Größe, sondernunterl iegt laufender Veränderung durch Einsatz neuerTechnologien, Systempatches oder –Upgrades vorhande-ner Software, Erweiterungen der Funktional ität, Reaktio-nen auf Sicherheitsvorfäl le usw.. Jede Veränderung kannAuswirkungen auf die Sicherheit des Systems haben. ImRahmen eines kontinuierl ichen Sicherheitsmanagementsist es daher notwendig, Schwachstel lenanalysen in regel-mäßigen Abständen zu wiederholen - Sicherheitsprozesse& Regeln müssen gelebt werden.

Die Qualifikation von media transfer AGGenerel l macht es für Unternehmen sehr viel Sinn, Sicher-heitsdienstleistungen einer neutralen externen Instanzwie der media transfer AG (kurz: mtG) zu übertragen. Einexterner Partner ist unvoreingenommen, unterl iegt nichtder Gefahr der ÊBetriebsbl indheit“ und erreicht zweifel loseine wesentl ich höhere Effizienz durch das vorhandenespezifische Fachwissen und die langjährige Erfahrung.

media transfer AG arbeitet bereits seit vielen Jahren alsSicherheitsdienstleister für eine Reihe namhafter Kunden.Neben unserer Fachkompetenz sind Diskretion und eineenge, vertrauensvol le Zusammenarbeit mit IT- oder Fach-

abteilung unserer Kunden selbstverständl ich für uns. Diefolgenden Referenzen belegen unsere Qual ifikation:

media transfer AG ist akkreditierte Prüfstelle für IT‐Sicherheit beim Bundesamt für Sicherheit in der In‐formationstechnik (BSI): Bundesweit gibt es ledigl ich 1 2dieser Prüfstel len. Damit testiert das BSI die langjährigeSicherheits-Kompetenz unseres Unternehmens. Das an-spruchsvol le Zulassungsverfahren dauerte über ein halbesJahr. In dieser Zeit bewies media transfer AG die fachl icheKompetenz seiner Mitarbeiter und die Wirksamkeit desfirmeneigenen Qual itätsmanagements. Damit unter-streicht media transfer AG nachhaltig ihre langjährigeKompetenz als Profi für IT-Sicherheit.

media transfer AG arbeitet bereits seit 1997 alsDienstleister für das Trust Center der Deutschen Tele‐kom (jetzt T‐Systems T‐TeleSec): In dieser Zeit habenwir im Auftrag der TeleSec zahlreiche CA Dienste real i-siert, d ie die Basis für die Real isierung sicherer Anwen-dungen wie gesichertes Extranet, sicherer Email-Verkehr,Dateiverschlüsselung usw. bilden.

media transfer AG betreibt seit 2001 im Auftrag vonNetz‐Betreibern und Geräteherstellern ein VPN Test‐labor: In dem VPN Testlabor werden IPSec Geräte nam-hafter Herstel ler auf Sicherheit (z.B. die korrekteVerwendung von Zertifikaten zur Authentifizierung derGeräte beim IPSec Verbindungsaufbau) und Interoperabi-l ität geprüft werden.

media transfer AG sichert als Dienstleister für "Mana‐ged Security Services" durch Fernüberwachung undFernwartung die Verfügbarkeit der Netze ihrer Kun‐den: Unser Know-How und unsere Erfahrung ermögl i-chen die Erkennung etwaiger Sicherheitsvorfäl le und diesofortige Einleitung geeigneter Maßnahmen. Dabei be-achten wir bei der technischen und organisatorischenUmsetzung des Remote Zugangs die gesetzl ichen Anfor-derungen des Bundesdatenschutzgesetzes. Unsere Kun-den können währenddessen ihre Arbeitskapazitäten vol lund ganz auf ihr Kerngeschäft konzentrieren.

Die TestmethodikUnsere Testmethodik definieren wir über Testmodule. DieTestmodule umfassen sowohl klassische IP basierte Pene-

media transfer AGDolivostrasse 1164293 Darmstadt

Telefon: +49 61 51 81 93-0Telefax: +49 61 51 81 93-43Web: http://www.mtg.de

Registergericht: Amtsgericht Darmstadt, HRB 8901Vorstand: Jürgen Ruf (Vors.), Tamer KemerözAufsichtsratsvorsitzender: Dr. Thomas Milde

IT‐Schwachstellenanalyse: Unser Leistungsportfol io

IT-Sch

wachstellenan

alyse:

UnserLeistungspo

rtfolio

-Version

2.1-Oktob

er20

11

trationstests als auch weitergehende Tests von Anwen-dungen (z.B. Fil terappl ikationen bei Web und Mail , kun-denspezifische Internetappl ikationen) sowieSicherheitsanalysen und Audits mit Detailkenntnis des zuprüfenden Netzes. Unsere Testmethodik leiten wir dabeiaus den Dokumenten

• BSI2003A Studie: Durchführungskonzept für Penetra-tionstests; BSI (Hrsg); 2003,

• OWASP Open Web Appl ication Security Project

(OWASP) Testing Guide v3.0; OWASP; 2008 und• OWASP Top 1 0; The Ten Most Critica l Web Appl icati-

on Security Risks; 201 0

ab. In der praxisnah gestalteten Studie des BSI werdendie folgenden Kriterien für Penetrationstests entwickelt,d ie sich aber auch auf die übrigen Testmodule anwendenlassen.

Kriterium: Ausgangspunkt

Kriterium: Technik

Kriterium: Vorgehensweise

Kriterium: Umfang

Kriterium: Agressivität

Kriterium: Informationsbasis

Blackbox Whitebox

vollständig begrenzt fokussiert

Netzwerkzugangsonstige

Kommunikationphysischer Zugang Social Engineering

passiv gescanned vorsichtig abwägend aggressiv

verdeckt offensichtlich

von außen von innen

Quel le: BSI2003A

media transfer AGDolivostrasse 1164293 Darmstadt

Telefon: +49 61 51 81 93-0Telefax: +49 61 51 81 93-43Web: http://www.mtg.de

Registergericht: Amtsgericht Darmstadt, HRB 8901Vorstand: Jürgen Ruf (Vors.), Tamer KemerözAufsichtsratsvorsitzender: Dr. Thomas Milde

IT‐Schwachstellenanalyse: Unser Leistungsportfol io

IT-Sch

wachstellenan

alyse:

UnserLeistungspo

rtfolio

-Version

2.1-Oktob

er20

11

Die TestmoduleWir haben unser Leistungsangebot zur Schwachstel lenanalyse in Testmodule gegl iedert. Erfahren Sie auf den nachfol-genden Seiten mehr über unsere Testmodule.

Ein Blackbox-Test simul iert einen real istischen Angriffvon außen. Die notwendigen Informationen werden ausInternet Datenquel len oder durch zuvor durchgeführteScans eruiert. Hierbei ist keinerlei Mitwirkung des Auf-traggebers notwendig.

Als Whitebox-Test wird ein Test verstanden, welcher vonbestimmten Detailkenntnissen des zu prüfenden Netz-werks ausgeht. So kann z.B. die Struktur der DMZ als be-kannt vorausgesetzt werden oder es sind Benutzernamenund deren Rechte bekannt. Al le in einem solchen Testverwendeten Daten werden vom Auftraggeber zur Verfü-gung gestel l t.

Wir kennzeichnen bei jedem unserer Testmodule, ob esals Blackbox- oder Whitebox-Test durchgeführt werden

kann. Aggressivität und Testumfang werden mit demKunden vor Beginn der Tests abgesprochen. Generel l ar-beiten wir bei der Vorgehensweise nicht verdeckt; wir ra-ten unseren Kunden dazu, ihre IT-Abteilung vonvornherein in die Testpläne einzubeziehen, um eine kon-struktive Arbeitsatmosphäre herzustel len.

Techniken des Socia l Engineering und physische Zutritts-versuche gehören nicht zum Spektrum unserer Dienst-leistungen. Unsere Ausrichtung zielt auf die technischePrüfung und Bewertung von IT-Systemen über Netzwerk-und sonstige Kommunikationszugänge. Wir kennzeichnenbei jedem unserer Testmodule, ob es von außerhalb odervon innerhalb des Kundennetzes durchgeführt werdenkann.

media transfer AGDolivostrasse 1164293 Darmstadt

Telefon: +49 61 51 81 93-0Telefax: +49 61 51 81 93-43Web: http://www.mtg.de

Registergericht: Amtsgericht Darmstadt, HRB 8901Vorstand: Jürgen Ruf (Vors.), Tamer KemerözAufsichtsratsvorsitzender: Dr. Thomas Milde

IT‐Schwachstellenanalyse: Unser Leistungsportfol io

IT-Sch

wachstellenan

alyse:

UnserLeistungspo

rtfolio

-Version

2.1-Oktob

er20

11

Testmodul "Information Gathering"Abhängigkeit von anderen Modulen: keine

Info‐Basis: Blackbox (keinerlei Mitarbeit des Auftraggebers verlangt)

Ausgangspunkt: extern

Beschreibung: Information Gathering, das Sammeln verfügbarer Informationen über einebestimmte Firma, stel l t den Einstieg in den Arbeitsbereich Netzwerksicher-heit dar. Es wird hierbei versucht, so viel a ls mögl iche Informationen jegl i-cher Art über den Auftraggeber zu erhalten. Dies betrifft z.B. seine InternetPräsenz, die nach außen sichtbare Netzwerkstruktur und die verwendetenAppl ikationen. Methoden sind z.B.

• Abfrage von DNS, Whois, RIPE• Abfrage von Suchmaschinen• Recherche in Newsgroups, Mail ingl isten, IRC Foren• Ermittlung von Routing Informationen• Auswertung öffentl ich zugängl icher Dokumente und Daten von und

über den Kunden• Dokumentation der Ergebnisse

Anmerkungen: keine

media transfer AGDolivostrasse 1164293 Darmstadt

Telefon: +49 61 51 81 93-0Telefax: +49 61 51 81 93-43Web: http://www.mtg.de

Registergericht: Amtsgericht Darmstadt, HRB 8901Vorstand: Jürgen Ruf (Vors.), Tamer KemerözAufsichtsratsvorsitzender: Dr. Thomas Milde

IT‐Schwachstellenanalyse: Unser Leistungsportfol io

IT-Sch

wachstellenan

alyse:

UnserLeistungspo

rtfolio

-Version

2.1-Oktob

er20

11

Testmodul "Network Transport & Services"Abhängigkeit von anderen Modulen: aufbauend auf dem Modul "Information Gathering" im Fal l von Blackbox

Test

Info‐Basis: Blackbox oder Whitebox (entsprechende Informationen werden dann vomKunden gel iefert)

Ausgangspunkt: extern

Beschreibung: Dieses Testmodul analysiert die Absicherung der mit dem Internet verbun-denen Netzwerke (DMZ) und Infrastrukturkomponenten (Router/Swit-ches/Firewal l ) sowie die Serverdienste. Es deckt den Funktionsumfang derklassischen sog. Penetrationstests ab.

Ziel ist es, eine mögl ichst vol lständige Darstel lung der Netzwerktopologie,der verwendeten Ports und der dazugehörenden Services zu erhalten. Daraufaufbauend werden vorhandene Schwachstel len und ihre mögl ichen Impl ika-tionen identifiziert und verifiziert.

• Suche nach zugängl ichen Serverdiensten wie SMTP, DNS, HTTP, FTP,LDAP, News- und Proxyserver, etc.

• Prüfung auf Erreichbarkeit und Absicherung kritischer Dienste wie SSH,SNMP, Telnet, VNC, etc.

• Analyse von Servern und Infrastrukturkomponenten wie Firewal l ,Webserver, Router hinsichtl ich Software(versionen), Betriebssystemenund Absicherung

• Identifikation und Verifikation von Schwachstel len bei den gefundenenInfrastrukturkomponenten und Serverdiensten

• Basisprüfung der Mail- und Webfilterfunktional ität (Verfügbarkeit undAbsicherung gegen Malware)

• Dokumentation der Ergebnisse und Formul ierung von Empfehlungenzur El imination evtl . vorhandener Schwachstel len

Vor Durchführung dieser Tests wird eine komplette Datensicherung emp-fohlen.

Anmerkung: Die Verfügbarkeit von Mail und Webdiensten sind von existentiel ler Bedeu-tung für die meisten Unternehmen. Das Modul ÊNetwort Transport & Ser-vices“ beinhaltet eine Basisprüfung dieser kritischen Anwendungen, die imRahmen eines externen Tests durchführbar ist.

Wir empfehlen für diese kritischen Anwendungen dringend die Durchfüh-rung weitergehender Analysen, die wir im Rahmen des Moduls Network Ap-pl ications in Form von Whitebox Tests anbieten.

media transfer AGDolivostrasse 1164293 Darmstadt

Telefon: +49 61 51 81 93-0Telefax: +49 61 51 81 93-43Web: http://www.mtg.de

Registergericht: Amtsgericht Darmstadt, HRB 8901Vorstand: Jürgen Ruf (Vors.), Tamer KemerözAufsichtsratsvorsitzender: Dr. Thomas Milde

IT‐Schwachstellenanalyse: Unser Leistungsportfol io

IT-Sch

wachstellenan

alyse:

UnserLeistungspo

rtfolio

-Version

2.1-Oktob

er20

11

Testmodul "Network Applications"Abhängigkeit von anderen Modulen: aufbauend auf dem Modul "Network Transport & Services"

Info‐Basis: Whitebox

Ausgangspunkt: extern

Beschreibung: Dieses Testmodul betrachtet im Detail d ie Sicherheit und Verfügbarkeit vonServerappl ikationen, die existentiel l für die Kommunikation eines Unterneh-mens mit der Außenwelt sind. Betrachtet werden neben der Firewal l derWeb- und Mailzugang sowie VPN Lösungen. Weiterhin kann ein ggf. vor-handenes IDS detail l iert untersucht werden. Der Umfang der Untersuchun-gen wird gemeinsam mit dem Kunden festgelegt.

Diese detail l ierten Untersuchungen werden vor Ort und Êvon innen“ in Zu-sammenarbeit mit der IT-Abteilung des Kunden durchgeführt.

• Analyse und Test der Konfiguration und Effizienz von Filterappl ikatio-nen (Malware/Spam) bei Mail

• Analyse und Test der Konfiguration und Effizienz von Filterappl ikatio-nen (Malware/Zugriffsrechte) bei Web

• DoS Angriffe auf Mailserver• Evaluierung von Firewal l Regelsätzen• Sicherheitsanalyse von VPN Lösungen (z.B. Verschlüsselungsstärke, Au-

thentifizierung, Robustheit, saubere Trennung verschiedener Netzwer-kinterfaces)

• Analyse und Test von Performanz und Sensibil ität des IDS• Dokumentation der Ergebnisse und Formul ierung von Empfehlungen

zur El imination evtl . vorhandener Schwachstel len

Anmerkungen: keine

media transfer AGDolivostrasse 1164293 Darmstadt

Telefon: +49 61 51 81 93-0Telefax: +49 61 51 81 93-43Web: http://www.mtg.de

Registergericht: Amtsgericht Darmstadt, HRB 8901Vorstand: Jürgen Ruf (Vors.), Tamer KemerözAufsichtsratsvorsitzender: Dr. Thomas Milde

IT‐Schwachstellenanalyse: Unser Leistungsportfol io

IT-Sch

wachstellenan

alyse:

UnserLeistungspo

rtfolio

-Version

2.1-Oktob

er20

11

Testmodul "User Applications"Abhängigkeit von anderen Modulen: aufbauend auf dem Modul "Network Transport & Services"

Info‐Basis: Blackbox

Ausgangspunkt: extern

Beschreibung: Dieses Testmodul führt eine Untersuchung kundenspezifischer Interne-tappl ikationen hinsichtl ich ihrer Verwundbarkeit durch. Wir setzen [OWASP]Methodik und Technologien ein wie zum Beispiel :

• Untersuchung der Verzeichnisstruktur bei Webanwendungen• Untersuchung von Formulareingaben, Cookies und Session Keys• Tests hinsichtl ich SQL Injection• Tests hinsichtl ich Cross Site Scripting (XSS)• Tests hinsichtl ich Session Hijacking• Tests hinsichtl ich DoS Attacken• Tests hinsichtl ich unerlaubter Authentifizierung• Tests hinsichtl ich Speicherlöchern• Dokumentation der Ergebnisse und Formul ierung von Empfehlungen

zur El imination evtl . vorhandener Schwachstel len

Anmerkungen: keine

media transfer AGDolivostrasse 1164293 Darmstadt

Telefon: +49 61 51 81 93-0Telefax: +49 61 51 81 93-43Web: http://www.mtg.de

Registergericht: Amtsgericht Darmstadt, HRB 8901Vorstand: Jürgen Ruf (Vors.), Tamer KemerözAufsichtsratsvorsitzender: Dr. Thomas Milde

IT‐Schwachstellenanalyse: Unser Leistungsportfol io

IT-Sch

wachstellenan

alyse:

UnserLeistungspo

rtfolio

-Version

2.1-Oktob

er20

11

Testmodul "Access Methods/WLAN und Bluetooth"Abhängigkeit von anderen Modulen: aufbauend auf dem Modul "Network Transport & Services"

Info‐Basis: überwiegend Whitebox

Ausgangspunkt: intern und extern

Beschreibung: Dieses Testmodul analysiert die Absicherung von Funknetzwerkkomponen-ten (Wireless LAN und Bluetooth). Die Konfiguration und Sicherheit der Cl i-ents wird in einem weiteren Schritt überprüft.

• Suche und Dokumentation erreichbarer Funkzel len ("Wardriving", SSID-Scanning)

• passive Analyse der eingesetzten Verschlüsselungs- und Authentifizie-rungsverfahren (WEP, WPA, MAC) auf Verwundbarkeit

• Analyse der Konfiguration von Funknetzwerkkomponenten ("Open Au-thentication", SSID-Broadcast, WPA, MAC-Filterung, "any"-SSID, SNMP)

• Analyse der infrastrukturel len Einbindung von Funknetzwerkkomponen-ten (Router, Switch/Hub, VPN)

• weitere Angriffe: Session Hijacking, Cl ient-Catching, ARP-Spoofing,MAC-Spoofing, Jamming (DoS)

• Analyse der Konfiguration mobiler Rechner (Laptops, PDAs) hinsichtl ichAbsicherung von WLAN-Keys, etc.

• Dokumentation der Ergebnisse und Formul ierung von Empfehlungenzur El imination evtl . vorhandener Schwachstel len

Anmerkungen: keine

media transfer AGDolivostrasse 1164293 Darmstadt

Telefon: +49 61 51 81 93-0Telefax: +49 61 51 81 93-43Web: http://www.mtg.de

Registergericht: Amtsgericht Darmstadt, HRB 8901Vorstand: Jürgen Ruf (Vors.), Tamer KemerözAufsichtsratsvorsitzender: Dr. Thomas Milde

IT‐Schwachstellenanalyse: Unser Leistungsportfol io

IT-Sch

wachstellenan

alyse:

UnserLeistungspo

rtfolio

-Version

2.1-Oktob

er20

11

Testmodul "Kurz‐Check"Abhängigkeit von anderen Modulen: keine

Info‐Basis: Whitebox

Ausgangspunkt: intern

Beschreibung: Dieses Modul beinhaltet eine grobe Bestandsaufnahme der Netzwerk- undAppl ikationsinfrastruktur des Kunden einschl ießl ich der vorhandenen Sicher-heitsmechanismen. Diese Arbeit wird vor Ort und Êvon innen“ in Zusam-menarbeit mit der IT-Abteilung des Kunden durchgeführt.

• Sichtung vorhandener Netzpläne und Dokumentationen der Netzwerk-und Appl ikationsinfrastruktur

• Durchführung von Interviews mit Mitarbeitern der IT-Abteilung zur Be-standsaufnahme des Ist-Zustands.

• Dokumentation der Ergebnisse und Formul ierung von Empfehlungenzur El imination evtl . vorhandener Schwachstel len

Anmerkungen: keine

media transfer AGDolivostrasse 1164293 Darmstadt

Telefon: +49 61 51 81 93-0Telefax: +49 61 51 81 93-43Web: http://www.mtg.de

Registergericht: Amtsgericht Darmstadt, HRB 8901Vorstand: Jürgen Ruf (Vors.), Tamer KemerözAufsichtsratsvorsitzender: Dr. Thomas Milde

IT‐Schwachstellenanalyse: Unser Leistungsportfol io

IT-Sch

wachstellenan

alyse:

UnserLeistungspo

rtfolio

-Version

2.1-Oktob

er20

11

Testmodul "Ausführliche Interne Sicherheitsanalyse"Abhängigkeit von anderen Modulen: keine

Info‐Basis: Whitebox

Ausgangspunkt: intern

Beschreibung: Dieses Testmodul analysiert, welche Auswirkungen eine etwaige Überwin-dung der Schutzvorrichtungen von außen hätte bzw. welche Kommunikati-onsbeziehungen innerhalb des Intranets bestehen. Diese Arbeit wird vor Ortund Êvon innen“ in Zusammenarbeit mit der IT-Abteilung des Kundendurchgeführt. Der genaue Umfang und Fokus der Untersuchungen wird ge-meinsam mit dem Kunden festgelegt. Mögl ich sind:

• Durchführung von Penetrationstests Êvon innen“• Aufdeckung unerwünschter oder unerkannter Kommunikationsbezie-

hungen (z.B. Zugriffsmögl ichkeiten auf vertraul iche Informationen)• Untersuchung der Passwortgüte• Überprüfung des Datensicherungskonzepts• Überprüfung der Ausfal lsicherheitskonzepte• Review und Verifikation vorhandener Sicherheitsrichtl inien• Review und Verifikation vorhandener Notfal lpläne• Dokumentation der Ergebnisse und Formul ierung von Empfehlungen

zur El imination evtl . vorhandener Schwachstel len

Anmerkungen: keine

media transfer AGDolivostrasse 1164293 Darmstadt

Telefon: +49 61 51 81 93-0Telefax: +49 61 51 81 93-43Web: http://www.mtg.de

Registergericht: Amtsgericht Darmstadt, HRB 8901Vorstand: Jürgen Ruf (Vors.),Tamer KemerözAufsichtsratsvorsitzender: Dr. Thomas Milde

IT‐Schwachstellenanalyse: Unser Leistungsportfol io

IT-Sch

wachstellenan

alyse:

UnserLeistungspo

rtfolio

-Version

2.1-Oktob

er20

11

Über media transfer AGDie media transfer (mtG) entwickelt und vermarktet seit 1 995 Sicherheitstechnologie und

Multimedia-Anwendungen. Der Spezia l ist für Publ ic Key Infrastructure (PKI ) und Trust-Center-

Produkte hat im Security-Produktportfol io einen elektronischen Identitätsserver (mtG-eID) sowie

eine Plattform zum Einsatz als Certification Authority (mtG-CARA). Beide Lösungen sind sowohl in

unternehmensübergreifenden Großprojekten als auch innerhalb eines Unternehmens einsetzbar.

Kontakt

Andrea Klenk

Leiterin Bereich IT-Sicherheit

Tel : +49 61 51 81 93-1 3

aklenk@mtg.de

Kontaktmedia transfer AG

Tel: +49 61 51 81 93-1 2contact@mtg.de

Über mtGDer Kompetenzschwerpunkt der 1 995 gegründeten media transfer AG (mtG)

l iegt auf IT-Sicherheit und sicheren Kommunikationstechnologien. Seit 2005

betreibt mtG eine vom Bundesamt für Sicherheit in der Informationstechnik

(BSI ) anerkannte Prüfstel le für IT-Sicherheit.

Die TestwerkzeugeBei unseren Tests kommen je nach Testmodul eine Viel-zahl von Werkzeugen meist auf Open Source Basis zumEinsatz. Wir setzen hierbei bewußt Open Source Werk-zeuge mit offengelegtem und nachprüfbarem Source Co-de ein, um jederzeit die vol le Kontrol le über die Tests zuhaben. Hierbei ist es neben detail l ierter Kenntnis derWerkzeuge und ihrer vielfä ltigen Konfigurationsoptionenerforderl ich, jeweils die neuesten Versionen und aktuel ls-ten Updates vorzuhalten. Mit dem Einsatz von im Inter-net verfügbaren Tools a l leine lässt sich jedoch diekomplexe Welt der Netzwerke und Appl ikationen nichtdurchdringen. Erfahrung, Phantasie und tiefgehendestechnisches Know-How sind gefragt, um sich Schritt fürSchritt voran zu tasten und vorhandene Schwachstel lentatsächl ich aufzudecken. Bei Bedarf werden eigene Test-programme und Skripte zur Testautomation maßge-schneidert von uns entwickelt.

Die TestdokumentationWir l iefern bei Bedarf eine vol lständige Protokol l ierungder durchgeführten Tests mit Datum/Uhrzeit und der Artder Aktionen, damit al le Tests dem Kunden nachvol lzieh-bar sind. Weiterhin erstel len wir eine Zusammenfassungder wesentl ichen Ergebnisse und sprechen Empfehlungenzur El imination evtl . vorhandener Schwachstel len aus.

Der AblaufIn der Regel läuft eine Testkampagne folgendermaßen ab:

Zunächst erfolgt ein Gespräch mit dem Kunden mit fol-genden Inhalten:

• Vorstel lung der Testmodule im Überbl ick• Ermittlung der Ziele des Auftraggebers• Selektion der relevanten Module und Besprechung des

Vorgehens und der mögl ichen Risiken• Benennung eines fachl ichen Ansprechpartners beim

Kunden• grobe Abstimmung des Testzeitraums

Bei Bedarf kann dies auch im Rahmen einer Telefonkon-ferenz geschehen.

Nächster Schritt ist die Vorlage des Angebots durch mediatransfer AG zusammen mit den al lgemeinen Geschäftsbe-dingungen für die Durchführung von Schwachstel len-analysen. Nach Eingang von Auftrag und durch denKunden unterzeichneter Einverständniserklärung für dieTests erfolgt die Abstimmung von genauen Termi-nen/Zeiten mit dem Ansprechpartner. Je nach Art derausgewählten Module ist vom Kunden vorab eine Daten-sicherung durchzuführen. Die vereinbarten Tests werdendurchgeführt und die Dokumentation erstel l t. Es erfolgtdie Übersendung der Dokumentation und auf Kundenan-forderung eine Abschlusspräsentation der Ergebnisse undEmpfehlungen.

Die RandbedingungenWir arbeiten nur mit schriftl ichem Einverständnis unsererKunden, unter klar definierten Al lgemeinen Geschäftsbe-dingungen und unter Beachtung des "Praktischer Leit-faden für die Bewertung von Software im Hinbl ick aufden § 202c, StGB (sog. Hackerparagraph)"des BITKOMaus dem Jahr 2008. Al le unsere Mitarbeiter, die an derDurchführung von Schwachstel lenanalysen beteil igt sind,sind bei media transfer AG fest angestel l t. Sie sind aufabsolute Vertraul ichkeit im Umgang mit den Daten undTestergebnissen unserer Kunden verpfl ichtet. Wir gehendavon aus, dass auf unsere Tests nicht mit einer Blockie-rung unserer IP-Adresse reagiert wird. Wir ergreifen imNormalfal l keine Vorkehrungen, um unsere Angriffe zutarnen. Gegebenenfal ls ist es empfehlenswert, den ISP desKunden vorab zu informieren (je nach geplanter Testin-frastruktur). Bei Untersuchungen im Intranet des Kunden(z.B. Traffic-Analysen, Protokol l ierung von Nutzdatenoder Passworten in diesem Zusammenhang) gehen wirdavon aus, dass der Kunde die ggf. erforderl iche Unter-richtung der Mitarbeiter bzw. des Betriebsrats vornimmt.