Anmelden
Toggle navigation
Start
Leistungen
Compliance
Datenschutz
Geldwäsche
Informationstechnologie
Interne Revision
Online-Schulungen
Karriere
Kontakt
Los
Informationstechnologie
Start
Leistungskatalog IT
Leistungskatalog
IT-Revision
QAR der IT-Revision
IT-Beratung
IT-Projektsteuerung
IT-Security
IT-Softwareprüfung
IT-Forensik
Ansprechpartner
Ulf Mulka
ulf.mulka@bankenservice.berlin
+49 (030) 44 05 85 03
Download
Leistungskatalog IT
IT-Security
Fast alle institutseigene Geschäftsprozesse werden automatisiert durch Anwendungssysteme umgesetzt oder gesteuert. Daher kann die Geschäftstätigkeit durch Cyber-Angriffe im besonderem Maße geschädigt werden, denn Angriffe auf die IT-Systeme gefährden die Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten. Das Ziel der Angreifer ist der unautorisierte Zugriff auf Daten und die daraus resultierenden Möglichkeiten der unerwünschten Informationsübermittlung.
Mit Blick auf die herausragende Rolle der Informationstechnik in Banken hat die BaFin in den MaRisk auch Anforderungen an die IT-Prozesse und IT-Systeme vorgegeben. Die MaRisk verpflichten die Institute, ihre IT-Systeme und IT-Prozesse zum Schutz der Daten auf gängige Standards abzustellen. Daher gilt es, bestimmte Systeme besonders zu schützen. Konkret fordert die BaFin von den Instituten u.a. die Überprüfung der IT-Systeme und -Prozesse auf Sicherheitslücken, zum Beispiel durch Audits, Verwundbarkeitsscans (Security Scans) oder Penetrationstests.
Wir bieten Ihnen die Überprüfung Ihrer IT-Systeme durch Security Scans oder Penetrationstests unter Einhaltung internationaler Qualitätsstandards und entsprechend der Methodologie des International Councils of E-Commerce Consultants (EC-Council).
Security Scans
System Security Scan
Beim System Security Scan werden unauthentisiert (ohne Benutzeranmeldung) die Ports, das Betriebssystem und die auf dem System laufenden Services auf Schwachstellen überprüft. System Security Scans dienen der Überprüfung öffentlicher Zugriffsmöglichkeiten. Häufig identitifizierte Schwachstellen sind dabei:
fehlende Härtung,
veraltete Dienste und
fehlerhafte Konfigurationen
Web Application Security Scan
Beim Web Application Security Scan werden authentisiert, das heißt mit Hilfe bereitgestellter Zugangsdaten einer Benutzerrolle bzw. -gruppe, institutseigene Webanwendungen auf Schwachstellen gescannt. Mit dem Web Application Scan werden insbesondere Sicherheitslücken in der Anwendung identifiziert. Häufig identifizierte Schwachstellen sind insbesondere:
Cross-Site Scripting (XSS)
SQL, Command und XPath Injections
Directory und Path Traversal
fehlerhafte Sicherheitskonfigurationen
Penetrationstests
(Web-)Application-Pentest
Anwendungssysteme verfügen in der Regel über Schnittstellen zu anderen Systemen bzw. Anwendungen (z.B. E-Mail-Systeme, Datenbanken), welche ebenfalls durch bestehende Sicherheitslücken beinträchtigt werden können. Bei einem Großteil erfolgreicher Angriffe werden Schwachstellen in Webapplikationen ausgenutzt um auch dahinterliegende Systeme zu kompromitieren. Bei einem (Web-)Application-Pentest werden die Möglichkeiten des Zugriffs auf die jeweilige Anwendung sowie der verbundenen Systeme getestet. Häüfige identifizierte Schwachstellen sind, Sicherheitslücken:
in den Prozeduren und Funktionen der Anwendung und
in der Schnittstellenausgestaltung zur Kommunikation mit anderen Anwendungen.
System-Pentest
Während beimm Applikationspentest die (Web-)Anwendung im Mittelpunkt sthet, wird beim Systempentest die System-Seite beleuchtet, das heißt: die Netzwerkomponenten und Server. Ziel ist hier unter anderem die Identifikation offener Ports oder die Überprüfung der Middleware-Konfiguration, um Schwachstellen zu identifizieren, die unautorisiertes Eindringen, Datendiebstahl oder Manipulation ermöglichen würden.
PCI DSS Pentest
Für ein "Mehr" an Sicherheit in der Kreditkartenindustrie sind im international verbindlichen Sicherheitsstandard der Payment Industry, dem Payment Card Industry Data Security Standard (PCI DSS) umgesetzt. Mit der aktuellen Version des PCI DSS Standards werden zusätzlich Pentests gefordert, die die vorhandene Netzwerksegmentierung überprüfen sollen. Mit Hilfe der Methoden potentieller Angreifer werden jeweils mögliche Sicherheitslücken identifiziert, über welche Unbefugte auf die Karteninhaberdaten-Umgebung und auf die Karteninhaberdaten zugreifen könnten.
WLAN-Pentest
Das Wireless LAN (WLAN), wird häufig auch als Paradies für Hacker bezeichnet. Nicht zuletzt, da eine drahtlose Verbindung, anders als die drahtgebundene (LAN), jederzeit von Dritten erreicht und empfangen werden kann. Zugriffe auf WLANs lassen sich nur schwer kontrollieren, weshalb das Firmennetzwerk eine breite Fläche für Cyber-Angriffe bietet.
Die unberechtigte Nutzung steht im Rahmen des WLAN-Pentests ebenso im Fokus, wie das unbefugte Ausspähen von übermittelten Daten. Ziel des WLAN-Pentests ist die Identifikation vorhandener Risiken und das Treffen von Handlungsempfehlungen zur Behebung der Schwachstellen.
Reportimg und Zertifizierung
Neben einem Zertifikat über die Teilnahme an Penetrationstest erhalten Sie am Ende jedes Pentests einen umfassenden Bericht. In diesem Bericht werden die Ergebnisse des Test detailiert dargestellt, die Kritikalität von gefundenen Schwachstellen und Eintrittsrisiken bewertet und Handlungsempfehlungen zur Behebung gegeben.