Services - Scudos

Sichere Infrastrukturen & Applikationen

IFASEC GmbH bietet Sicherheitsexpertise und Beratung für Ihre Infrastruktur & Software

Immer komplexere IT-Netzwerke erfordern maximale Datensicherheit. Steigender Informationsaustausch, wachsende Digitalilsierung und Industrie 4.0 öffnen Datendiebstahl und Wissensabfluss Tür und Tor. Professionelle und zeitaktuelle Datensicherung ist daher für jedes Unternehmen unerlässlicher Bestandteil der Unternehmensstrategie.

Die IFASEC GmbH berät und erstellt ein auf Ihre unternehmensspezifischen Anforderungen abgestelltes IT-Sicherheitskonzept in folgenden Themengebieten:

  • Penetrationstests
  • Code-Analysen
  • IT-Sicherheitsanalysen
  • Sicherheit in IT-Infrastrukturen

Penetrationstests – Sicherheitslücken finden

Gefährliche Hacker-Attacken sorgen immer wieder für viel Aufsehen: veränderte Internetauftritte, Datenklau, Zugriffe auf Konten und Betriebsgeheimnisse. Ist Ihre IT-Infrastruktur auf solche Angriffe vorbereitet? Mit dem Penetrationstest helfen wir Ihnen, die Sicherheitslücken zu finden und zu schließen.

Wozu dient ein Penetrationstest?

Ein Penetrationstest simuliert Hacker Angriffe und versucht, unautorisierten Zugriff auf IT-Infrastrukturen zu erhalten. Ziel ist es dabei, Schwachstellen und mögliche Angriffspunkte zu identifizieren.

Die Vorgehensweise

Im Rahmen von Vorgesprächen werden Ablauf und Methodik des Tests gemeinsam mit Ihnen präzisiert und die Ansprechpartner festgelegt.  Nach der eigentlichen Durchführung des Penetrationstestes stellen wir die Ergebnisse über vorhandene Schwachstellen nicht nur in einem detaillierten Bericht dar, sondern geben Ihnen Handlungsempfehlungen und zeigen Lösungswege zur Verbesserung der IT-Sicherheit auf.

Was wird durch einen Penetrationstest erreicht?

  • Vorbeugung gegen Hackerangriffe
  • Schutz der Unternehmensdaten
  • Einsparung von Zeit und Kosten im Fall eines Hackerangriffs

Unsere Penetrationstests folgen den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Erfahrenes Team

Unser Team führt Penetrationstests für Unternehmen fast aller Größen durch. Ein Schwerpunkt liegt dabei auf der Untersuchung von Web-Applikationen, wir testen jedoch auch IT-Netzwerke und "klassische" Anwendungen.

IT-Sicherheitsanalysen

Unternehmen sind sich der zunehmenden Herausforderung in der IT-Sicherheit bewusst und stehen vor der Aufgabe, die aktuellen IT-Strukturen in Bezug auf die heutigen Gefahrenlagen weiterzuentwickeln. Oft sind Maßnahmen und Investitionen im Bereich der IT-Sicherheit erfolgt. Aus unserer Sicht sollte Sicherheit einfach zu bedienen, transparent und von der IT-Abteilung auch zeitlich zu bewältigen sein. Hierfür ist ein hoher Grad an Automatisierung und Standardisierung erforderlich.

Entsprechend der Anforderungen unserer Kunden führen wir eine Anforderungs-, Gefährdungs- und Risikoanalyse durch. Mittels dieser Analysen qualifizieren wir die Gefährdungslagen einer Organisation und unterstützen diese, um gezielt mit wirtschaftlichen Maßnahmen höhere Sicherheit zu erzielen.

Ziel der IT-Sicherheitsanalysen ist es, den Einsatzgrad der bereits ausgerollten Technologien zu erhöhen und die Unternehmens-IT zu einer Systemlandschaft mit hohem Sicherheitsniveau zu entwickeln.

Code-Analysen

Die schwerwiegenden IT-Sicherheitsvorfälle der letzten Jahre zeigen deutlich: Weltweit sind Schwachstellen im Code die am meisten genutzten Einfallstore in IT-Infrastrukturen. Die Folgen sind, neben Rufschädigung und Haftungsansprüchen, enorme wirtschaftliche Verluste durch Produktionsausfälle, Datendiebstahl, Ideenklau und Erpressung.

Auf der Suche nach den Ursachen solcher Software-Schwachstellen sind oft anzutreffen:

  • Mangelndes Sicherheitsbewusstsein
  • Nachträgliches punktuelles Fixen von Sicherheitslücken
  • Zeit- und Kostendruck bei der Softwareentwicklung
  • Fehlende Sicherheitsüberprüfung
  • Fehlende Werkzeuge zum Auffinden von Sicherheitslücken

Unser Beitrag für Ihr Unternehmen:

Unsere Experten untersuchen Ihre Software unabhängig vom Betriebssystem und der Programmiersprache. Wir überprüfen sowohl Ihre Business- und Web-Applikationen als auch Ihre mobilen Apps.

Ergebnis der Untersuchung ist ein aussagekräftiger Bericht, der gefundene Schwachstellen aufführt. Dabei erfolgt eine Einordung entlang anerkannter Sicherheitsprofile wie z.B. OWASP Top 10 oder PCI.

  • detaillierte Beschreibungen der Schwachstellen
  • Bewertungen zu Sichtbarkeit und Schwere
  • geeignete Maßnahmen zur Behebung

Code-Review

Ein manuelles Prüfen ohne Software-Tools wird im Allgemeinen als Code-Review bezeichnet. Dieser Review findet aber selten in dieser rein manuellen Form statt, da der zu überprüfende Code oftmals Millionen Zeilen umfasst und die damit verbundenen Kosten in keinem wirtschaftlichen Verhältnis zum Nutzen stehen. Andererseits lassen sich grundlegende Designfehler einer Anwendung oftmals nur durch einen Review aufdecken.

Die IFASEC GmbH führt statische Code-Analysen in Verbindung mit Code-Reviews aus. Damit können wiederkehrende Schwachstellen und fehlerträchtige Codeteile automatisiert im gesamten Code gescannt und das Ergebnis durch einen ergänzenden manuellen Review qualifiziert werden.

Statische Code-Analyse

Eine statische Code-Analyse überprüft den Quellcode einer Anwendung, ohne diesen auszuführen, daher die Bezeichnung „statisch“. Voraussetzung hierfür ist allerdings das Vorhandensein eben dieses Quellcodes.

Dynamische Code-Analyse

Dynamische Code-Analysen überprüfen das gesamte System im laufenden Betrieb, also die Applikation, die eingesetzten Technologien, die Einrichtung der Server auf Lücken z.B. Fehler in der Konfiguration von Web-Servern, in den Authentisierungsverfahren oder in der Übertragung und Speicherung von Daten.
Erst die Kombination aus statischer und dynamischer Code-Analyse stellt eine verlässliche Basis für sichere Anwendungen dar.

Kontaktieren Sie uns für eine unverbindliche Erstberatung!

Projekte

Die IFASEC GmbH hat ihre Wurzeln im Umfeld von Forschung und Lehre im Hochschulbereich und ist Partner von wichtigen Sicherheitsprojekten auf dem Weg zur „Industrie 4.0“.

go-digital

Sichern Sie sich bis zu 50 % Förderung im Bereich IT-Sicherheit!

Fragen Sie IFASEC zu dem Förderprogramm go-digital und profitieren von den Fördermitteln des BMWi für ein höheres IT-Sicherheitsniveaus Ihres Unternehmens!

go-digital

Das Förderprogramm go-digital

Das Bundesministerium für Wirtschaft und Energie (BMWi) fördert im Modul IT-Sicherheit

  • Risiko- und Sicherheitsanalyse (Bewertung von Bedrohungen und möglichen Schwachstellen) der bestehenden oder neu geplanten betrieblichen IKT-Infrastruktur
  • Maßnahmen zur Initiierung/Optimierung von betrieblichen IT-Sicherheitsmanagementsystemen

 

Diese Förderung können kleine und mittlere Unternehmen der gewerblichen Wirtschaft beantragen.

Die Beantragung und administrative Abwicklung des Programms erfolgt über die IFASEC GmbH. Sie gehört zu den vom BMWi autorisierten Beratungsunternehmen im Förderprogramm go-digital für Modul IT-Sicherheit.

Fragen zum Förderprogramm beantworten wir Ihnen gerne unter info@ifasec.de oder 0231 5869202

Enable KMU

EnAbLE KMU – Entwicklung anwenderbasierter Lösungen für die Einzelfertigung in KMUs – ist ein Verbundvorhaben für KMUs zur Digitalisierung von Prozessabläufen in der Einzelfertigung. Zur Unterstützung der Unternehmen in diesem Digitalisierungsprozess ensteht eine Smart Service Plattform, auf der einzelne Digitalisierungsschritte individuell und KMU-spezifisch konfiguriert und implementiert werden.

IFASEC stellt in diesem Projekt Beiträge zur IT‐Sicherheit der Architektur, der Implementation und des Betriebs der Plattform.

Gefördert wird dieses Projekt durch EFRE.NRW der EU sowie durch das Ministerium für Wirtschaft des Landes NRW.

Projektteilnehmer: RWTH Aachen WZL, innoTecS Ingenieurgesellschaft mbH, PH-Mechanik GmbH & Co. KG, IFASEC GmbH

Europäische Union - Investition in unsere Zukunft - Europäischer Fonds für regionale Entwicklung

EFRE.NRW - Investition in Wachstum und Beschäftigung

Passwortrechner

Zeichenvorrat  Zeichen
Passwortlänge  Zeichen
Rechenleistung des Angreifers
Passwortrisiko
  • Standard: 50% (wahrscheinlicher Wert, dass das Passwort in der Hälfte der Zeit errechnet wird)
  • maximale Sicherheit: 100% ist nicht sinnvoll, da es keine absolute Sicherheit gibt
Ergebnisse
Anzahl der möglichen Passwörter Passwörter
Anzahl der errechneten Passwörter pro Sekunde Passwörter pro Sekunde
Lebensdauer des Passworts Jahre
Wochen
Tage
Stunden
Minuten
Sekunden.Millisekunden
Hinweise
Zeichenvorrat: Die Anzahl der möglichen Zeichen: 10 Zeichen bei Zahlen; 26 Zeichen bei Kleinbuchstaben; 52 Zeichen bei Buchstaben mit Klein- und Großschreibung; 62 Zeichen bei Zahlen, Klein- und Großbuchstaben; 96 – 108 Zeichen bei Hinzufügung der Sonderzeichen
Passwortlänge: Die Anzahl der Zeichen Ihres Passworts
Rechenleistung des Angreifers: Die von Ihnen geschätzte Rechenleistung eines potentiellen Angreifers
Passwortrisiko: Die geschätzte Wahrscheinlichkeit, dass das Passwort vor seiner berechneten Lebensdauer geknackt wird. Da man nicht vorhersagen kann, an welcher Stelle unter allen möglichen Passwörtern das zu berechnende Passwort steht, kann man über das geschätzte Passwortrisiko das Risiko festlegen.

Möchten Sie SCUDOS in Aktion sehen?