Bereits seit 2013 führt HiSolutions regelmäßig IT-Sicherheitsuntersuchungen verschiedener Art für Crespel & Deiters durch. Zuletzt wurde mit einer Kombination aus technischen Audits und Infrastruktur-Penetrationstests das aktuelle Sicherheitsniveau geprüft, dokumentiert und bewertet.
Ziele
Umfassende Sicherheitsuntersuchung und technische Tiefenanalyse
Die Sicherheitsuntersuchungen sollten sowohl breit aufgestellt als auch technisch tiefgehend sein. Dazu wurden Penetrationstests der Infrastruktur – sowohl über das Internet als auch aus der Perspektive eines Innentäters – mit technischen Audits kombiniert. Letztere umfassten eine Betrachtung der für Betrieb und Wartung relevanten Konzepte bis hin zur konkreten Konfiguration zentraler Systeme. Besonderer Fokus lag auf den Themen Back-up, Netzwerk- und Firewall-Architektur, Rollen- und Berechtigungen sowie Active Directory.
Herausforderungen
Unterbrechungsfreiheit, komplexe Koordination, enge Zeitvorgabe
Trotz der umfangreichen und intensiven Untersuchungen durfte es zu keiner Beeinträchtigung von Betriebs- und Produktionsabläufen kommen. Neben der Planung technischer Untersuchungsaspekte musste HiSolutions für die zeitliche Koordination auch die Verfügbarkeiten der Ansprechpartner berücksichtigen, um die Durchführung wie vorgesehen innerhalb von einer Woche abzuschließen.
Umsetzung
Strukturierte Vorbereitung, mehrstufige Penetrationstests, begleitende Workshops
Im Vorfeld der Untersuchungen führten die Projektverantwortlichen von HiSolutions mit den Ansprechpartnern von Crespel & Deiters einen Kick-Off-Workshop durch. Die erarbeitete Detailplanung stellte anschließend den Rahmen für die einzelnen Arbeitspakete dar.
In einem externen Infrastruktur-Penetrationstest im Black-Box-Ansatz nahm HiSolutions die Perspektive eines Angreifers aus dem Internet ein, um Schwachstellen und mögliche Einfallstore in die interne Infrastruktur zu identifizieren.
Darauf aufbauend wurde ein interner Infrastruktur-Penetrationstest mit Fokus auf das Active Directory durchgeführt. Um innerhalb des geplanten Zeitrahmens die notwendige Breite und Tiefe der Untersuchung abzudecken, wurde ein Grey-Box-Ansatz gewählt. Dazu wurden Informationen über die Netzwerkumgebung, exemplarische Zugänge sowie Client-Geräte vom Auftraggeber bereitgestellt.
Parallel dazu führte HiSolutions mit den entsprechenden Ansprechpartnern von Crespel & Deiters einzelne Workshops zu den Themen Back-ups, Netzwerk- und Firewall-Architektur durch. Gegenstand waren sowohl die Konzeption und die Dokumentation als auch die konkrete Konfiguration von Back-up-Systemen, die Netzwerk- und Firewall-Architektur sowie besonders privilegierte Rollen und Berechtigungen.
Ergebnis
Systematischer Prüfbericht, ganzheitlicher Sicherheitsüberblick, Basis für weiter Maßnahmen
HiSolutions bewertete die Prüfergebnisse und stellte diese gemeinsam mit Handlungsempfehlungen in einem systematischen Prüfbericht dar. Durch die umfangreichen und aufeinander abgestimmten Untersuchungen ergab sich ein ganzheitlicher Überblick über das Sicherheitsniveau der IT-Infrastruktur. Crespel & Deiters konnte die Ergebnisse anschließend nutzen, um weitere Sicherheitsmaßnahmen zielgerichtet zu planen und umzusetzen.
Das sagt unser Kunde
„Meine vierte Audit-Erfahrung mit HiSolutions und diesmal mit „neuer“ Besetzung. Es hilft uns, unsere IT-Strukturen aus einem anderen Blickwinkel tiefgehend zu durchleuchten und unsere vergangenen Entscheidungen und Arbeiten an den IT-Systemen hinsichtlich der IT-Sicherheit zu bewerten und weiter feinzujustieren. Kurz: Der Austausch macht uns besser!“
Head of Information Technology
Über die Crespel & Deiters GmbH und Co. KG
Crespel & Deiters ist einer der führenden Spezialisten in Europa für weizenbasierte Produkte und damit verbundene branchenspezifische, anwendungsorientierte Lösungen, mit denen weltweit Industriekunden aus dem Food-, Non-Food und Futtermittel-Bereich einen Mehrwert in der Herstellung ihrer Erzeugnisse schaffen. Das Unternehmen arbeitet seit mittlerweile über 165 Jahren konsequent und nachhaltig mit dem universellen Naturprodukt Weizen.
Ihr Ansprechpartner
Constantin Kirsch
Ob Penetrationstests, technische Audits oder Sicherheitskonzepte – ich helfe Ihnen, Schwachstellen zu identifizieren und die Resilienz Ihrer IT zu stärken. Lassen Sie uns sprechen – Ihre Sicherheit beginnt mit einem gezielten Test.
Constantin Kirsch ist Expert bei HiSolutions, spezialisiert auf Penetrationstests von IT-Infrastrukturen, Active-Directory-Umgebungen und Webanwendungen. Gemeinsam mit dem Security-Team führt er technische Audits und Sicherheitsuntersuchungen durch und berät zu ISO 27001 sowie BSI IT-Grundschutz.
Oder kontaktieren Sie uns via Formularanfrage