ADVOSERVICE: Penetrationstests der externen und internen IT-Infrastruktur

Als spezialisierter IT-Dienstleister im Umfeld der Kanzlei-IT legt die ADVOSERVICE größten Wert auf die Verfügbarkeit, Vertraulichkeit und Integrität der IT-Systeme und Informations­verarbeitung. Nachdem die ADVOSERVICE bereits gemeinsam mit HiSolutions ein Business Continuity Management eingeführt hatte, wurde sie anschließend mit der Durchführung einer umfassenden praktischen Sicherheitsprüfung beauftragt.

Success Story als PDF herunterladen

Ziele

In der Prüfung sollten unterschiedliche ­Angriffs- und Bedrohungsszenarien betrachtet werden. Um eine ganzheitliche Betrachtung des IT-Sicherheitsniveaus zu gewährleisten, sollten sowohl Tests aus der Sicht eines Angreifers von außen als auch aus der Sicht eines Täters aus dem internen Netzwerk durchgeführt werden.
Für in den Tests identifizierte Verbesserungs­potenziale sollten konkrete Lösungsvorschläge erarbeitet werden. Die korrekte Umsetzung sollte im Nachgang der ursprünglichen Tests durch HiSolutions geprüft werden.

Herausforderungen

Um eine vollständige Untersuchung des segmentierten und gehärteten Netzwerks der ADVOSERVICE zu gewährleisten und alle relevanten Szenarien möglichst zeiteffizient betrachten zu können, wurde ein Untersuchungsansatz nach dem White-Box Prinzip gewählt. In Koordination mit den Ansprechpartnern der ADVOSERVICE wurde ein mehrstufiger Prüfplan erarbeitet und es wurden geeignete Ausgangspunkte sowie Vorgehensweisen für die verschiedenen Einzelprüfungen gewählt.

Umsetzung

HiSolutions führte einen externen sowie mehrere interne Penetrationstests für die ADVOSERVICE durch. Der externe Test wurde aus der Black-Box Perspektive durchgeführt, um einen Angriff von außen ohne vertiefende Infrastrukturkenntnisse zu simulieren. 

Die internen Tests erfolgten nach dem White-Box Prinzip. Insbesondere wurde hier geprüft, welche Bedrohung von einem 
Angreifer ausgeht, dem es gelingt ein Benutzerkonto unter seine Kontrolle zu bringen.

Dieses Vorgehen erlaubte eine realistische Betrachtung von Szenarien, in denen angenommen wird, dass ein Angreifer einzelne bestehende Sicherheitsmechanismen umgehen kann. Es erlaubt so auch die Identifikation von nachgelagerten Schwachstellen, die im Normalfall nicht direkt erkenn- oder ausnutzbar sind. In diesem Zuge wurden auch der Aufbau und die Härtung der Active Directory-Umgebung tiefergehend betrachtet.

Ergebnis

Die Ergebnisse der Prüfungen wurden durch HiSolutions in einem Prüfbericht festgehalten, der auch  Maßnahmenempfehlungen und eine Risikobewertung enthielt. Einzelbefunde wurden noch während der Prüfung mit den Ansprechpartnern erörtert, um eine zielgerichtete Behandlung sicherzustellen.
Nach Umsetzung der Maßnahmen durch die ADVOSERVICE wurde ein zielgerichteter Nachtest durchgeführt. Hierbei wurde die korrekte Beseitigung von Befunden und die wirksame Umsetzung von Maßnahmen geprüft. Dadurch konnte sichergestellt werden, dass das IT-Sicherheitsniveau infolge der Penetrationstests wirksam weiter ausgebaut wurde.

Zum Themenbereich Penetrationstests

Über die ADVOSERVICE GmbH

ADVOSERVICE ist ein spezialisierter IT-Dienstleister im Umfeld der Kanzlei-IT. Er übernimmt die Entwicklung, Einführung und laufende Wartung branchenspezifischer Lösungen für seine Kunden sowie auch die Optimierung hin auf individuelle Anforderungen. Zu den Kunden der ADVOSERVICE gehören Top50-Kanzleien sowie Legal Tech-Pioniere oder klassische Mittelstandsberater.

 

Über die HiSolutions AG

Die HiSolutions AG ist ein führender deutscher Beratungsdienstleister in den Bereichen Cyber Security, Informationssicherheit, Business Continuity, Krisenmanagement und Wirtschaftsschutz. Dabei vereinen wir strategische Beratungskompetenz mit fundierten methodischen Vorgehensweisen und technischer Expertise. Unsere Berater engagieren sich seit mehr als 25 Jahren in der Planung, Umsetzung und Überprüfung strategischer, organisatorischer, physischer, personeller sowie technischer Sicherheitsmaßnahmen und gehören so zu den erfahrensten und renommiertesten Sicherheitsspezialisten im deutschsprachigen Raum.

Jetzt teilen: