Bereits seit 2013 führt HiSolutions regelmäßig IT-Sicherheitsuntersuchungen verschiedener Art für Crespel & Deiters durch. Zuletzt wurde mit einer Kombination aus technischen Audits und Infrastruktur-Penetrationstests das aktuelle Sicherheitsniveau geprüft, dokumentiert und bewertet.

Success Story als PDF herunterladen

Ziele:  

Umfassende Sicherheitsuntersuchung und technische Tiefenanalyse

Die Sicherheitsuntersuchungen sollten sowohl breit aufgestellt als auch technisch tiefgehend sein. Dazu wurden Penetrationstests der Infrastruktur – sowohl über das Internet als auch aus der Perspektive eines Innentäters – mit technischen Audits kombiniert. Letztere umfassten eine Betrachtung der für Betrieb und Wartung relevanten Konzepte bis hin zur konkreten Konfiguration zentraler Systeme. Besonderer Fokus lag auf den Themen Back-up, Netzwerk- und Firewall-Architektur, Rollen- und Berechtigungen sowie Active Directory.

Herausforderungen:

Unterbrechungsfreiheit, komplexe Koordination, enge Zeitvorgabe

Trotz der umfangreichen und intensiven Untersuchungen durfte es zu keiner Beeinträchtigung von Betriebs- und Produktionsabläufen kommen. Neben der Planung technischer Untersuchungsaspekte musste HiSolutions für die zeitliche Koordination auch die Verfügbarkeiten der Ansprechpartner berücksichtigen, um die Durchführung wie vorgesehen innerhalb von einer Woche abzuschließen.

Umsetzung:

Strukturierte Vorbereitung, mehrstufige Penetrationstests, begleitende Workshops

Im Vorfeld der Untersuchungen führten die Projektverantwortlichen von HiSolutions mit den Ansprechpartnern von Crespel & Deiters einen Kick-Off-Workshop durch. Die erarbeitete Detailplanung stellte anschließend den Rahmen für die einzelnen Arbeitspakete dar.

In einem externen Infrastruktur-Penetrationstest im Black-Box-Ansatz nahm HiSolutions die Perspektive eines Angreifers aus dem Internet ein, um Schwachstellen und mögliche Einfallstore in die interne Infrastruktur zu identifizieren.

Darauf aufbauend wurde ein interner Infrastruktur-Penetrationstest mit Fokus auf das Active Directory durchgeführt. Um innerhalb des geplanten Zeitrahmens die notwendige Breite und Tiefe der Untersuchung abzudecken, wurde ein Grey-Box-Ansatz gewählt. Dazu wurden Informationen über die Netzwerkumgebung, exemplarische Zugänge sowie Client-Geräte vom Auftraggeber bereitgestellt.

Parallel dazu führte HiSolutions mit den entsprechenden Ansprechpartnern von Crespel & Deiters einzelne Workshops zu den Themen Back-ups, Netzwerk- und Firewall-Architektur durch. Gegenstand waren sowohl die Konzeption und die Dokumentation als auch die konkrete Konfiguration von Back-up-Systemen, die Netzwerk- und Firewall-Architektur sowie besonders privilegierte Rollen und Berechtigungen.

Ergebnis:

Systematischer Prüfbericht, ganzheitlicher Sicherheitsüberblick, Basis für weiter Maßnahmen

HiSolutions bewertete die Prüfergebnisse und stellte diese gemeinsam mit Handlungsempfehlungen in einem systematischen Prüfbericht dar. Durch die umfangreichen und aufeinander abgestimmten Untersuchungen ergab sich ein ganzheitlicher Überblick über das Sicherheitsniveau der IT-Infrastruktur. Crespel & Deiters konnte die Ergebnisse anschließend nutzen, um weitere Sicherheitsmaßnahmen zielgerichtet zu planen und umzusetzen.

Das sagt unser Kunde:

„Meine vierte Audit-Erfahrung mit HiSolutions und diesmal mit „neuer“ Besetzung.

Es hilft uns, unsere IT-Strukturen aus einem anderen Blickwinkel tiefgehend zu durchleuchten und unsere vergangenen Entscheidungen und Arbeiten an den IT-Systemen hinsichtlich der IT-Sicherheit zu bewerten und weiter feinzujustieren.

Kurz: Der Austausch macht uns besser! “ 

Elmar Oelgemöller
Head of Information Technology, Crespel & Deiters Group