Jeden Tag gibt es in der Presse neue Mitteilungen über Hackerangriffe, ausgespähte Daten, Einbrüche in Wohnungen, weil Urlaubszeiten in sozialen Medien gepostet werden etc.

Warum erst dann davon erfahren, wenn es zu spät ist?

Bei einer Sicherheitsüberprüfung zeige ich Ihnen sowohl die Bereiche der externen und internen Informationsbeschaffung (was kann über meine Person, meine Firma, meine Daten herausgefunden werden) als auch konzeptionelle Optimierungen, z.B. im Bereich der Datensicherung, des Mail-Handlings, der Zugangs- und Zugriffskontrollen etc.

 

Externe Informationsbeschaffung

Wissen ist Macht und es hat Vorteile, zu wissen, was über die eigene Person oder Internet-Präsenz von extern auffindbar ist.

Bei dieser Art der Informationsbeschaffung dreht sich alles um Informationen, welche über das Internet erreichbar sind, sei es in Form von Datenbankabfragen bei spezialisierten Datenquellen, Scans von Internet-Präsenzen, Querverweisen etc.

Hierbei werden nur frei zugängliche Informationen zu Personen, Domains und Unternehmen gesammelt und in einem Bericht zusammengestellt.

Es werden keine Informationen gesammelt, für die vorher Sicherheitssperren überwunden werden müssen.

Da die Informationen je nach Person und Unternehmen teilweise sehr stark unterschiedlich gestreut sind, kann dieser Bericht von "Über die Person sind keine Informationen verfügbar" bis hin zu einer viele Seiten umfassenden Ausarbeitung gehen.

 

Interne Informationsbeschaffung

Im Gegensatz zur Beschaffung von Informationen aus dem Internet werden bei der internen Informationsbeschaffung Daten gesammelt, wie sie für eine Person mit Zutritt zu den inneren Räumen erlangbar sind, z.B. für Mitarbeiter, Reinigungspersonal oder Techniker.

Diese Informationsbeschaffung kann sowohl aus Sicht des Eindringlings/Angreifers als auch aus Sicht des Verteidigers mit Fremdgeräteerkennung, Monitoring verschiedener wichtiger Netz-Komponenten oder auch Implementierung eines IDS/IPS-Systems erfolgen.

Da es sich hierbei in der Regel um Informationen handelt, welche nicht öffentlich verfügbar sind und eventuell arbeitsrechtlichen und/oder IT-rechtlichen Gesetzen unterliegen, sollte hierbei vorher eine Klärung der gesetzlichen Sachlage erfolgen (nicht im Leistungsumfang der Firma Net-Protection).

 

Aufdeckung konzeptioneller oder IT-technischer Schwächen

Neben der Informationsbeschaffung lassen sich mit ein paar Checks auch schnell weitere Schwächen finden.

  • Zugriff aus der DMZ auf das Produktivnetz
  • teilweise zu offene Kennwortstruktur, um die Administrtion zu vereinfachen
  • mangelnde Datensicherung
  • schwache Zugriffsregelung
  • Schwächen in der VLAN-Verwaltung
  • veraltete oder nicht ausreichend gepatchte Server
  • ...

Einige dieser Punkte lassen sich bereits durch eine externe oder interne Informationsbeschaffung finden, manche erst, wenn die Gesamtstruktur genauer beleuchtet wird.

Ich biete Ihnen sowohl das eine als auch das andere an, den Umfang bestimmen Sie.