Technical Security Audits

Aufgrund der Vielfalt an technischen Prüfmöglichkeiten bieten wir zu Beginn einer Projektanfrage unsere Expertise für die gemeinsame Auswahl der sinnvollsten Vorgehensweise an. Damit stellen wir sicher, dass die Ergebnisse einer technischen Prüfung auch die gewünschten Antworten liefern und die Prüftiefe sich bestmöglich an dem Risiko- und Technologieprofil der zu prüfenden Lösung orientiert. Auf dieser Basis erhalten Sie von uns alle notwendigen Vorbereitungs- und Beistellleistungen zur Gewährleistung eines effizienten Projektablaufs, den wir in regelmäßigen Abstimmungen mit Ihnen kontrollieren. Zudem erfolgt das Berichtswesen in einer mit Ihnen abgestimmten Form und einem Klassifizierungsschema der Schwachstellen, um eine reibungslose Integration der Ergebnisse in die nachfolgenden Arbeitsschritte, beispielsweise in einem ISMS, zu ermöglichen.

ICS-/OT-Security

Bei der Empfehlung des geeigneten Prüfungsansatzes berücksichtigen wir unter anderem folgende Rahmenbedingungen:

  1. Formale Anforderungen an die Prüfgrundlage z.B.
    • Anwendbare Teile / Anforderungen der Normreihe IEC 62443
    • Anwendbare Controls der Normen ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27011 und ISO/IEC 27019
    • BDEW/OE/VSE-Whitepaper „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“
    • NIST Cyber Security Framework
    • Lasten- / Pflichtenhefte im Rahmen von Abnahme-Audits (FAT / SAT)
    • Branchenspezifische Sicherheitsstandards (B3S)
    • Open Web Application Security Project (M)ASVS
  2. Bedrohungsszenarien / Risiken, die durch die technischen Prüfungen auf Relevanz geprüft bzw. Fragestellungen, die durch das Audit beantwortet werden sollen

  3. Betriebsbedingung des Prüfungsgegenstandes hinsichtlich einer vollständigen Prüfbarkeit eines Test-Systems oder einer eingeschränkten Prüfung eines Produktivsystems


  4. Anforderungen an die Berichtsform u.a.
    • Konformitätsbericht oder Schwachstellenbericht
    • Technischer Detailbericht und / oder Managementbericht
    • Maschinenlesbare Tabellenform der Feststellungen
    • Klassifizierungsmetrik für Schwachstellen z.B. CVSS oder kundenindividuelle Metrik
  5. Prüfungsansatz
    • Interview / Inaugenscheinnahme von Sicherheitseinstellungen ohne Tool-Einsatz
    • Black-Box Prüfung ohne Vorwissen (z.B. Dokumentationen zur Prüfumgebung) und ohne Zugangsdaten
    • Grey-Box Prüfung mit Vorwissen und bereitgestellten Nutzerzugangsdaten
    • White-Box Prüfung mit Code- / privilegiertem System-Zugang

Wir unterstützen Sie mit unseren mehr als 30 Jahren Erfahrung in der Prüfung von IT-Infrastrukturen mit allen dazugehörigen IT-Komponenten, Diensten und Applikationen sowie von industriellen / operativen Infrastrukturen und Einzelkomponenten mit folgenden Prüfungsarten:

Zu jeder Prüfungsart erhalten Sie von uns eine Ergebnisdokumentation. Auf Wunsch bieten wir Ihnen eine Präsentation und/oder Nachprüfung an.