krella
Goto Top

Beste Live-Hacking-Demo gesucht um Initiierungsprozess in Gang zu bringen

Hallo zusammen,

unser Chef (ca. 800 Mitarbeiter) lässt das Thema IT-Sicherheit sehr schleifen und kommt einfach im Initiierungsprozess nicht zu Potte.

M.E. nimmt er das Thema nicht ernst genug, sondern gibt nur vor, dass er es für wichtig hält.

Deshalb möchte ich ihm durch einen Experten zeigen, wie einfach es sein kann, an die Unternehmenswerte (Informationen) dranzukommen.

Hierzu brauche ich aber den besten Whitehat & Penetration Tester Deutschlands.

Hat jemand Erfahrungen mit solchen Dienstleistern?

Viele Grüße

Content-ID: 147532

Url: https://administrator.de/forum/beste-live-hacking-demo-gesucht-um-initiierungsprozess-in-gang-zu-bringen-147532.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

maretz
maretz 23.07.2010 um 13:16:15 Uhr
Goto Top
Moin,

nun - hier gibt es jetzt 2 Möglichkeiten:

a) Du machst das ohne Wissen des Chefs -> dürfte zu deinem Jobwechsel führen. Nämlich wechselst du von deinem Büro auf die Strasse...
b) Du müsstest bei deinem Chef die Kohle für sowas locker machen -> vermutlich nicht sonderlich einfach! Grad wenn du "den besten" willst dann lässt dieser sich das auch gut bezahlen.

Von daher würde ich gucken wie man sowas elegant umgehen kann. Sei es durch eigene Tests der Sicherheits-Systeme und gucken wie man dafür günstige Lösungen hinbekommt. Oder eben durch Infos an den Chef was das große Problem ist. Im Endeffekt läuft es dann darauf raus das ER der Chef ist. D.h. sagt er das er das so hinnimmt dann ist es egal ob DU glaubst das es nicht wichtig genommen wird. Der Chef hat eben nen Streifen mehr auf der Schulter und entscheidet...

Und nebenbei: Bei 800 Mitarbeitern würde ich dann auch nicht vergessen das nen Test von Extern eher unsinnig ist. Klar - man kann euch von aussen angreiffen. Die Gefahr geht aber da eher von "innen" aus:
- Unzufriedener Mitarbeiter ändert/löscht daten
- Mitarbeiter kopiert sich die Kundenliste bevor er zur Konkurrenz wechselt
- Passwörter liegen offen rum
- Mitarbeiter kopiert / versendet Daten ohne zu hinterfragen (auch an externe Personen!)
- ...
Hier liegt m.E. das größere Risiko. Und hier kann man oft ohne viel Geld und mit überschaubaren Aufwand schonmal selbst nen Test machen...
krella
krella 23.07.2010 um 13:22:57 Uhr
Goto Top
Hallo Maretz,

danke für den Beitrag.

Dass der Anteil von Sicherheitsvorfällen von innen kommt, ist mir bekannt.

Trotzdem halte ich die Bedrohung von aussen für genauso real.

Und wenn ich diese Bedrohung meinem Chef noch in einer Live-Hacking-Demo unter Beweis stellen kann, wo er nur mit den Ohren schlackert,
dann wird er schon etwas Geld für ein ISMS locker machen. Da bin ich sicher.

Übrigens: ich habe schon Angebot vorliegen, darunter gibt es auch jemanden, der eine kostenlose Presales-Veranstaltung durchführen würde...

An alle anderen: Bitte Top-Penetration-Tester posten. Danke.
45877
45877 23.07.2010 um 13:36:09 Uhr
Goto Top
Kentarion
Kentarion 23.07.2010 um 13:51:23 Uhr
Goto Top
Servus,

man braucht ja nur mal kurz ne google suche nach penetration test machen - gibt ja genug unternehmen die das anbieten.

empfehlen würde ich diese lektüre:

BSI-Studie "Durchführungskonzept für Penetrationstests"

Besonders herausheben möchte ich davon:

2.2 IT-Sicherheitsmaßnahmen

Um den beschriebenen Gefahren entgegenzuwirken, sind Maßnahmen zur Steigerung der ITSicherheit
zu ergreifen. Dabei ist jedoch zu beachten, dass eine hundertprozentige Sicherheit
grundsätzlich nicht erreicht werden kann. Es lassen sich organisatorische, wie z. B. IT Sicherheitsorganisation
und Eskalationsvorschriften, technische Maßnahmen, wie Zugriffsschutzmechanismen,
Verschlüsselung und Firewalls zur Etablierung eines bestimmten IT-Sicherheitsniveaus unterscheiden.
Diese werden unter Berücksichtigung der unternehmensweiten IT-Sicherheitsleitlinie („IT-Security
Policy“) in einem organisationsweiten IT-Sicherheitskonzept zusammengeführt.

Falls die zu prüfende Organisation kein Sicherheitskonzept bzw. keine Sicherheitsleitlinien vorlegen
kann, ist es vor allem bei einer komplexen IT-Landschaft fragwürdig, ob die Durchführung eines
Penetrationstests überhaupt sinnvoll ist. Vermutlich wäre es für eine Steigerung der IT-Sicherheit viel
effizienter, zunächst ein geeignetes Sicherheitskonzept zu erarbeiten und umzusetzen.



lg

Michi
krella
krella 23.07.2010 um 13:54:39 Uhr
Goto Top
Hallo Leute,

hier noch einmal die Bitte:

Ich brauche eigentlich nur solche Postings von Leuten, die bereits Erfahrungen mit Dienstleistern gemacht haben.

Vielleicht kleine Erfahrungsberichte dazupacken, das wäre genial.

Vielen Dank.
Kentarion
Kentarion 23.07.2010 um 14:01:17 Uhr
Goto Top