Beste Live-Hacking-Demo gesucht um Initiierungsprozess in Gang zu bringen
Hallo zusammen,
unser Chef (ca. 800 Mitarbeiter) lässt das Thema IT-Sicherheit sehr schleifen und kommt einfach im Initiierungsprozess nicht zu Potte.
M.E. nimmt er das Thema nicht ernst genug, sondern gibt nur vor, dass er es für wichtig hält.
Deshalb möchte ich ihm durch einen Experten zeigen, wie einfach es sein kann, an die Unternehmenswerte (Informationen) dranzukommen.
Hierzu brauche ich aber den besten Whitehat & Penetration Tester Deutschlands.
Hat jemand Erfahrungen mit solchen Dienstleistern?
Viele Grüße
unser Chef (ca. 800 Mitarbeiter) lässt das Thema IT-Sicherheit sehr schleifen und kommt einfach im Initiierungsprozess nicht zu Potte.
M.E. nimmt er das Thema nicht ernst genug, sondern gibt nur vor, dass er es für wichtig hält.
Deshalb möchte ich ihm durch einen Experten zeigen, wie einfach es sein kann, an die Unternehmenswerte (Informationen) dranzukommen.
Hierzu brauche ich aber den besten Whitehat & Penetration Tester Deutschlands.
Hat jemand Erfahrungen mit solchen Dienstleistern?
Viele Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 147532
Url: https://administrator.de/forum/beste-live-hacking-demo-gesucht-um-initiierungsprozess-in-gang-zu-bringen-147532.html
Ausgedruckt am: 22.12.2024 um 16:12 Uhr
6 Kommentare
Neuester Kommentar
Moin,
nun - hier gibt es jetzt 2 Möglichkeiten:
a) Du machst das ohne Wissen des Chefs -> dürfte zu deinem Jobwechsel führen. Nämlich wechselst du von deinem Büro auf die Strasse...
b) Du müsstest bei deinem Chef die Kohle für sowas locker machen -> vermutlich nicht sonderlich einfach! Grad wenn du "den besten" willst dann lässt dieser sich das auch gut bezahlen.
Von daher würde ich gucken wie man sowas elegant umgehen kann. Sei es durch eigene Tests der Sicherheits-Systeme und gucken wie man dafür günstige Lösungen hinbekommt. Oder eben durch Infos an den Chef was das große Problem ist. Im Endeffekt läuft es dann darauf raus das ER der Chef ist. D.h. sagt er das er das so hinnimmt dann ist es egal ob DU glaubst das es nicht wichtig genommen wird. Der Chef hat eben nen Streifen mehr auf der Schulter und entscheidet...
Und nebenbei: Bei 800 Mitarbeitern würde ich dann auch nicht vergessen das nen Test von Extern eher unsinnig ist. Klar - man kann euch von aussen angreiffen. Die Gefahr geht aber da eher von "innen" aus:
- Unzufriedener Mitarbeiter ändert/löscht daten
- Mitarbeiter kopiert sich die Kundenliste bevor er zur Konkurrenz wechselt
- Passwörter liegen offen rum
- Mitarbeiter kopiert / versendet Daten ohne zu hinterfragen (auch an externe Personen!)
- ...
Hier liegt m.E. das größere Risiko. Und hier kann man oft ohne viel Geld und mit überschaubaren Aufwand schonmal selbst nen Test machen...
nun - hier gibt es jetzt 2 Möglichkeiten:
a) Du machst das ohne Wissen des Chefs -> dürfte zu deinem Jobwechsel führen. Nämlich wechselst du von deinem Büro auf die Strasse...
b) Du müsstest bei deinem Chef die Kohle für sowas locker machen -> vermutlich nicht sonderlich einfach! Grad wenn du "den besten" willst dann lässt dieser sich das auch gut bezahlen.
Von daher würde ich gucken wie man sowas elegant umgehen kann. Sei es durch eigene Tests der Sicherheits-Systeme und gucken wie man dafür günstige Lösungen hinbekommt. Oder eben durch Infos an den Chef was das große Problem ist. Im Endeffekt läuft es dann darauf raus das ER der Chef ist. D.h. sagt er das er das so hinnimmt dann ist es egal ob DU glaubst das es nicht wichtig genommen wird. Der Chef hat eben nen Streifen mehr auf der Schulter und entscheidet...
Und nebenbei: Bei 800 Mitarbeitern würde ich dann auch nicht vergessen das nen Test von Extern eher unsinnig ist. Klar - man kann euch von aussen angreiffen. Die Gefahr geht aber da eher von "innen" aus:
- Unzufriedener Mitarbeiter ändert/löscht daten
- Mitarbeiter kopiert sich die Kundenliste bevor er zur Konkurrenz wechselt
- Passwörter liegen offen rum
- Mitarbeiter kopiert / versendet Daten ohne zu hinterfragen (auch an externe Personen!)
- ...
Hier liegt m.E. das größere Risiko. Und hier kann man oft ohne viel Geld und mit überschaubaren Aufwand schonmal selbst nen Test machen...
Servus,
man braucht ja nur mal kurz ne google suche nach penetration test machen - gibt ja genug unternehmen die das anbieten.
empfehlen würde ich diese lektüre:
BSI-Studie "Durchführungskonzept für Penetrationstests"
Besonders herausheben möchte ich davon:
2.2 IT-Sicherheitsmaßnahmen
Um den beschriebenen Gefahren entgegenzuwirken, sind Maßnahmen zur Steigerung der ITSicherheit
zu ergreifen. Dabei ist jedoch zu beachten, dass eine hundertprozentige Sicherheit
grundsätzlich nicht erreicht werden kann. Es lassen sich organisatorische, wie z. B. IT Sicherheitsorganisation
und Eskalationsvorschriften, technische Maßnahmen, wie Zugriffsschutzmechanismen,
Verschlüsselung und Firewalls zur Etablierung eines bestimmten IT-Sicherheitsniveaus unterscheiden.
Diese werden unter Berücksichtigung der unternehmensweiten IT-Sicherheitsleitlinie („IT-Security
Policy“) in einem organisationsweiten IT-Sicherheitskonzept zusammengeführt.
Falls die zu prüfende Organisation kein Sicherheitskonzept bzw. keine Sicherheitsleitlinien vorlegen
kann, ist es vor allem bei einer komplexen IT-Landschaft fragwürdig, ob die Durchführung eines
Penetrationstests überhaupt sinnvoll ist. Vermutlich wäre es für eine Steigerung der IT-Sicherheit viel
effizienter, zunächst ein geeignetes Sicherheitskonzept zu erarbeiten und umzusetzen.
lg
Michi
man braucht ja nur mal kurz ne google suche nach penetration test machen - gibt ja genug unternehmen die das anbieten.
empfehlen würde ich diese lektüre:
BSI-Studie "Durchführungskonzept für Penetrationstests"
Besonders herausheben möchte ich davon:
2.2 IT-Sicherheitsmaßnahmen
Um den beschriebenen Gefahren entgegenzuwirken, sind Maßnahmen zur Steigerung der ITSicherheit
zu ergreifen. Dabei ist jedoch zu beachten, dass eine hundertprozentige Sicherheit
grundsätzlich nicht erreicht werden kann. Es lassen sich organisatorische, wie z. B. IT Sicherheitsorganisation
und Eskalationsvorschriften, technische Maßnahmen, wie Zugriffsschutzmechanismen,
Verschlüsselung und Firewalls zur Etablierung eines bestimmten IT-Sicherheitsniveaus unterscheiden.
Diese werden unter Berücksichtigung der unternehmensweiten IT-Sicherheitsleitlinie („IT-Security
Policy“) in einem organisationsweiten IT-Sicherheitskonzept zusammengeführt.
Falls die zu prüfende Organisation kein Sicherheitskonzept bzw. keine Sicherheitsleitlinien vorlegen
kann, ist es vor allem bei einer komplexen IT-Landschaft fragwürdig, ob die Durchführung eines
Penetrationstests überhaupt sinnvoll ist. Vermutlich wäre es für eine Steigerung der IT-Sicherheit viel
effizienter, zunächst ein geeignetes Sicherheitskonzept zu erarbeiten und umzusetzen.
lg
Michi