Schwachstellenanalyse

Was ist eine Schwachstellenanalyse?

Bei einer Schwachstellenanalyse (gelegentlich auch unzutreffend mit Pentests gleichgesetzt) werden ein oder mehrere IT-Systeme, zum Beispiel eine Webanwendung oder ein Webservice, auf Sicherheitsschwachstellen untersucht.

Das Ziel ist es, Schwachstellen, die ein Angreifer ausnutzen könnte, möglichst frühzeitig zu erkennen. Dabei greifen wir auf unsere Toolchain und Erfahrung aus Penetrationstests und Angriffssimulationen zurück.

Im Gegensatz zu einem Penetrationstest wird das Zielsystem vorwiegend automatisiert untersucht, um möglichst effizient viele Problemstellen aufzudecken. Zudem werden Schwachstellen zwar aufgezeigt, in der Regel wird aber nicht versucht diese weiter auszunutzen (sog. “Eskalation”), da dies oft zeit- und kostenintensiv ist.

Neben dem automatisierten Schwachstellenscan findet zusätzlich eine manuelle Analyse der verschiedenen Scanergebnisse statt, z. B., um False-Positives zu bereinigen oder für eine erste Risikoeinschätzung.

Was ist eine Schwachstellenanalyse?
Warum ist eine Schwachstellenanalyse sinnvoll?

Schwachstellenanalysen sind als kontinuierliche Untersuchung eines spezifischen Assets besonders geeignet, um Ihre IT-Security regelmäßig zu überprüfen und stetig weiterzuentwickeln.

Bei einer sinnvollen Priorisierung der zu testenden Systeme wird damit nicht nur die einzelne Anwendung gehärtet, sondern langfristig auch die Sicherheit Ihres gesamten Unternehmens gesteigert.

Schwachstellenanalysen sind insbesondere als begleitende Maßnahme während des Entwicklungsprozesses ein effizientes Werkzeug, die Sicherheit des Assets nachhaltig zu steigern.

Warum ist eine Schwachstellenanalyse sinnvoll?

Ablauf einer Schwachstellenanalyse

  • Kickoff

    Während des Kickoffs lernen wir das Asset (zum Beispiel eine Webanwendung) kennen und besprechen gemeinsam, welche Informationen wir von Ihnen benötigen.

  • Setup

    Je nach Art und Technologie des zu testenden Assets erarbeiten wir ein umfangreiches Scan-Setup.

  • Automatisierte Scans

    Mit automatisierten Scans prüfen wir das Asset auf häufige Probleme und Fehlkonfigurationen.

  • Manuelle Auswertung

    Den aufwendigsten Teil des Tests stellt die Auswertung dar. Dabei nutzen unsere Tester ihre Erfahrung, um die Ergebnisse zu bereinigen und aufzubereiten.

  • Analyse & Berichterstattung

    Die gefundenen Schwachstellen und Fehlkonfigurationen werden bewertet, dokumentiert und dazu passende Handlungsempfehlungen erstellt.

Nachbereitung und Abschluss

Im Anschluss an die Schwachstellenanalyse erhalten Sie einen Bericht mit allen gefundenen Sicherheitsrisiken. Jeder Befund ist mit einer entsprechenden Risikoeinschätzung versehen, sodass Sie priorisiert die wichtigsten Probleme beheben können.

Falls Sie im Anschluss Fragen zum Bericht oder einzelnen Befunden haben, setzen wir uns gerne im Rahmen einer Ergebnisdiskussion mit Ihnen zusammen und besprechen mögliche Lösungsansätze.

  • Vorwiegend automatisierte Sicherheitsbetrachtung Ihrer Anwendung/Ihres IT-Systems
  • Effizient und kostengünstig, allerdings geringere Testabdeckung
  • Besonders sinnvoll als ergänzende Maßnahme

Schwachstellenanalysen sind, da sie günstiger als vollständige Penetrationstest sind, eine sinnvolle Ergänzung, um das Sicherheitsniveau Ihrer IT-Systeme auch im Zeitraum zwischen zwei Pentests, zu überwachen.

Im PCI Data Security Standard (PCI DSS) werden beispielsweise mindestens einmal jährlich Penetrationstests gefordert und zusätzlich mindestens vierteljährlich ein Schwachstellenscan.

Im Gegensatz zu einem Penetrationstest läuft eine Schwachstellenanalyse vorwiegend automatisiert ab.

So kann effizient und kostengünstig ein Überblick über die vorhandenen Probleme und des Sicherheitslevels des untersuchten Systems gewonnen werden.

Allerdings können einige Schwachstellen(-typen) nur sehr schlecht (oder gar nicht) von automatisierten Scannerlösungen entdeckt werden, weshalb ein vollständiger Penetrationstest in regelmäßigen Abständen zu empfehlen ist.

Wir finden Schwachstellen, so finden Sie uns!

Wir haben Ihr Interesse geweckt? Sie haben noch Fragen? Rufen Sie uns an, schreiben Sie uns eine Mail, oder vereinbaren Sie direkt und unkompliziert ein unverbindliches Erstgespräch mit einem unserer Berater:

Call us Send us a mail Book a meeting

Newsletter

Sie wollen auf dem Laufenden bleiben? Abonnieren Sie unseren Newsletter: