Vulnerability Assessment

Was ist ein Vulnerability Assessment?

Was ist ein Vulnerability Assessment?

Bei einem Vulnerability Assessment (gelegentlich auch unzutreffend mit Pentests gleichgesetzt) wird ein einzelnes IT-System, zum Beispiel eine Webanwendung oder ein Webservice auf Sicherheitsschwachstellen untersucht.

Dabei wird das System aus der Perspektive eines Angreifers betrachtet, um mögliche Angriffsvektoren zu identifizieren.

Das Ziel ist es, Schwachstellen, die ein Angreifer ausnutzen könnte, möglichst frühzeitig zu erkennen. Dabei greifen wir auf unsere Erfahrung aus Angriffssimulationen im Rahmen von Pentests zurück.

Im Gegensatz zu einem Penetrationstest wird das System in der Breite untersucht, um möglichst viele Problemstellen aufzudecken.

Warum ist ein Vulnerability Assessment sinnvoll?

Vulnerability Assessments sind als konzentrierte Untersuchung eines spezifischen Assets besonders geeignet, um Ihre IT-Security kontinuierlich weiterzuentwickeln.

Bei einer sinnvollen Priorisierung der zu testenden Systeme wird damit nicht nur die einzelne Anwendung gehärtet, sondern langfristig auch die Sicherheit Ihres gesamten Unternehmens gesteigert.

Vulnerability Assessments sind insbesondere als begleitende Maßnahme während des Entwicklungsprozesses ein effizientes Werkzeug, die Sicherheit des Assets nachhaltig zu steigern.

Warum ist ein Vulnerability Assessment sinnvoll?

Ablauf eines Vulnerability Assessments

  • Kickoff

    Während des Kickoffs lernen wir die Anwendung kennen und besprechen gemeinsam, welche Informationen wir von Ihnen benötigen.

  • Einarbeitung

    Je nach Komplexität der zu testenden Anwendung arbeiten wir uns in die Funktionalität der Anwendung ein. Bei komplexen Anwendungen kann dies auch in einem gemeinsamen Workshop erfolgen.

  • Automatisierte Scans

    Mit automatisierten Scans prüfen wir die Anwendung auf häufige Probleme und Fehlkonfigurationen.

  • Manuelle Tests

    Den aufwendigsten Teil des Tests stellt die manuelle Testphase dar. Dabei nutzen unsere Tester ihre Erfahrung, um neue Schwachstellen in der Anwendung zu identifizieren.

  • Analyse & Berichterstattung

    Die gefundenen Schwachstellen und Fehlkonfigurationen werden analysiert, dokumentiert und dazu passende Handlungsempfehlungen erstellt.

Nachbereitung und Abschluss

Im Anschluss an das Vulnerability Assessment erhalten Sie einen Bericht mit allen gefundenen Sicherheitsrisiken. Jeder Befund ist mit einer entsprechenden Risikoeinschätzung versehen, sodass Sie priorisiert die wichtigsten Probleme beheben können.

Falls Sie im Anschluss Fragen zum Bericht oder einzelnen Befunden haben, setzen wir uns gerne im Rahmen einer Ergebnisdiskussion mit Ihnen zusammen und besprechen mögliche Lösungsansätze.

Bei einem Vulnerability Assessment liegt der Fokus auf der Identifizierung von Schwachstellen. Bei einem Penetrationstest versuchen wir, vereinbarte Ziele zu erreichen und nutzen dafür Schwachstellen in Ihren IT-Systemen aus. Insofern findet sich ein Vulnerability Assessment auch als Teilaspekt in einem Pentest, geht aber üblicherweise deutlich darüber hinaus.

Durch die unterschiedliche Zielsetzung wird bei einem Vulnerability Assessment eine umfassendere Abdeckung angestrebt: Bei einem Penetrationstest ist mitunter eine Schwachstelle, über die das System kompromittiert werden kann, ausreichend, um das definierte Ziel zu erreichen. Bei einem Vulnerability Assessment hingegen ist es das Ziel, breitflächig möglichst viele Schwachstellen zu identifizieren.

Vulnerability Assessments sind vor allem vor dem initialen Release oder nach größeren Änderungen an Ihren Systemen sinnvoll. Beispiele hierfür können ein großes Update in der eigenen Anwendung sowie der Einkauf neuer externer Software sein.

Weiterhin kann es sich lohnen, in gewissen Zeitabständen Vulnerability Assessments zu wiederholen, damit auch neu entdeckte Angriffstechniken abgedeckt werden.