Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Beste Live-Hacking-Demo gesucht um Initiierungsprozess in Gang zu bringen

Mitglied: krella

krella (Level 1) - Jetzt verbinden

23.07.2010 um 13:07 Uhr, 3533 Aufrufe, 6 Kommentare

Hallo zusammen,

unser Chef (ca. 800 Mitarbeiter) lässt das Thema IT-Sicherheit sehr schleifen und kommt einfach im Initiierungsprozess nicht zu Potte.

M.E. nimmt er das Thema nicht ernst genug, sondern gibt nur vor, dass er es für wichtig hält.

Deshalb möchte ich ihm durch einen Experten zeigen, wie einfach es sein kann, an die Unternehmenswerte (Informationen) dranzukommen.

Hierzu brauche ich aber den besten Whitehat & Penetration Tester Deutschlands.

Hat jemand Erfahrungen mit solchen Dienstleistern?

Viele Grüße
Mitglied: maretz
23.07.2010 um 13:16 Uhr
Moin,

nun - hier gibt es jetzt 2 Möglichkeiten:

a) Du machst das ohne Wissen des Chefs -> dürfte zu deinem Jobwechsel führen. Nämlich wechselst du von deinem Büro auf die Strasse...
b) Du müsstest bei deinem Chef die Kohle für sowas locker machen -> vermutlich nicht sonderlich einfach! Grad wenn du "den besten" willst dann lässt dieser sich das auch gut bezahlen.

Von daher würde ich gucken wie man sowas elegant umgehen kann. Sei es durch eigene Tests der Sicherheits-Systeme und gucken wie man dafür günstige Lösungen hinbekommt. Oder eben durch Infos an den Chef was das große Problem ist. Im Endeffekt läuft es dann darauf raus das ER der Chef ist. D.h. sagt er das er das so hinnimmt dann ist es egal ob DU glaubst das es nicht wichtig genommen wird. Der Chef hat eben nen Streifen mehr auf der Schulter und entscheidet...

Und nebenbei: Bei 800 Mitarbeitern würde ich dann auch nicht vergessen das nen Test von Extern eher unsinnig ist. Klar - man kann euch von aussen angreiffen. Die Gefahr geht aber da eher von "innen" aus:
- Unzufriedener Mitarbeiter ändert/löscht daten
- Mitarbeiter kopiert sich die Kundenliste bevor er zur Konkurrenz wechselt
- Passwörter liegen offen rum
- Mitarbeiter kopiert / versendet Daten ohne zu hinterfragen (auch an externe Personen!)
- ...
Hier liegt m.E. das größere Risiko. Und hier kann man oft ohne viel Geld und mit überschaubaren Aufwand schonmal selbst nen Test machen...
Bitte warten ..
Mitglied: krella
23.07.2010 um 13:22 Uhr
Hallo Maretz,

danke für den Beitrag.

Dass der Anteil von Sicherheitsvorfällen von innen kommt, ist mir bekannt.

Trotzdem halte ich die Bedrohung von aussen für genauso real.

Und wenn ich diese Bedrohung meinem Chef noch in einer Live-Hacking-Demo unter Beweis stellen kann, wo er nur mit den Ohren schlackert,
dann wird er schon etwas Geld für ein ISMS locker machen. Da bin ich sicher.

Übrigens: ich habe schon Angebot vorliegen, darunter gibt es auch jemanden, der eine kostenlose Presales-Veranstaltung durchführen würde...

An alle anderen: Bitte Top-Penetration-Tester posten. Danke.
Bitte warten ..
Mitglied: Kentarion
23.07.2010 um 13:51 Uhr
Servus,

man braucht ja nur mal kurz ne google suche nach penetration test machen - gibt ja genug unternehmen die das anbieten.

empfehlen würde ich diese lektüre:

BSI-Studie "Durchführungskonzept für Penetrationstests"

Besonders herausheben möchte ich davon:
2.2 IT-Sicherheitsmaßnahmen

Um den beschriebenen Gefahren entgegenzuwirken, sind Maßnahmen zur Steigerung der ITSicherheit
zu ergreifen. Dabei ist jedoch zu beachten, dass eine hundertprozentige Sicherheit
grundsätzlich nicht erreicht werden kann. Es lassen sich organisatorische, wie z. B. IT Sicherheitsorganisation
und Eskalationsvorschriften, technische Maßnahmen, wie Zugriffsschutzmechanismen,
Verschlüsselung und Firewalls zur Etablierung eines bestimmten IT-Sicherheitsniveaus unterscheiden.
Diese werden unter Berücksichtigung der unternehmensweiten IT-Sicherheitsleitlinie („IT-Security
Policy“) in einem organisationsweiten IT-Sicherheitskonzept zusammengeführt.

Falls die zu prüfende Organisation kein Sicherheitskonzept bzw. keine Sicherheitsleitlinien vorlegen
kann, ist es vor allem bei einer komplexen IT-Landschaft fragwürdig, ob die Durchführung eines
Penetrationstests überhaupt sinnvoll ist. Vermutlich wäre es für eine Steigerung der IT-Sicherheit viel
effizienter, zunächst ein geeignetes Sicherheitskonzept zu erarbeiten und umzusetzen.



lg

Michi
Bitte warten ..
Mitglied: krella
23.07.2010 um 13:54 Uhr
Hallo Leute,

hier noch einmal die Bitte:

Ich brauche eigentlich nur solche Postings von Leuten, die bereits Erfahrungen mit Dienstleistern gemacht haben.

Vielleicht kleine Erfahrungsberichte dazupacken, das wäre genial.

Vielen Dank.
Bitte warten ..
Ähnliche Inhalte
CMS
Joomla Instanz auf Hacking Scannen
Frage von sbsnewbieCMS1 Kommentar

Moin Leude, ich habe seit heute morgen ein Problem mit unserer Joomlainstanz. Es hat den Anschein, als hätte ein ...

Linux
LDAP Demo Server aufsetzen
Frage von schrodtiLinux1 Kommentar

Hallo, würde gerne für eine Präsentation einen kleinen Linuxbasierten LDAP Server in einer VM aufsetzen und diesen mit ein ...

Microsoft
Demo Skype for Business
gelöst Frage von malikaMicrosoft9 Kommentare

Hallo zusammen, ich möchte gerne wissen, ob Skype for Business als Demoiversion vorhanden ist. Ich würde den gerne in ...

Sicherheits-Tools

Gutes einfach zu bedienendes VPN gesucht - am besten kostenlos

gelöst Frage von power-userSicherheits-Tools19 Kommentare

HI, VPN-Tools gibts ja in Hülle und Fülle - doch ich suche eins, dass nicht nur einfach zu bedienen ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 3 TagenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 3 TagenRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 3 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 4 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux22 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

Netzwerkgrundlagen
VLAN - Offene Fragen
Frage von KnettenbrechNetzwerkgrundlagen17 Kommentare

Hallo zusammen, ich befasse mich derzeit mit dem Thema VLAN. Hierzu habe ich schon einige Guides gelesen, einschließlich des ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server13 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...

Router & Routing
VPN hinter zweiter Fritzbox nutzen im Nachbarhaus
gelöst Frage von georg2204Router & Routing11 Kommentare

Hallo zusammen, ich blicke hier leider nicht mehr so ganz durch. In Haus 1 steht eine Fritzbox 7390, diese ...