Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit

Beste Live-Hacking-Demo gesucht um Initiierungsprozess in Gang zu bringen

Mitglied: krella

krella (Level 1) - Jetzt verbinden

23.07.2010 um 13:07 Uhr, 3521 Aufrufe, 6 Kommentare

Hallo zusammen,

unser Chef (ca. 800 Mitarbeiter) lässt das Thema IT-Sicherheit sehr schleifen und kommt einfach im Initiierungsprozess nicht zu Potte.

M.E. nimmt er das Thema nicht ernst genug, sondern gibt nur vor, dass er es für wichtig hält.

Deshalb möchte ich ihm durch einen Experten zeigen, wie einfach es sein kann, an die Unternehmenswerte (Informationen) dranzukommen.

Hierzu brauche ich aber den besten Whitehat & Penetration Tester Deutschlands.

Hat jemand Erfahrungen mit solchen Dienstleistern?

Viele Grüße
Mitglied: maretz
23.07.2010 um 13:16 Uhr
Moin,

nun - hier gibt es jetzt 2 Möglichkeiten:

a) Du machst das ohne Wissen des Chefs -> dürfte zu deinem Jobwechsel führen. Nämlich wechselst du von deinem Büro auf die Strasse...
b) Du müsstest bei deinem Chef die Kohle für sowas locker machen -> vermutlich nicht sonderlich einfach! Grad wenn du "den besten" willst dann lässt dieser sich das auch gut bezahlen.

Von daher würde ich gucken wie man sowas elegant umgehen kann. Sei es durch eigene Tests der Sicherheits-Systeme und gucken wie man dafür günstige Lösungen hinbekommt. Oder eben durch Infos an den Chef was das große Problem ist. Im Endeffekt läuft es dann darauf raus das ER der Chef ist. D.h. sagt er das er das so hinnimmt dann ist es egal ob DU glaubst das es nicht wichtig genommen wird. Der Chef hat eben nen Streifen mehr auf der Schulter und entscheidet...

Und nebenbei: Bei 800 Mitarbeitern würde ich dann auch nicht vergessen das nen Test von Extern eher unsinnig ist. Klar - man kann euch von aussen angreiffen. Die Gefahr geht aber da eher von "innen" aus:
- Unzufriedener Mitarbeiter ändert/löscht daten
- Mitarbeiter kopiert sich die Kundenliste bevor er zur Konkurrenz wechselt
- Passwörter liegen offen rum
- Mitarbeiter kopiert / versendet Daten ohne zu hinterfragen (auch an externe Personen!)
- ...
Hier liegt m.E. das größere Risiko. Und hier kann man oft ohne viel Geld und mit überschaubaren Aufwand schonmal selbst nen Test machen...
Bitte warten ..
Mitglied: krella
23.07.2010 um 13:22 Uhr
Hallo Maretz,

danke für den Beitrag.

Dass der Anteil von Sicherheitsvorfällen von innen kommt, ist mir bekannt.

Trotzdem halte ich die Bedrohung von aussen für genauso real.

Und wenn ich diese Bedrohung meinem Chef noch in einer Live-Hacking-Demo unter Beweis stellen kann, wo er nur mit den Ohren schlackert,
dann wird er schon etwas Geld für ein ISMS locker machen. Da bin ich sicher.

Übrigens: ich habe schon Angebot vorliegen, darunter gibt es auch jemanden, der eine kostenlose Presales-Veranstaltung durchführen würde...

An alle anderen: Bitte Top-Penetration-Tester posten. Danke.
Bitte warten ..
Mitglied: Kentarion
23.07.2010 um 13:51 Uhr
Servus,

man braucht ja nur mal kurz ne google suche nach penetration test machen - gibt ja genug unternehmen die das anbieten.

empfehlen würde ich diese lektüre:

BSI-Studie "Durchführungskonzept für Penetrationstests"

Besonders herausheben möchte ich davon:
2.2 IT-Sicherheitsmaßnahmen

Um den beschriebenen Gefahren entgegenzuwirken, sind Maßnahmen zur Steigerung der ITSicherheit
zu ergreifen. Dabei ist jedoch zu beachten, dass eine hundertprozentige Sicherheit
grundsätzlich nicht erreicht werden kann. Es lassen sich organisatorische, wie z. B. IT Sicherheitsorganisation
und Eskalationsvorschriften, technische Maßnahmen, wie Zugriffsschutzmechanismen,
Verschlüsselung und Firewalls zur Etablierung eines bestimmten IT-Sicherheitsniveaus unterscheiden.
Diese werden unter Berücksichtigung der unternehmensweiten IT-Sicherheitsleitlinie („IT-Security
Policy“) in einem organisationsweiten IT-Sicherheitskonzept zusammengeführt.

Falls die zu prüfende Organisation kein Sicherheitskonzept bzw. keine Sicherheitsleitlinien vorlegen
kann, ist es vor allem bei einer komplexen IT-Landschaft fragwürdig, ob die Durchführung eines
Penetrationstests überhaupt sinnvoll ist. Vermutlich wäre es für eine Steigerung der IT-Sicherheit viel
effizienter, zunächst ein geeignetes Sicherheitskonzept zu erarbeiten und umzusetzen.



lg

Michi
Bitte warten ..
Mitglied: krella
23.07.2010 um 13:54 Uhr
Hallo Leute,

hier noch einmal die Bitte:

Ich brauche eigentlich nur solche Postings von Leuten, die bereits Erfahrungen mit Dienstleistern gemacht haben.

Vielleicht kleine Erfahrungsberichte dazupacken, das wäre genial.

Vielen Dank.
Bitte warten ..
Ähnliche Inhalte
CMS
Joomla Instanz auf Hacking Scannen
Frage von sbsnewbieCMS1 Kommentar

Moin Leude, ich habe seit heute morgen ein Problem mit unserer Joomlainstanz. Es hat den Anschein, als hätte ein ...

Linux
LDAP Demo Server aufsetzen
Frage von schrodtiLinux1 Kommentar

Hallo, würde gerne für eine Präsentation einen kleinen Linuxbasierten LDAP Server in einer VM aufsetzen und diesen mit ein ...

Microsoft
Demo Skype for Business
gelöst Frage von malikaMicrosoft9 Kommentare

Hallo zusammen, ich möchte gerne wissen, ob Skype for Business als Demoiversion vorhanden ist. Ich würde den gerne in ...

Sicherheits-Tools
Gutes einfach zu bedienendes VPN gesucht - am besten kostenlos
gelöst Frage von power-userSicherheits-Tools19 Kommentare

HI, VPN-Tools gibts ja in Hülle und Fülle - doch ich suche eins, dass nicht nur einfach zu bedienen ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

Monitoring
VPN Performance Zyxel-Fritte
gelöst Frage von HenereMonitoring13 Kommentare

Servus, nachdem ihr mir ja schon so gut helfen konntet, was das VPN zwischen Zyxel USG60W und Fritte 7490 ...

Sicherheit
Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen
Information von FrankSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...