Security Scans

System & Web Application Scan

Der schnelle Einstieg in Ihre Sicherheitsanalyse

Gerade von außen erreichbare Systeme und Applikationen sind besonderen Gefahren ausgesetzt. Sind beispielsweise IT-Systeme nicht verfügbar, gefährdet dies binnen Minuten die Kundenzufriedenheit, binnen weniger Stunden die Reputation, binnen weniger Tage die Existenz.

Hacker greifen sowohl die auf IT-Systemen erreichbaren Dienste als auch die darauf laufenden Webapplikationen an. Unsere Security Scans werden daher sowohl für IT-Systeme in Form des System Security Scans als auch für Webapplikationen mit dem Web Application Security Scan angeboten. Denn nur so ist ein ganzheitlicher Sicherheitsüberblick möglich.

Welche Scanarten bieten wir an?

 

System Security Scan

Mit unseren System Security Scans überprüfen Sie Ihre internen und externen IT-Systeme (z.B. Webserver, Mailserver, Fileserver) auf viele tausend bekannte Schwachstellen, stets anhand aktueller Erkenntnisse. Wir arbeiten mit normierten, international anerkannten Verfahren und orientieren uns bei der Bewertung des Scanergebnisses an renommierten Sicherheitsstandards. Scans können sowohl extern über das Internet (Externe System Security Scans) als auch ergänzend intern mittels VPN Tunnel (Interne System Security Scans) durchgeführt werden.

 

Web Application Security Scan 

Mit unserem Web Application Security Scan können Sie Ihre externen (aus dem Internet erreichbaren) und internen Webapplikationen auf Schwachstellen und Verwundbarkeiten überprüfen lassen. Möchten Sie die Webapplikation auch „hinter dem Login“ überprüfen und damit den Bereich mit besonders sensitiven Daten, wird ein authentisierter Scan nötig. Dafür nutzen Sie unseren Web Application Security Scan, der mithilfe Ihrer bereitgestellten Zugangsdaten einer Benutzerrolle durchgeführt wird. Mit dem Web Application Security Scan werden häufig anzutreffende Sicherheitslücken identifiziert. Dazu gehören:

  • Cross-Site Scripting (XSS)
  • SQL, Command und XPath Injections
  • Directory und Path Traversal
  • Security Misconfigurations

 

Security Scan Facts

Ihr Titel

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Welche Phasen umfasst ein System Security Scan?

Planung 

In der Planungsphase werden die IP-Adressen der zu scannenden IT-Systeme mit Ihnen abgestimmt. Außerdem wird das Zeitfenster des Scans festgelegt. Bei Bedarf bauen wir den VPN-Tunnel gemeinsam mit Ihnen auf (für interne Scans).

Scan

Wir überprüfen mit einem normierten, international anerkannten Verfahren Ihre IT-Systeme auf relevante Sicherheitslücken und Auffälligkeiten. Erkannte Schwachstellen werden dabei nicht ausgenutzt. Eine Gefährdung des ordnungsgemäßen Betriebs Ihrer IT-Systeme ist somit nahezu ausgeschlossen.

Review

Einer unserer IT-Sicherheitsexperten führt ein Review Ihres Scanergebnisses durch. Bei der Bewertung der Schwachstellen orientieren wir uns dabei an internationalen und renommierten Sicherheitsstandards.

Bericht

Abschließend erhalten Sie einen umfassenden Bericht bestehend aus einer Executive Summary und einem Technical Report in Englisch. Die Kritikalität von Schwachstellen sowie deren Eintrittswahrscheinlichkeiten werden aufgezeigt und Maßnahmenempfehlungen ausgesprochen.

Welche Phasen umfasst ein Security Scan auf Webapplikationen?

Planung 

In der Planungsphase werden die zu scannende Webapplikation bzw. Informationen zur URL der Webapplikation und die Formularparameter für den Login mit Ihnen abgestimmt. Optional ist der Aufbau einer VPN-Verbindung möglich. Außerdem wird das Zeitfenster des Scans festgelegt.

Scan

Wir überprüfen mit einem normierten, international anerkannten Verfahren Ihre Webapplikation. Berücksichtigt werden alle öffentlich sowie falls vorhanden nicht öffentlichen Webseiten hinter einer Login-Maske. Hierfür stellen Sie uns einen Testnutzer (max. 1 Rolle) zur Verfügung. Im ersten Schritt enumeriert unser Scanner dabei die verschiedenen Bestandteile Ihrer Applikation. Gerne können Sie uns durch die Bereitstellung einer vollständigen Sitemap unterstützen, damit wir die gesamte Abdeckung der Applikation gewährleisten können. Im Anschluss daran führt unser Scanner die eigentliche Überprüfung der ermittelten Applikationsteile durch. Erkannte Schwachstellen werden nicht ausgenutzt. Eine Gefährdung des ordnungsgemäßen Betriebs Ihrer IT-Systeme und Applikationen ist somit nahezu ausgeschlossen.

Review

Einer unserer IT-Sicherheitsexperten führt ein Review Ihres Scanergebnisses durch. Bei der Bewertung der Schwachstellen orientieren wir uns dabei an internationalen und renommierten Sicherheitsstandards.

Bericht

Abschließend erhalten Sie einen umfassenden Bericht bestehend aus einer Executive Summary und einem Technical Report in Englisch. Die Kritikalität von Schwachstellen sowie deren Eintrittswahrscheinlichkeiten werden aufgezeigt und Maßnahmenempfehlungen ausgesprochen.

Wo wird die Leistung erbracht?

Die Leistungserbringung erfolgt von den Büros der usd über das Internet. Sofern interne IT-Systeme und Applikationen geprüft werden, erfolgt dies über eine gesicherte, verschlüsselte Verbindung. Auf Wunsch kann die Leistungserbringung auch vor Ort erfolgen.

Ist es sinnvoll, beide Scanverfahren zu kombinieren?

Hacker greifen sowohl die auf einem IT-Systeme erreichbaren Dienste als auch die darauf laufenden Webapplikationen an. Beide Scanleistungen in Kombination erlauben einen ganzheitlicheren Sicherheitsüberblick. Sprechen Sie uns diesbezüglich gerne an.

Wie häufig sollte gescannt werden?

Grundsätzlich empfehlen wir, IT-Systeme und Webapplikationen regelmäßig zu scannen, um auf ständig neue Angriffsszenarien vorbereitet zu sein. Wir bieten Ihnen daher neben dem Einmal-Scan auch Jahrespakete mit jeweils 4 Scans für quartalweise Scans an. Sie selbst wählen bei der Beauftragung aus, in welchen Intervallen Sie scannen möchten.

Kann Beratung in Anspruch genommen werden?

Sie werden mit dem Ergebnis nicht allein gelassen. Bei Fragen oder Problemen unterstützen Sie unsere Expert*innen gerne.

Planen Sie jetzt Ihren Pentest und erhalten Sie unseren Online-Rabatt.

Pentest planen


 

Kontakt

Sie haben Fragen oder Interesse? Sprechen Sie uns gerne an.

 

Telefon: +49 6102 8631-190
E-Mail: vertrieb@usd.de
PGP Key
S/MIME
Kontaktformular

 

Daniel Heyne
usd Team Lead Sales,
Security Consultant Pentest, OSCP, OSCE