Hier finden Sie die Antworten auf Ihre Fragen

An dieser Stelle beantworten wir Ihnen häufig gestellte Fragen zu unseren Produkten und den im Zusammenhang mit unserem Tätigkeitsfeld stehenden Begrifflichkeiten.

Was ist der Unterschied zwischen einem Cyber Security Assessment und einem Penetrationstest?

Ziel eines Cyber Security Assessments ist es den „Gesundheitszustand“ der Landschaft Ihrer IT-Systeme und Applikationen festzustellen. Entsprechend der vereinbarten Assessmentausprägung wird hierbei sehr detailliert geprüft, ob (ausnutzbare) Schwachstellen existieren. Ein Penetrationstest fokussiert sich insbesondere auf die Analyse von einzelnen Anwendungen oder Netzwerken, um in erster Linie bisher unbekannte Schwachstellen aufzuspüren.

Wie läuft ein Assessment ab?

Zunächst besprechen wir mit Ihnen gemeinsam die Rahmenbedingungen vor und legen diese in einer Auftragsbeschreibung fest. Zusätzlich erhalten Sie von Laokoon Security ein sogenanntes Non Disclosure Agreement (NDA), das Ihnen den vertraulichen Umgang mit während des Tests aufgedeckten Informationen garantiert. Je nach Ausprägung der Testdurchführung (siehe „Ist für das Assessments physischer Zugang zu den Systemen erforderlich?“) erhalten Sie im Anschluss ein Implant bzw. eine Anleitung zum Konfigurieren des VPN-Endpunktes.

Der eigentliche Test benötigt im Anschluss wenige Tage. Wir stimmen den Zeitraum im Vorfeld mit Ihnen ab, sodass Sie genau wissen, wann die Durchführung beginnt und endet.

Im Anschluss erhalten Sie die Auswertung mitsamt unserer Empfehlungen im vereinbarten Format (siehe „Was erhalte ich am Ende eines Assessments?“).

Was erhalte ich am Ende eines Assessments?

Nach dem Assessment wird – entsprechend dem vorab vereinbarten Leistungsumfang – ein Managementreport (CSA Report im PDF-Format) oder eine Schwachstellenübersicht (Vuln- & Mitigation Sheet im Excel-Format) bereitgestellt. Wenn Sie möchten, stellen wir selbstverständlich auch beide Formate zur Verfügung. Darin finden Sie die unsererseits identifizierten Schwachstellen und Handlungsempfehlungen bzw. Anleitungen, wie die jeweiligen Lücken geschlossen werden können.

Welche Art von Test benötige ich für mein Unternehmen?

Mit unseren Produktpaketen haben wir versucht, Ihnen einen schnellen Überblick über unser Leistungsportfolio zu geben. Die Praxis hat gezeigt, dass der Alltag von Unternehmen nicht zu 100 % in eine Standardschablone passt. Gerne beraten wir Sie im Rahmen einer individuellen Online-Session, welche Pakete für Ihre jeweilige Organisation den meisten Mehrwert bieten. Unser oberstes Ziel ist hierbei, Ihren Bedarf bestmöglich zu decken.

Was kostet ein Assessment?

Unsere Grundüberzeugung ist, dass die Möglichkeit, einen Überblick über den eigenen IT-Security-Status zu erhalten, nicht am Budget scheitern darf. Wir haben die Basisversion für ein Assessment bewusst niedrig gehalten. Die genauen Kosten hängen allerdings vom Umfang Ihrer zu testenden Umgebung ab.

Ist für das Assessment physischer Zugang zu den Systemen erforderlich?

Nein, um den Aufwand und die Kosten für unsere Kunden in einem sinnvollen Rahmen zu halten, haben wir uns von Anfang an auf die „Remote-Durchführung“ unserer Assessments spezialisiert. Wie der Zugang zu den von uns zu testenden Systemen erfolgt, stimmen wir vorher mit Ihnen ab. Als Optionen stehen unter anderem ein direkter Zugang via VPN-Tunnel oder das Ausbringen eines hochabgesicherten Security-Implants zur Verfügung.

Unabhängig davon kann die Testdurchführung auf Ihren Wunsch natürlich auch bei Ihnen vor Ort erfolgen. Dies ist insbesondere dann sinnvoll, wenn Policy oder Richtlinien Ihrer Organisation physische Präsenz erfordern oder Ihnen der persönliche Kontakt vor Ort wichtig ist.

Und Ihre Firmendaten? Die bleiben natürlich jederzeit bei Ihnen vor Ort. Laokoon SecurITy überführt lediglich die Informationen zu kritischen Lücken in die eigene Umgebung, die für einen aussagekräftigen Report benötigt werden.

Was muss bzw. sollte ich zu einem Penetrationstest oder Cyber Security Assessment beitragen?

Gerade wenn das Assessment ausschließlich „remote“ durchgeführt wird, hilft eine bestenfalls detaillierte Dokumentation des vereinbarten Testobjekts (idealerweise mit einem Netzwerkplan, Beschreibung der Einzelsysteme, Applikationen etc.) dabei, den Auftrag zügig, reibungslos und ohne umfangreiche Rückfragen während des Assessments durchzuführen.

Sofern Ihnen gar keine Dokumentation vorliegt, beraten wir Sie gerne bezüglich weiterer Schritte.

Ist ein Assessment mit einer Zertifizierung zu vergleichen?

Ein Assessment ist eine Bestandsaufnahme, in der wir den „Gesundheitszustand“ Ihres Netzes oder Ihrer Applikation feststellen. Eine solche Bestandsaufnahme ist häufig Grundlage für die Durchführung einer Zertifizierung. Durch Laokoon Security selbst erfolgt jedoch im Rahmen der von uns angebotenen Cyber Security Assessments keine Zertifizierung. Gerne empfehlen wir Ihnen jedoch im Nachgang des Assessments Partner, die eine Zertifizierung bei Ihnen durchführen können.

Kann es bei der Durchführung von Pentests und Assessments zu Schäden kommen? Wenn ja: Wer kommt dafür auf?

Im Rahmen von Security Assessments sind in der Zusammenarbeit zwischen Laokoon Security und diversen Kunden bisher keine Schäden eingetreten. Bei der Durchführung von Assessments ist es jedoch nicht ganz auszuschließen, dass in Folge unserer Testhandlungen physische oder wirtschaftliche Schäden eintreten können. Sofern Laokoon Security schuldhaft gegen die mit Ihnen vorab festgelegten Testregeln verstoßen hat, haftet Laokoon Security selbstverständlich für die jeweiligen Schäden. Im Rahmen einer Haftpflichtversicherung sind auch umfangreichere Schäden abgedeckt. Die Details hierzu besprechen wir gerne mit Ihnen im Vorfeld der Auftragsvergabe.

Was passiert, wenn dennoch ungewollte Nebeneffekte auftreten?

Werden Ihrerseits Unregelmäßigkeiten erkannt, wie zum Beispiel nicht erklärbare betriebliche Störungen während der Testphase, können Sie jederzeit (24/7) den für das jeweilige Assessment zuständigen Ansprechpartner via Telefon oder Mail kontaktieren. Die Tests werden dann zunächst pausiert, um eine mögliche Auswirkung zu minimieren.

Im Anschluss suchen wir mit Ihnen gemeinsam nach der Ursache und stimmen das weitere Vorgehen mit Ihnen ab.

Wie lange dauert ein Assessment?

Die Dauer des Assessments richtet sich nach dem vereinbarten Assessmentumfang und der Größe des zu testenden Netzes bzw. der Anzahl und Ausprägung der zu testenden Systeme. Bei Applikationstests ist die Komplexität der zu testenden Applikation (Lines of Code, Schnittstellen, Sprache, etc.) maßgeblich.

Eine pauschale Aussage über die Dauer des Assessments zu treffen, ist daher recht komplex. Eine tatsächlich belastbare Aussage erhalten Sie, wenn Sie uns die Möglichkeit geben, Ihre Rahmenbedingungen gemeinsam mit Ihnen abzustecken und daraus den tatsächlichen Assessmentumfang abzuleiten.