Frequently Asked Questions
An dieser Stelle beantworten wir Ihnen häufig gestellte Fragen zu unseren Produkten und den im Zusammenhang mit unserem Tätigkeitsfeld stehenden Begrifflichkeiten.
-
Was ist ein Cyber Security Assessment oder Penetrationstest?
Ziel eines Cyber Security Assessments ist es den "Gesundheitszustand" der Landschaft Ihrer IT-Systeme und Applikationen festzustellen. Entsprechend der vereinbarten Assessmentsausprägung wird hierbei sehr detailliert geprüft ob (ausnutzbare) Schwachstellen existieren.
-
Wie läuft ein Assessment ab?
Zunächst besprechen wir mit Ihnen gemeinsam die Rahmenbedingungen vor und legen diese in einer Auftragsbeschreibung fest. Zusätzlich erhalten Sie von Laokoon Security ein sogenanntes Non Disclosure Agreement (NDA), dass Ihnen den vertraulichen Umgang mit während des Tests aufgedeckten Informationen garantiert. Je nach Ausprägung der Testdurchführung (siehe "Ist für das Assessments physischen Zugang zu den Systemen erfoderlich?") erhalten Sie im Anschluss ein Implant bzw. eine Anleitung zum Konfigurieren des VPN-Endpunktes.
Der eigentliche Test benötigt im Anschluss wenige Tage. Wir stimmen den Zeitraum im Vorfeld mit Ihnen ab, so dass Sie genau wissen, wann die Durchführung beginnt und endet.
Im Anschluss erhalten Sie die Auswertung mitsamt unserer Empfehlungen im vereinbarten Format (siehe "Was erhalte ich am Ende eines Assessments?").
-
Ist im Rahmen eines Assessments mit betrieblichen Einschränkungen zu rechnen?
Einschränkungen können grundsätzlich nicht ausgeschlossen werden. Wir sind allerdings bemüht, Friktionen frühzeitig zu erkennen und absehbare Ausfälle oder verlgeichbere Störungen mit Ihnen zu besprechen, bevor sie tatsächlich entstehen. Dabei halten wir uns an die von Ihnen vorgegeben Test-Zeitfenster.
-
Was kostet ein Assessment?
Unsere Grundüberzeugung ist, dass die Möglichkeit, einen Überblick über den eigenen IT-Securitystatus zu erhalten, nicht am Budget scheitern darf. Wir haben die Basisversion für ein Assessment bewusst niedrig gehalten. Die genauen Kosten hängen allerdings vom Umfang Ihrer zu testenden Umgebung ab.
-
Ist für das Assessments physischer Zugang zu den Systemen erfoderlich?
Nein, um den Aufwand und die Kosten für unsere Kunden in einem sinnvollen Rahmen zu halten, haben wir uns von Anfang auf die "Remote-Durchführung" unserer Assessments spezialisiert. Wie der Zugang zu den von uns zu testenden Systemen erfolgt, stimmen wir vorher mit Ihnen ab. Als Optionen stehen unter anderem ein direkter Zugang via VPN-Tunnel oder das Ausbringen eines hochabgesicherten Security-Implants zur Verfügung.
Unabhängig davon kann die Testdurchführung auf Ihren Wunsch natürlich auch vor Ort bei Ihnen erfolgen. Dies ist insbesondere dann sinnvoll, wenn Policy oder Richtlinien Ihrer Organisation physische Präsenz erfordern oder Ihnen der persönliche Kontakt vor Ort wichtig ist.
Und Ihre Firmendaten? Die bleiben natürlich jederzeit bei Ihnen vor Ort. Laokoon SecurITy überführt lediglich die Informationen zu kritischen Lücken in die eigene Umgebung, die für einen aussagekräftigen Report benötigt werden.
-
Was muss bzw. sollte ich zu einem PenTest oder Assessment beitragen?
Gerade wenn das Assessment ausschließlich "remote" durchgeführt wird, hilft eine bestenfalls detaillierte Dokumentation des vereinbarten Testobjekts (idealerweise mit einem Netzwerkplan, Beschreibung der Einzelsysteme, Applikationen, etc.) dabei, den Auftrag zügig, reibungslos und ohne umfangreiche Rückfragen während des Assessments durchzuführen.
Sofern Ihnen gar keine Dokumentation vorliegt, beraten wir Sie gerne bezüglich weiterer Schritte.
-
Wie lange dauert ein Assessment?
Die Dauer des Assessments richtet sich nach dem vereinbarten Assessmentsumfang und der Größe des zu testenden Netzes bzw. Anzahl und Ausprägung der zu testenden Systeme. Bei Applikationstests ist die Komplexität der zu testenden Applikation (Lines of Code, Schnittstellen, Sprache, etc.) maßgeblich.
Eine pauschale Aussage über die Dauer des Assessments zu treffen ist daher recht kompliziert. Eine tatsächlich belastbare Aussage erhalten Sie, wenn Sie uns die Möglichkeit geben, Ihre Rahmenbedinungen, wenn Sie möchten gemeinsam mit Ihnen abzustekcen und daraus den tatsächlichen Assessmentumfang abzuleiten. [[KONTAKT]]
Als grober Anhalt soll Ihnen jedoch folgendes Kalkulationsbeispiel dienen: Ein normales Assessment (eCSA) benötigt bis zu 2 Manntage pro Netz mit ca. 40 unteschiedlichen IT-Systemen, Clients und Servern. Zusätzlich werden etwa 1-2 Manntage je Assessment für die Vor- und Nachbereitung benötigt. Wünschen Sie die Assessmentsausprägung "Penetrationtest" (PT), kommen je Assessment noch einmal etwa 4 Manntage dazu.
-
Was passiert, wenn doch ungewollte Nebeneffekte auftreten?
Werden Ihrerseits Unregelmäßigkeiten erkannt, wie zum Beispiel nicht erklärbare betriebliche Störungen während der Testphase, können Sie jederzeit (24/7) den für das jeweilige Assessment zuständigen Ansprechpartner via Telefon oder Mail kontaktieren. Die Tests werden dann zunächst pausiert, um eine mögliche Auswirkung zu minimieren.
Im Anschluss suchen wir mit Ihnen gemeinsam nach der Ursache und stimmen das weitere Vorgehen mit Ihnen ab.
-
Wer kommt für etwaige Schäden auf?
Im Rahmen von Security Assessments sind in der Zusammenarbeit zwischen Laokoon Security und diversen Kunden bisher keine Schäden eingetreten. Bei der Durchführung von Assessments ist es jedoch nicht ganz auszuschließen, dass in Folge unserer Testhandlungen physische oder wirtschaftliche Schäden eintreten können. Sofern Laokoon Security schuldhaft gegen die mit Ihnen vorab festgelegten Testregeln verstoßen hat, haftet Laokoon Security selbstverständlich für die jeweiligen Schäden. Im Rahmen einer Haftpflichtversicherung sind auch umfangreichere Schäden abgedeckt. Die Details hierzu besprechen wir gerne mit Ihnen im Vorfeld jeder Auftragsvergabe.
-
Ist ein Assessment mit einer Zertifizierung zu vergleichen?
Ein Assessment ist eine Bestandsaufnahme, in der wir den "Gesundheitszustand" Ihres Netzes oder Ihrer Applikation feststellen. Eine solche Bestandsaufnahme ist häufig Grundlage für die Durchführung einer Zertifzierung. Durch Laokoon Security selbst erfolgt jedoch im Rahmen der von uns angebotenen Cyber Security Assessments keine Zertifizierung. Gerne empfehlen wir Ihnen jedoch im Nachgang das Assessments Partner, die eine Zertifizierung bei Ihnen durchführen können.
-
Was erhalte ich am Ende eines Assessments?
Nach dem Assessment wird - entsprechend dem vorab vereinbarten Leistungsumfang - ein Managementreport (CSA Report im PDF-Format) oder eine Schwachstellenübersicht (Vuln- & Mitigation Sheet im Excel-Format) bereitgestellt. Wenn Sie möchten, stellen wir selbstverständlich auch beide Formate zur Verfügung. Darin finden Sie die unsererseits identifizierten Schwachstellen und Handlungsempfehlungen bzw. Anleitungen wie die jeweiligen Lücken geschlossen werden können.
-
Ich bin mir nicht sicher welchen Test ich brauche.
Mit unseren Produktpaketen haben wir versucht, Ihnen einen schnellen Überblick über unser Leistungsportfolio zu geben. Die Praxis hat gezeigt, dass der Alltag von Unternehmen nicht zu 100% in eine Standardschablone passt. Gerne beraten wir Sie im Rahmen einer individuellen Online-Session, welche Pakete für Ihre jeweilige Organisation den meisten Mehrwert bieten. Unser oberstes Ziel ist hierbei, dass Ihr Bedarf bestmöglich gedeckt wird.
-
Machen Sie auch Vorträge / Live Hacking?
Gerade im Umfeld der IT-Security hat sich in den letzten Jahren mehr und mehr gezeigt, dass die Awareness von Mitarbeitern eine ganz zentralen Rolle spielt. Uns ist es daher wichtig, einem breiten Publikum aktuelle Beispiele von IT-Security-Vorfällen näher zu bringen und anhand eingehender Beispiele Verständnis dafür zu schaffen, wie einfach der "Faktor Mensch" geschickten Angreifern förmlich die Tür öffnet.
Nach Möglichkeit schneiden wir die Vorträge oder Live Hacking Veranstaltungen gemeinsam mit Ihnen auf Ihren Unternehmenskontext zu. Sprechen Sie uns daher gerne an.