Hier finden Sie die Antworten auf Ihre Fragen

Ziel eines Cyber Security Assessments ist es den „Gesundheitszustand“ der Landschaft Ihrer IT-Systeme und Applikationen festzustellen. Entsprechend der vereinbarten Assessmentsausprägung wird hierbei sehr detailliert geprüft ob (ausnutzbare) Schwachstellen existieren. Ein Penetrationstest fokussiert sich insbesondere auf die Analyse von einzelnen Anwendungen oder Netzwerken, um in erster Linie bisher unbekannte Schwachstellen aufzuspüren.

Zunächst besprechen wir mit Ihnen gemeinsam die Rahmenbedingungen vor und legen diese in einer Auftragsbeschreibung fest. Zusätzlich erhalten Sie von Laokoon Security ein sogenanntes Non Disclosure Agreement (NDA), dass Ihnen den vertraulichen Umgang mit während des Tests aufgedeckten Informationen garantiert. Je nach Ausprägung der Testdurchführung (siehe „Ist für das Assessments physischen Zugang zu den Systemen erfoderlich?“) erhalten Sie im Anschluss ein Implant bzw. eine Anleitung zum Konfigurieren des VPN-Endpunktes.

Der eigentliche Test benötigt im Anschluss wenige Tage. Wir stimmen den Zeitraum im Vorfeld mit Ihnen ab, so dass Sie genau wissen, wann die Durchführung beginnt und endet.

Im Anschluss erhalten Sie die Auswertung mitsamt unserer Empfehlungen im vereinbarten Format (siehe „Was erhalte ich am Ende eines Assessments?“).

Nach dem Assessment wird – entsprechend dem vorab vereinbarten Leistungsumfang – ein Managementreport (CSA Report im PDF-Format) oder eine Schwachstellenübersicht (Vuln- & Mitigation Sheet im Excel-Format) bereitgestellt. Wenn Sie möchten, stellen wir selbstverständlich auch beide Formate zur Verfügung. Darin finden Sie die unsererseits identifizierten Schwachstellen und Handlungsempfehlungen bzw. Anleitungen wie die jeweiligen Lücken geschlossen werden können.

Mit unseren Produktpaketen haben wir versucht, Ihnen einen schnellen Überblick über unser Leistungsportfolio zu geben. Die Praxis hat gezeigt, dass der Alltag von Unternehmen nicht zu 100% in eine Standardschablone passt. Gerne beraten wir Sie im Rahmen einer individuellen Online-Session, welche Pakete für Ihre jeweilige Organisation den meisten Mehrwert bieten. Unser oberstes Ziel ist hierbei, dass Ihr Bedarf bestmöglich gedeckt wird.

Unsere Grundüberzeugung ist, dass die Möglichkeit, einen Überblick über den eigenen IT-Securitystatus zu erhalten, nicht am Budget scheitern darf. Wir haben die Basisversion für ein Assessment bewusst niedrig gehalten. Die genauen Kosten hängen allerdings vom Umfang Ihrer zu testenden Umgebung ab.

Nein, um den Aufwand und die Kosten für unsere Kunden in einem sinnvollen Rahmen zu halten, haben wir uns von Anfang auf die „Remote-Durchführung“ unserer Assessments spezialisiert. Wie der Zugang zu den von uns zu testenden Systemen erfolgt, stimmen wir vorher mit Ihnen ab. Als Optionen stehen unter anderem ein direkter Zugang via VPN-Tunnel oder das Ausbringen eines hochabgesicherten Security-Implants zur Verfügung.

Unabhängig davon kann die Testdurchführung auf Ihren Wunsch natürlich auch vor Ort bei Ihnen erfolgen. Dies ist insbesondere dann sinnvoll, wenn Policy oder Richtlinien Ihrer Organisation physische Präsenz erfordern oder Ihnen der persönliche Kontakt vor Ort wichtig ist.

Und Ihre Firmendaten? Die bleiben natürlich jederzeit bei Ihnen vor Ort. Laokoon SecurITy überführt lediglich die Informationen zu kritischen Lücken in die eigene Umgebung, die für einen aussagekräftigen Report benötigt werden.

Gerade wenn das Assessment ausschließlich „remote“ durchgeführt wird, hilft eine bestenfalls detaillierte Dokumentation des vereinbarten Testobjekts (idealerweise mit einem Netzwerkplan, Beschreibung der Einzelsysteme, Applikationen, etc.) dabei, den Auftrag zügig, reibungslos und ohne umfangreiche Rückfragen während des Assessments durchzuführen.

Sofern Ihnen gar keine Dokumentation vorliegt, beraten wir Sie gerne bezüglich weiterer Schritte.

Ein Assessment ist eine Bestandsaufnahme, in der wir den „Gesundheitszustand“ Ihres Netzes oder Ihrer Applikation feststellen. Eine solche Bestandsaufnahme ist häufig Grundlage für die Durchführung einer Zertifzierung. Durch Laokoon Security selbst erfolgt jedoch im Rahmen der von uns angebotenen Cyber Security Assessments keine Zertifizierung. Gerne empfehlen wir Ihnen jedoch im Nachgang das Assessments Partner, die eine Zertifizierung bei Ihnen durchführen können.

Im Rahmen von Security Assessments sind in der Zusammenarbeit zwischen Laokoon Security und diversen Kunden bisher keine Schäden eingetreten. Bei der Durchführung von Assessments ist es jedoch nicht ganz auszuschließen, dass in Folge unserer Testhandlungen physische oder wirtschaftliche Schäden eintreten können. Sofern Laokoon Security schuldhaft gegen die mit Ihnen vorab festgelegten Testregeln verstoßen hat, haftet Laokoon Security selbstverständlich für die jeweiligen Schäden. Im Rahmen einer Haftpflichtversicherung sind auch umfangreichere Schäden abgedeckt. Die Details hierzu besprechen wir gerne mit Ihnen im Vorfeld jeder Auftragsvergabe.

Werden Ihrerseits Unregelmäßigkeiten erkannt, wie zum Beispiel nicht erklärbare betriebliche Störungen während der Testphase, können Sie jederzeit (24/7) den für das jeweilige Assessment zuständigen Ansprechpartner via Telefon oder Mail kontaktieren. Die Tests werden dann zunächst pausiert, um eine mögliche Auswirkung zu minimieren.

Im Anschluss suchen wir mit Ihnen gemeinsam nach der Ursache und stimmen das weitere Vorgehen mit Ihnen ab.

Die Dauer des Assessments richtet sich nach dem vereinbarten Assessmentsumfang und der Größe des zu testenden Netzes bzw. Anzahl und Ausprägung der zu testenden Systeme. Bei Applikationstests ist die Komplexität der zu testenden Applikation (Lines of Code, Schnittstellen, Sprache, etc.) maßgeblich.

Eine pauschale Aussage über die Dauer des Assessments zu treffen ist daher recht komplex. Eine tatsächlich belastbare Aussage erhalten Sie, wenn Sie uns die Möglichkeit geben, Ihre Rahmenbedinungen, gemeinsam mit Ihnen abzustecken und daraus den tatsächlichen Assessmentumfang abzuleiten.