[datensicherheit.de, 02.02.2025] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zum nächsten „Awareness“-Web-Seminar mit dem Titel „Penetrationstest oder technisches Audit: Wo ist der Unterschied und was ist wann sinnvoll?“ ein. „Penetrationstests und technische Audits sind zentrale Bausteine der IT-Sicherheit – doch was unterscheidet sie, und wann ist welche Methode sinnvoll?“ Dieser Vortrag soll die Unterschiede beleuchten, Einsatzmöglichkeiten aufzeigen und praktische Entscheidungshilfen liefern:

Abbildung: it’s.BB

Dieser it’s.BB-Vortrag soll Unterschiede beleuchten, Einsatzmöglichkeiten aufzeigen und praktische Entscheidungshilfen liefern

Web-Seminar des it’s.BB e.V. am 12. Februar 2025 via „MS Teams“-Plattform

Das Web-Seminar wird wieder in Zusammenarbeit mit der IHK Berlin organisiert.

„Penetrationstest oder technisches Audit: Wo ist der Unterschied und was ist wann sinnvoll?“
Mittwoch, 12. Februar 2025, von 16.00 bis 17.00 Uhr
Online-Veranstaltung auf Basis der „MS Teams“-Plattform
Teilnahme kostenlos, Online-Anmeldung erforderlich (s.u.)

Agenda (ohne Gewähr)

16.00-16.10 Uhr Begrüßung
– Anna Borodenko, Referentin für „Digitalisierung und Cybersicherheit“, IHK Berlin
– Alina Strybko, Netzwerkmanagerin it’s.BB e.V.
– Anna Hartig, Senior Consultant HiSolutions AG

16.10-16.45 Uhr
Einleitung: „Warum sind Sicherheitsprüfungen unerlässlich?“
Definitionen: „Was ist ein Penetrationstest? Was ist ein technisches Audit?“
Unterschiede im Detail: „Zielsetzung, Methodik und Ergebnisse“
Einsatzgebiete: „Wann ist welcher Ansatz sinnvoll?“
Praxisbeispiele: „Erfolgreiche Anwendung von Penetrationstests und technischen Audits“
– Anna Hartig, HiSolutions AG

16.45-17.00 Uhr Fragen / Diskussion / Abschluss

Zur Online-Anmeldung:

eventbrite, it’s.BB e.V. (IT-Sicherheitsnetzwerk Berlin-Brandenburg)
Mittwoch, 12. Februar / Penetrationstest oder technisches Audit / Wo ist der Unterschied und was ist wann sinnvoll?

[datensicherheit.de, 02.02.2023] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zu einem Web-Seminar zum Thema „Was ist ein Penetrationstest? Vorgehen, Praxisbeispiele und Mehrwert“ am 15. Februar 2023 ein:

Abbildung: it’s.BB e.V.

it’s.BB: Ein Weg, um die Schwachstellen im Unternehmen aufzudecken sind Penetrationstests

Im Rahmen der it’s.BB-Veranstaltung wird das Vorgehen bei einem Penetrationstest aufgezeigt

Auch im letzten Jahr, 2022, ist die Bedrohungslage durch Cyber-Angriffe ganz offensichtlich gewachsen – dies sei auch dem betreffenden BSI-Bericht zu entnehmen.

Ein Weg, um die Schwachstellen im Unternehmen aufzudecken seien Penetrationstests: „Im Rahmen des Webinars zeigen wir Ihnen das Vorgehen bei einem Penetrationstest auf und welche unterschiedlichen Tests es gibt.“

Was ist ein Penetrationstest? Vorgehen, Praxisbeispiele und Mehrwert – eine it’s.BB-Online-Veranstaltung

Web-Seminar am Mittwoch, dem 15. Februar 2023 von 16.00 bis 17.00 Uhr
Die Teilnahme ist nach Angaben des Veranstalters kostenlos – eine Anmeldung ist erforderlich.

Agenda (ohne Gewähr)

16.00-16.10 Uhr: Begrüßung

• Carsten Vossel, CCVOSSEL GmbH
• Henrik Holst, IHK Berlin

16.10-16.45 Uhr:

• „Was ist ein Penetrationstest und welche Unterschiede gibt es?“
• „Warum Angst kein guter Berater ist“
• „Wie ist das Vorgehen beim Test (von der Vorbereitung bis zur Abschlussberatung)?“
• Praxisbeispiele

Referent: Carsten Vossel – CCVOSSEL GmbH

16.45-17.00 Uhr: Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema und Anmeldung:

eventbrite, it’s.BB e.V. (IT-Sicherheitsnetzwerk Berlin-Brandenburg)
Was ist ein Penetrationstest? Vorgehen, Praxisbeispiele und Mehrwert

[datensicherheit.de, 26.10.2012] Die HiSolutions AG erhielt am 18.10.2012 im Rahmen der Security-Messe it-sa in Nürnberg als erstes Unternehmen die Zertifizierung als Penetrationstest- Dienstleister.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) überprüfte für die Zertifizierung die Fachkompetenz der Mitarbeiter,
die eingesetzten Methoden und die Sicherheit der Informationsverarbeitung. Diese Zertifizierung gibt Behörden und Unternehmen mit sicherheitssensiblen Bereichen einen unabhängigen und objektiven Maßstab an die Hand, um Anbieter auszuwählen, die hohen Ansprüchen genügen.
Bereits letztes Jahr erhielt die HiSolutions AG offiziell als erstes Unternehmen die Zertifizierung als IT-Sicherheitsdienstleister für IS-Revision und IS-Beratung. Die HiSolutions AG hat damit als erstes Unternehmen in Deutschland die umfangreichen Anforderungen des BSI für beide Zertifizierungen erfüllt. Im Rahmen des Zertifizierungsverfahrens wurde HiSolutions im Hinblick auf das bestehende Qualitäts- und Sicherheitsmanagement, die eingesetzten Prüfmethoden sowie die technisch und infrastrukturell gebotene Sicherheit untersucht. Darüber hinaus mussten die entsprechenden Mitarbeiter eine mehrstündige praktische und theoretische Prüfung beim BSI ablegen und ihre Vertrauenswürdigkeit nachweisen.
Gerade in einem so sensiblen Bereich wie Penetrationstests, in dem der Dienstleister hoch vertrauliche Informationen über
Schwachstellen in IT-Systemen verarbeitet, war bisher der Anbietermarkt völlig unüberschaubar. Die Fragen „Wer kann wirklich
etwas, wer ist ein Scharlatan? Wer geht sensibel mit den Ergebnissen um oder schlachtet sie medial oder gar noch schlimmer aus?“ waren bisher für Unternehmen kaum zu beantworten.

Foto: Hisolutions AG

Übergabe des Zertifikats an Timo Kob, Vorstand der Hisolutions AG (r.), durch Bernd Kowalski vom BSI

Daher begrüßt die HiSolutions AG die Initiative des BSI und unterstützt sie durch ihre Teilnahme. „Wir hoffen, dass viele andere Anbieter unserem Beispiel folgen und diesen durchaus nicht trivialen Weg gehen, um so die Qualität der Projekte und das Vertrauen der Kunden zu stärken,“ erklärt Timo Kob, Vorstand der HiSolutions AG.

[datensicherheit.de, 15.09.2011] Die SecuFit GmbH, ein IT-Dienstleistungs- und Beratungsunternehmen mit Fokus auf Sicherheitsüberprüfungen, warnt vor erheblichen Sicherheitsrisiken im ERP-Umfeld:
Die Experten von SecuFit hätten nach eigenen Angaben in den vergangenen Monaten in Deutschland zahlreiche Unternehmen unterschiedlicher Größe untersucht. Im Fokus hätten dabei insbesondere die eingesetzten ERP-Systeme von SAP und die daran angebundenen Lösungen von Fremdanbietern gestanden. Demnach wiesen rund 80 Prozent der überprüften Unternehmen teils massive Sicherheitslücken auf. Typische Schwachstellen fänden sich vor allem im Bereich der Benutzerverwaltung und der Vergabe von Benutzerrechten.
Häufig verfügten Anwender über deutlich weiter reichende Rechte, als für ihren Tätigkeitsbereich eigentlich notwendig. Beinahe ein „Klassiker“ seien auch fest eingerichtete Administrator-Rollen – ursprünglich beispielsweise zum Test einer Erweiterung benötigt. Diese würden anschließend oft vergessen und nie wieder entfernt. Für potenzielle Angreifer stelle dies ein attraktives Einfallstor dar.
Wichtig zu wissen sei, dass Hacker nicht nur große Unternehmen und Konzerne im Visier hätten – neuen Erkenntnissen zufolge beträfen rund 90 Prozent der Angriffe mittelständische Unternehmen. In vielen Fällen bemerkten diese nicht einmal, gehackt worden zu sein, was den Schaden noch vergrößern könne.
Die Netzinfrastruktur sei nach den Erkenntnissen von SecuFit zwar insgesamt meistens besser gesichert als noch vor ein paar Jahren, allerdings sei die Anzahl der Schnittstellen innerhalb und außerhalb zum ERP-System um mehr als das Dreifache gestiegen. Im Vordergrund sollte für die haftende Geschäftsleitung stehen, sich einen Überblick über die Sicherheitssituation zu verschaffen.
Es sei für sie immer wieder erschreckend, wie leichtfertig Unternehmen mit ihren Daten umgingen, so Frank Wacker und Christian Rinner, Geschäftsführer der SecuFit GmbH. Oft seien die Firmennetzwerke grundsätzlich zwar gut abgesichert. Vernachlässigt würden aber häufig ERP- beziehungsweise SAP-typische Risiken. Dabei liefen gerade dort oft alle wichtigen, unternehmenskritischen Informationen zusammen. Versierte, professionelle Angreifer seien ganz gezielt auf der Suche nach solchen Hintertüren. Sie könnten Unternehmen nur dazu raten, auch ihr ERP-System innerhalb der globalen Sicherheitsstrategie entsprechend zu berücksichtigen. Sinnvoll sei auch die Einbindung in ein Identity-Management-System für die Benutzerverwaltung. Die Sicherheit für das ERP-System sollte immer nach dem Prinzip einer Waage aufgebaut sein – das „Gegengewicht“ zum angreifenden Hacker müsse schwer genug sein, um zu verhindern, dass aus der Waage ein „Katapult“ werde. Informationen stellten das „Kapital“ vieler Unternehmen dar – entsprechend gut sollten sie auch gesichert werden.
Die SecuFit GmbH mit Sitz in Dachau bei München führt für ihre Kunden unter anderem Penetrationstests durch. Mit speziellen „Ethical Hacker Tools“ könnten Angriffe simuliert und so die vorhandenen Abwehrmechanismen von IT-Infrastrukturen im Detail überprüft werden.

Weitere Informationen zum Thema:

SecuFit
Ist Ihre IT SeciFit?