- Anzeigen -


Penetrationstests in Bundesbehörden


TÜV Trust IT erweitert BSI-Zertifizierung als IT-Sicherheitsdienstleister für Penetrationstests
Anders als Audits zur Ermittlung von Schwachstellen stellen Penetrationstests risikobasierte Prüfungen dar, bei denen in definierten Szenarien gezielte Angriffe simuliert werden

(11.06.15) - TÜV Trust IT ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als IT-Sicherheitsdienstleister nun auch für Penetrationstests zertifiziert worden, nachdem für den Bereich IS-Revision und -Beratung bereits 2012 eine solche Zertifizierung erlangt worden war. Weltweit verfügen lediglich vier Sicherheitsspezialisten über eine Anerkennung als IT-Sicherheitsdienstleister für alle Geltungsbereiche durch das BSI.

Die Zertifizierungen dienen dazu, die Bundesbehörden bei ihrer fachlichen Auswahl von IT-Sicherheitsdienstleistern zu unterstützen. Insbesondere staatliche Organisationen mit sicherheitssensiblen Verhältnissen haben hohe Anforderungen an die Fachkompetenz, Zuverlässigkeit und Unabhängigkeit ihrer Dienstleistungspartner. Dies gilt auch für Penetrationstests, die der Sicherheitsuntersuchung von Systembestandteilen und Anwendungen eines Netzwerks- oder Softwaresystems dienen. Da die Prüfszenarien aufgrund der individuellen Situation der zu testenden Institution nur begrenzt standardisierbar sind, sollte die Durchführung Experten mit nachgewiesenem Know-how und langjähriger Erfahrung übertragen werden.

"Anders als Audits zur Ermittlung von Schwachstellen stellen Penetrationstests risikobasierte Prüfungen dar, bei denen in definierten Szenarien gezielte Angriffe simuliert werden", erläutert Detlev Henze, Geschäftsführer der TÜV Trust IT. "Aus den Ergebnissen wird eine fundierte Risikobewertung abgeleitet, die im Abschlussbericht durch konkrete Optimierungsvorschläge für die untersuchte Organisation ergänzt wird."

Mit der BSI-Zertifizierung hat TÜV Trust IT die besonderen Kompetenzen bestätigt bekommen, die für Penetrationstests in Bundesbehörden erforderlich sind. "Damit gehören wir zu den lediglich vier Sicherheitsspezialisten, die sowohl für Penetrationstests als auch für die IS-Revision und Beratung in öffentlichen Institutionen des Bundes zertifiziert sind", weist Detlev Henze auf die besondere Position der TÜV Trust IT im Markt der Sicherheitsdienstleistungen hin.

Die Anerkennung für die IS-Revision und Beratung durch das BSI wurde bereits vor drei Jahren erlangt. Dieser Kompetenznachweis erlaubt es, Behörden bei der Erstellung und Umsetzung eines Sicherheitskonzepts nach IT-Grundschutz, der regelmäßigen Durchführung von IS-Revisionen oder der Durchführung von Sicherheitsrevisionen in kritischen Geschäftsprozessen zu unterstützen, wie dies z.B. im 2007 veröffentlichten Umsetzungsplan Bund [UPBund] gefordert wird. Behörden können dafür ein Revisionsteam der TÜV Trust IT beauftragen, das die Effektivität der Sicherheitsorganisation überprüft und feststellt, ob eine Behörde vorgegebene Standards und gesetzliche Anforderungen im Bereich der Informationssicherheit einhält.

Vergleichbare Dienstleistungen für IS-Revision und Beratung als auch für Penetrationstests bietet die TÜV Trust IT auch für Wirtschaftsunternehmen an. "Die BSI-Zertifizierungen von IT-Sicherheitsdienstleistern bieten nicht nur für Behörden, sondern auch für alle anderen Unternehmen eine Hilfestellung, um einen Partner mit höchster Kompetenz auszuwählen und dabei die Spreu vom Weizen trennen zu können. Deshalb sehen wir unsere Zertifizierung auch außerhalb des behördlichen Umfelds als besonderes Herausstellungsmerkmal", erklärt Henze. (TÜV Trust IT: ra)

TÜV Trust IT: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Security & Safety-Services

  • Daten von der Hardware verschlüsselt

    Wer wertvolle Daten auf einem Handy hat, sollte es im Fall eines Schadens immer zunächst zur Datenrettung geben, bevor eine Reparatur des Geräts versucht wird. CBL Datenrettung weist darauf hin, dass dies in besonderem Maße für Smartphones mit Hardwareverschlüsselung gilt, wie iPhone X, Samsung Galaxy S8 oder Huawei P20. Der Grund: Während sonst das Chip-off-Verfahren auch bei stark beschädigten Geräten noch zur erfolgreichen Datenrettung führen kann, ist die Datenrettung bei Geräten mit Hardwareverschlüsselung noch aufwändiger. Hierbei muss man den Speicherchip und eine Kombination aus mehreren Bauteilen auf dem Mainboard, die das Sicherheitsmerkmal ergeben, gemeinsam provisorisch wieder zum Laufen bringen, um an die entschlüsselten Daten zu kommen.

  • Basis einer maßgeschneiderten Sicherheits-Roadmap

    Cylance bietet über ihre Cylance Consulting-Abteilung ab sofort Assessments und Beratungsdienstleistungen hinsichtlich der EU-Datenschutz-Grundverordnung/General Data Protection Regulation (DSGVO/GDPR) an. Dieses spezielle Beratungsangebot ist Teil der umfassenderen Cylance Consulting Services. Cybersicherheitsexperten von Cylance bieten Dienstleistungen und Beratungsangebote an, um Firmen beim Erfüllen der komplexen Compliance-Anforderungen zu unterstützen, die mit der DSGVO/GDPR einhergehen. Zusätzlich überprüfen die Berater potenzielle Sicherheitslücken, die nicht direkt unter diese Compliance-Anforderungen fallen. Ziel ist es, das Maximum aus den Investitionen zu ziehen, die Firmen in Sicherheitstechnologien und Personal getätigt haben.

  • Kompetent beraten mit dem Threat Advisor

    Controlware erweitert das Portfolio von Managed Cyber Defense Services um einen automatisierten, modularen "Vulnerability Management Service" (VMS). Dieser unterstützt Unternehmen beim Monitoring ihrer Assets und bei der Behebung gefährlicher Schwachstellen. Schwachstellen in Hard- und Software zählen zu den gefährlichsten Einfallstoren für Cyber-Angriffe: Die meisten Unternehmen haben Tausende von Systemen mit Zehntausenden potenziellen Schwachstellen im Einsatz. Die Erfahrung zeigt, dass diese Schwachstellen von Angreifern missbraucht werden, um Malware in die betroffenen Netzwerke zu schleusen, Daten zu stehlen und erheblichen Schaden anzurichten.

  • Neue Dienstleistung zur Bedrohungsüberwachung

    Bitdefender bietet Hilfe durch hauseigene Security-Spezialisten: Das Unternehmen startete den Dienst "Bitdefender GravityZone Managed Endpoint Detection and Response" (MEDR). Im Rahmen dieses neuen Services überwacht ein hochqualifiziertes Team Unternehmensumgebungen, um diese vor schwer erkennbarer Malware zu schützen und IT- und Sicherheitsteams über potenzielle Risiken zu informieren. Darüber hinaus empfiehlt es geeignete Präventions- und Abwehrmaßnahmen. Bitdefender MEDR bietet Bedrohungsüberwachung, automatisierte Alarmierung und Alarmanalyse. Unternehmen erhalten so einen erweiterten Schutz und höchste Transparenz hinsichtlich ihrer aktuellen Bedrohungslage.

  • MSP-Optionen für One-Click Orchestrated Recovery

    StorageCraft stellt ihre erweiterten Disaster Recovery-as-a-Service (DRaaS) Cloud-Dienste für Managed Service Provider (MSP) vor. "StorageCraft DRaaS" für MSPs beinhaltet jetzt zudem Cloud-Pooling, One-Click Orchestrated Recovery und eine 30 Tage kostenlose Replikation von virtualisierten Infrastrukturen. MSPs bietet dies zusätzliche Umsatzmöglichkeiten, bessere Margen und ein erweitertes Marktpotenzial. Die StorageCraft Cloud Services wurden speziell für Notfallwiederherstellung und eine gesicherte Geschäftskontinuität entwickelt und werden in Tier-3-Rechenzentren gehostet, die Sicherheit der Enterprise-Klasse sowie 99,999prozentige Verfügbarkeit bieten.