- Anzeigen -


Penetrationstests in Bundesbehörden


TÜV Trust IT erweitert BSI-Zertifizierung als IT-Sicherheitsdienstleister für Penetrationstests
Anders als Audits zur Ermittlung von Schwachstellen stellen Penetrationstests risikobasierte Prüfungen dar, bei denen in definierten Szenarien gezielte Angriffe simuliert werden

(11.06.15) - TÜV Trust IT ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als IT-Sicherheitsdienstleister nun auch für Penetrationstests zertifiziert worden, nachdem für den Bereich IS-Revision und -Beratung bereits 2012 eine solche Zertifizierung erlangt worden war. Weltweit verfügen lediglich vier Sicherheitsspezialisten über eine Anerkennung als IT-Sicherheitsdienstleister für alle Geltungsbereiche durch das BSI.

Die Zertifizierungen dienen dazu, die Bundesbehörden bei ihrer fachlichen Auswahl von IT-Sicherheitsdienstleistern zu unterstützen. Insbesondere staatliche Organisationen mit sicherheitssensiblen Verhältnissen haben hohe Anforderungen an die Fachkompetenz, Zuverlässigkeit und Unabhängigkeit ihrer Dienstleistungspartner. Dies gilt auch für Penetrationstests, die der Sicherheitsuntersuchung von Systembestandteilen und Anwendungen eines Netzwerks- oder Softwaresystems dienen. Da die Prüfszenarien aufgrund der individuellen Situation der zu testenden Institution nur begrenzt standardisierbar sind, sollte die Durchführung Experten mit nachgewiesenem Know-how und langjähriger Erfahrung übertragen werden.

"Anders als Audits zur Ermittlung von Schwachstellen stellen Penetrationstests risikobasierte Prüfungen dar, bei denen in definierten Szenarien gezielte Angriffe simuliert werden", erläutert Detlev Henze, Geschäftsführer der TÜV Trust IT. "Aus den Ergebnissen wird eine fundierte Risikobewertung abgeleitet, die im Abschlussbericht durch konkrete Optimierungsvorschläge für die untersuchte Organisation ergänzt wird."

Mit der BSI-Zertifizierung hat TÜV Trust IT die besonderen Kompetenzen bestätigt bekommen, die für Penetrationstests in Bundesbehörden erforderlich sind. "Damit gehören wir zu den lediglich vier Sicherheitsspezialisten, die sowohl für Penetrationstests als auch für die IS-Revision und Beratung in öffentlichen Institutionen des Bundes zertifiziert sind", weist Detlev Henze auf die besondere Position der TÜV Trust IT im Markt der Sicherheitsdienstleistungen hin.

Die Anerkennung für die IS-Revision und Beratung durch das BSI wurde bereits vor drei Jahren erlangt. Dieser Kompetenznachweis erlaubt es, Behörden bei der Erstellung und Umsetzung eines Sicherheitskonzepts nach IT-Grundschutz, der regelmäßigen Durchführung von IS-Revisionen oder der Durchführung von Sicherheitsrevisionen in kritischen Geschäftsprozessen zu unterstützen, wie dies z.B. im 2007 veröffentlichten Umsetzungsplan Bund [UPBund] gefordert wird. Behörden können dafür ein Revisionsteam der TÜV Trust IT beauftragen, das die Effektivität der Sicherheitsorganisation überprüft und feststellt, ob eine Behörde vorgegebene Standards und gesetzliche Anforderungen im Bereich der Informationssicherheit einhält.

Vergleichbare Dienstleistungen für IS-Revision und Beratung als auch für Penetrationstests bietet die TÜV Trust IT auch für Wirtschaftsunternehmen an. "Die BSI-Zertifizierungen von IT-Sicherheitsdienstleistern bieten nicht nur für Behörden, sondern auch für alle anderen Unternehmen eine Hilfestellung, um einen Partner mit höchster Kompetenz auszuwählen und dabei die Spreu vom Weizen trennen zu können. Deshalb sehen wir unsere Zertifizierung auch außerhalb des behördlichen Umfelds als besonderes Herausstellungsmerkmal", erklärt Henze. (TÜV Trust IT: ra)

TÜV Trust IT: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Security & Safety-Services

  • In einen zuverlässigen VPN-Anbieter investieren

    Eine durchschnittliche Datenverletzung kostet Unternehmen pro Jahr rund 7 Millionen US-Dollar - aufgrund von Kundenverlusten, Geschäftsunterbrechungen, Auswirkungen auf den Ruf der Marke, Bußgelder und so weiter. Kleine Unternehmen sind besonders gefährdet, weil viele von ihnen nicht einmal grundlegende Sicherheits-Tools wie Antivirus, Firewalls oder Verschlüsselungssoftware besitzen. Gleichzeitig sind auch große Unternehmen und sogar staatliche Organisationen anfällig.

  • IT-Risiken bewerten und absichern

    Laut Europol haben Cyberattacken in den letzten zwölf Monaten stark zugenommen. IT-Risikomanagement sollte daher zu den Aufgaben einer jeden Organisation zählen. Für KRITIS-Unternehmen gehört es ab 2018 im Rahmen der Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) ohnehin zum Pflichtprogramm. Datakom unterstützt und berät Unternehmen bei der Einführung eines zertifizierten ISMS. Dabei berücksichtigt der Spezialist für IT-Sicherheit ausdrücklich auch betriebswirtschaftliche Aspekte. Dieses Vorgehen ist Teil eines ganzheitlichen Security-Konzeptes von Datakom. Informationstechnologie (IT) ist heute ein wesentlicher Erfolgsfaktor für Unternehmen in nahezu jeder Branche. Dabei unterscheiden sich die Anforderungen an IT-Infrastrukturen von Branche zu Branche. Dennoch stehen alle Unternehmen vor der gleichen Frage: Welche Risiken entstehen durch den möglichen Ausfall von IT-Komponenten?

  • Bedrohungsabwehr für den Endpoint

    "Kleinunternehmen sind nicht immun gegen die 500.000 neuen und einzigartigen Bedrohungen, die jeden Tag entstehen. So hat Trend Micro im Jahr 2016 bei neuen Ransomware-Familien einen Anstieg von 752 Prozent beobachtet, die weltweit Schäden in Höhe von etwa einer Milliarde US-Dollar verursacht haben", sagt Richard Werner, Business Consultant bei Trend Micro. "Diese Bedrohungen und Angriffe können den Betrieb lahmlegen und Schäden verursachen, die zu hohen Kosten wieder behoben werden müssen. Deshalb ist es auch für kleine Unternehmen wichtig, sich mit fortschrittlichen Methoden gegen aktuelle und zukünftige Cyber-Angriffe zu schützen.

  • Rasant entwickelnde Bedrohungslage

    Viele kleine und mittelständische Unternehmen haben nur begrenztes oder gar kein eigenes IT-Personal; ihre Ausstattung reicht oft nicht aus, um mit der sich rasant entwickelnden Bedrohungslage mithalten zu können. In der vor kurzem erschienenen Data-Security-Studie von Dell sagen 69 Prozent aller kleineren und mittleren Unternehmen, Datensicherheit sei eine große Belastung für ihr Budget und ihre Zeit. Zudem halten 65 Prozent wegen Sicherheitsbedenken Pläne zurück, ihre Mitarbeiter mobiler zu machen.

  • Security-Trainings allerdings alles als langweilig

    Untersuchungen zeigen, dass computergestütztes, interaktives Training zu einer mehr als 93-prozentigen Wahrscheinlichkeit führt, dass das vermittelte Cybersicherheitswissen in der täglichen Arbeit angewendet wird. Die Anzahl von Sicherheitsvorfällen kann so bis zu 90 Prozent reduziert werden. Laut einer Kaspersky-Untersuchung muss ein großes Unternehmen durchschnittlich 551.000 US-Dollar in Folge eines IT-Sicherheitsvorfalles aufbringen. Bei mittelständischen Unternehmen betragen die Kosten im Schnitt 38.000 US-Dollar.