- Anzeigen -


Penetrationstests in Bundesbehörden


TÜV Trust IT erweitert BSI-Zertifizierung als IT-Sicherheitsdienstleister für Penetrationstests
Anders als Audits zur Ermittlung von Schwachstellen stellen Penetrationstests risikobasierte Prüfungen dar, bei denen in definierten Szenarien gezielte Angriffe simuliert werden

(11.06.15) - TÜV Trust IT ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als IT-Sicherheitsdienstleister nun auch für Penetrationstests zertifiziert worden, nachdem für den Bereich IS-Revision und -Beratung bereits 2012 eine solche Zertifizierung erlangt worden war. Weltweit verfügen lediglich vier Sicherheitsspezialisten über eine Anerkennung als IT-Sicherheitsdienstleister für alle Geltungsbereiche durch das BSI.

Die Zertifizierungen dienen dazu, die Bundesbehörden bei ihrer fachlichen Auswahl von IT-Sicherheitsdienstleistern zu unterstützen. Insbesondere staatliche Organisationen mit sicherheitssensiblen Verhältnissen haben hohe Anforderungen an die Fachkompetenz, Zuverlässigkeit und Unabhängigkeit ihrer Dienstleistungspartner. Dies gilt auch für Penetrationstests, die der Sicherheitsuntersuchung von Systembestandteilen und Anwendungen eines Netzwerks- oder Softwaresystems dienen. Da die Prüfszenarien aufgrund der individuellen Situation der zu testenden Institution nur begrenzt standardisierbar sind, sollte die Durchführung Experten mit nachgewiesenem Know-how und langjähriger Erfahrung übertragen werden.

"Anders als Audits zur Ermittlung von Schwachstellen stellen Penetrationstests risikobasierte Prüfungen dar, bei denen in definierten Szenarien gezielte Angriffe simuliert werden", erläutert Detlev Henze, Geschäftsführer der TÜV Trust IT. "Aus den Ergebnissen wird eine fundierte Risikobewertung abgeleitet, die im Abschlussbericht durch konkrete Optimierungsvorschläge für die untersuchte Organisation ergänzt wird."

Mit der BSI-Zertifizierung hat TÜV Trust IT die besonderen Kompetenzen bestätigt bekommen, die für Penetrationstests in Bundesbehörden erforderlich sind. "Damit gehören wir zu den lediglich vier Sicherheitsspezialisten, die sowohl für Penetrationstests als auch für die IS-Revision und Beratung in öffentlichen Institutionen des Bundes zertifiziert sind", weist Detlev Henze auf die besondere Position der TÜV Trust IT im Markt der Sicherheitsdienstleistungen hin.

Die Anerkennung für die IS-Revision und Beratung durch das BSI wurde bereits vor drei Jahren erlangt. Dieser Kompetenznachweis erlaubt es, Behörden bei der Erstellung und Umsetzung eines Sicherheitskonzepts nach IT-Grundschutz, der regelmäßigen Durchführung von IS-Revisionen oder der Durchführung von Sicherheitsrevisionen in kritischen Geschäftsprozessen zu unterstützen, wie dies z.B. im 2007 veröffentlichten Umsetzungsplan Bund [UPBund] gefordert wird. Behörden können dafür ein Revisionsteam der TÜV Trust IT beauftragen, das die Effektivität der Sicherheitsorganisation überprüft und feststellt, ob eine Behörde vorgegebene Standards und gesetzliche Anforderungen im Bereich der Informationssicherheit einhält.

Vergleichbare Dienstleistungen für IS-Revision und Beratung als auch für Penetrationstests bietet die TÜV Trust IT auch für Wirtschaftsunternehmen an. "Die BSI-Zertifizierungen von IT-Sicherheitsdienstleistern bieten nicht nur für Behörden, sondern auch für alle anderen Unternehmen eine Hilfestellung, um einen Partner mit höchster Kompetenz auszuwählen und dabei die Spreu vom Weizen trennen zu können. Deshalb sehen wir unsere Zertifizierung auch außerhalb des behördlichen Umfelds als besonderes Herausstellungsmerkmal", erklärt Henze. (TÜV Trust IT: ra)

TÜV Trust IT: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Security & Safety-Services

  • Service erkennt Malware

    Angriffe auf Unternehmen und sensible Geschäftsdaten gehören mittlerweile zur Tagesordnung. Dabei gehen die Cyberkriminellen immer professioneller und gezielter vor. So lassen sich Spam-Mails aufgrund korrekter Sprache und einem glaubwürdigen Design oftmals nicht sofort als solche identifizieren. Erst auf den zweiten Blick erkennt man, dass es sich hierbei um eine manipulierte E-Mail mit bösartigem Anhang handelt. Die Hacker nutzen Dateien wie Microsoft Word-Dokumente als Mittel, um Malware einzuschleusen. Dabei kann schon eine einzige, mit einer Schadsoftware infizierte, Datei ein ganzes Unternehmen lahmlegen.

  • IT-Sicherheitsteams sind unterbesetzt & überlastet

    Trend Micro erweitert ihr Portfolio um einen neuen Dienst für Managed Detection & Response. Die IT-Sicherheitsanbieterin setzt dabei auf künstliche Intelligenz (KI) und eine umfassende Datenbank mit Bedrohungsinformationen. Trend Micro kündigt einen neuen Dienst für Managed Detection and Response (MDR) an. Zusätzlich wird das gesamte Lösungsportfolio um neue KI-gestützte Fähigkeiten erweitert. Dadurch können Security Operations Center (SOCs) kritische Bedrohungsmeldungen noch besser selektieren und priorisieren.

  • Sicherheitsrisiko von Vorständen

    Technische IT-Sicherheitssysteme sind immer nur so stark wie ihr schwächstes Glied - dabei geht es nicht nur um neue Technologien und Softwarelösungen, sondern auch um den "Risikofaktor Mensch". Die Minimierung dieser potenziellen Schwachstelle durch die Schulung der Security Awareness und Etablierung unterstützender technischer Lösungen muss immer ein wichtiger Baustein einer präventiven Sicherheitsstrategie sein.

  • Gerichtsverwertbare Handydaten

    CBL Datenrettung stellt ein neues Angebot für IT-Sachverständige und Labors der Computerforensik vor. Als Datenretter im Bereich Smartphone bietet CBL kriminaltechnischen Labors an, die schwierige technische Vorarbeit zur Auswertung von Daten auf Mobilgeräten zu übernehmen, auf denen im Zusammenhang mit Ermittlungen beweiskräftige Informationen vermutet werden. Bisher war CBL überwiegend direkt von Ermittlungsbehörden mit forensischer Datenrettung von Festplatten und anderen Datenträgern beauftragt worden.

  • Angreifer erfolgreich abwehren

    Die IT-Sicherheitsspezialistin secion bietet mit dem Red Team Testing die nächste Entwicklungsstufe des Penetrationstests an. Dabei werden die Abwehrfähigkeiten von Unternehmen unter realen Bedingungen getestet. Das Angebot richtet sich vor allem an Groß- und Mittelstandsunternehmen sowie Konzerne. Zur Zielgruppe gehören außerdem Banken und Behörden, die besondere Gefahr laufen, Opfer von Wirtschaftsspionage und organisierter Kriminalität zu werden. Für das Angebot besteht Bedarf, so konnte zum Beispiel die Hackergruppe MoneyTaker mit einer Serie von Cyberangriffen seit 2016 mehr als 10 Millionen US-Dollar von über zwanzig Banken stehlen.