Sichere Infrastrukturen & Applikationen

IFASEC Services bieten Sicherheitsexpertise und Beratung für Ihre Infrastruktur & Software unabhängig vom Hersteller, Betriebssystem und der Programmiersprache.

IT-Sicherheit ist im medialen und – endlich auch – im politischen Fokus! Denn die wachsende Digitalisierung und Vernetzung in Industrie 4.0 birgt ein großes Risiko an Datenklau und Wissensabfluss! Datensicherheit wird für viele Unternehmer immer wichtiger und nicht mehr als reiner Kostenfaktor angesehen.

IFAEC überprüft Business-, Web- und mobile Applikationen. Eine eigene entwickelte Web-Pentesting-Software sorgt für kosteneffiziente Testverfahren. Machen Sie Ihre Software sicherer durch statische Code-Analysen und Code-Reviews. Unsere IT-Sicherheits-Experten beraten in den Herausforderungen der modernen IT-Sicherheit.

IFASEC berät und unterstützt Ihr Unternehmen in folgenden Themengebieten:

  • Penetrationstesting von Web-Seiten
  • Code-Analysen von Applikationen
  • IT-Sicherheitsanalysen
  • Absicherung vor internen Angriffen
  • Aufbau von sicheren IT-Infrastrukturen

PenTesting as a Service

Die Web-Seiten eines Unternehmens sind eines der häufigsten Angriffsziele von Cyber-Kriminellen, denn viele Web-Seiten werden ohne Sicherheitstests leichtfertig in das Internet gestellt. Zur Webseiten-Überprüfung empfiehlt IFASEC den Penetrationstest.

PenTaaS, Deutschlands erster automatisierter Penetrationstest für Web-Anwendungen. Mit PenTaaS werden signifikante Schwachstellen einer Web-Seite identifiziert und bewertet. Eine Empfehlung zu Sicherungsmaßnahmen kann auf Wunsch erstellt werden. PenTaas ist automatisiert und dadurch für fast jedes Unternehmen geeignet.

Einfache Anmeldung + Registrierung

Nach Anmeldung und Validierung erhalten Sie als Verantwortlicher für Ihren Webauftritt über eine einfach zu bedienende und sichere Benutzerschnittstelle Zugang zu dem Test-System. Hier können Sie Ihren Penetrationstest starten, wobei Sie über einen Scheduler den Zeitpunkt für den Test selber bestimmen können. Nach der Testdurchführung können Sie als Ergebnis den Report in Ihrem Account einsehen. Dieser gibt Ihnen einen Überblick über den Sicherheitsstatus Ihrer Web-Seite. PenTaaS respektiert die deutschen Datenschutzrichtlinien – alle in diesem Penetrationstest erhobenen Daten werden auf Servern in Deutschland sicher gespeichert und nach einem festgelegten Zeitraum automatisch gelöscht. Als zusätzlicher Service ist die sichere Archivierung der Daten möglich.

  • Einfache und sichere Bedienung!
  • Schnelle Ergebnisse!
  • Sichere Archivierung!

Ablauf des Testverfahrens

  •  Unverbindliche Registrierung im PenTaaS – System
  • Validierung der Unternehmensdaten nach BSI-Vorgaben
  • Schriftliche Beauftragung zur Testdurchführung
  • Testbeginn durch Eingabe des Startcodes
  • Auswertung jederzeit vom Unternehmen abrufbar

IT-Sicherheitsanalysen

Unternehmen sind sich der zunehmenden Herausforderung in der IT-Sicherheit bewusst und stehen vor der Aufgabe, die aktuellen IT-Strukturen in Bezug auf die heutigen Gefahrenlagen weiterzuentwickeln. Oft sind Maßnahmen und Investitionen im Bereich der IT-Sicherheit erfolgt. Aus unserer Sicht sollte Sicherheit für den Angestellten einfach zu bedienen und möglichst transparent, sowie für die IT-Abteilung noch zu bewältigen sein. Hierfür ist ein hoher Grad der Automatisierung und Standardisierung erforderlich.

Entsprechend der Anforderungen unserer Kunden führen wir eine Anforderungs-, Gefährdungs- und Risikoanalyse durch. Mittels dieser Analysen qualifizieren wir die Gefährdungslagen einer Organisation und unterstützen diese, um gezielt mit wirtschaftlichen Maßnahmen höhere Sicherheit zu erzielen.

Ziel der IFASEC IT-Sicherheitsanalysen ist es, den Einsatzgrad der bereits ausgerollten Technologien zu erhöhen und die Unternehmens-IT zu einer proaktiv geprägten Systemlandschaft mit hohem Sicherheitsniveau zu entwickeln.

Code-Analysen

Die schwerwiegenden IT-Sicherheitsvorfälle der letzten Jahre zeigen es deutlich: Weltweit sind Schwachstellen im Code die am meisten genutzten Einfallstore für Einbrüche in IT-Infrastukturen; auf über 80% beziffern Gartner und der NIST deren Anteil. Die Folge sind, neben Rufschädigung und Haftungsansprüchen, enorme wirtschaftliche Verluste durch Produktionsausfälle, Datendiebstahl, Ideenklau und Erpressung. Jüngste FBI-Statistiken weisen auf einen Milliardenmarkt für Cyber-Kriminelle hin.

Auf der Suche nach den Ursachen solcher Software-Schwachstellen sind oft anzutreffen:

  • Mangelndes Sicherheitsbewusstsein von Entwicklern und Entscheidern
  • Der Versuch, Sicherheit nachträglich in eine Anwendung einzubauen
  • Zeit- und Kostendruck bei der Softwareentwicklung
  • Fehlende Sicherheitsaudits bei der Qualitätssicherung
  • Das Fehlen geeigneter, erschwinglicher Werkzeuge zum Auffinden von Sicherheitslücken

Unser Beitrag für Ihr Unternehmen:

Unsere Experten untersuchen Ihre Software unabhängig vom Betriebssystem und der Programmiersprache. Wir überprüfen sowohl Ihre Business- und Web-Applikationen, als auch Ihre mobilen Apps.

Ergebnis der Untersuchung ist ein aussagekräftiger Bericht, der gefundene Schwachstellen aufführt. Dabei erfolgt eine Einordung entlang anerkannter Sicherheitsprofile wie z.B. OWASP Top 10 oder PCI.

  • detaillierte Beschreibungen der Schwachstellen
  • Bewertungen zu Sichtbarkeit und Schwere
  • geeignete Maßnahmen zur Behebung

Der IFASEC-Ansatz

Code-Review:

Ein manuelles Prüfen ohne Software-Tools wird im Allgemeinen als Code-Review bezeichnet. Dieser Review findet aber selten in dieser rein manuellen Form statt, da der zu überprüfende Code oftmals Millionen Zeilen umfasst und die damit verbundenen Kosten in keinem wirtschaftlichen Verhältnis zum Nutzen stehen. Andererseits lassen sich grundlegende Designfehler einer Anwendung oftmals nur durch einen Review aufdecken.

DieIFASEC führt statische Code-Analysen in Verbindung mit Code-Reviews aus. Damit können wiederkehrende Schwachstellen und fehlerträchtige Codeteile automatisiert im gesamten Code gescannt und das Ergebnis durch einen ergänzenden manuellen Review qualifiziert werden. Auf Wunsch stehen wir Ihnen bei der Code-Bereinigung sowohl beratend als auch operativ zur Seite. Ihr Vorteil: Ihre Software wird sicherer, die Kosten bleiben im Rahmen.

Statische Code-Analyse:

Eine statische Code-Analyse überprüft den Quellcode einer Anwendung, ohne diesen auszuführen, daher die Bezeichnung „statisch“. Voraussetzung hierfür ist allerdings das Vorhandensein eben dieses Quellcodes.

Dynamische Code-Analyse:

Dynamische Code-Analysen (im Allgemeinen auch Penetrationstests Missing id. genannt) überprüfen das gesamte System im laufenden Betrieb, also die Applikation, die eingesetzten Technologien, die Einrichtung der Server auf Lücken z.B. Fehler in der Konfiguration von Web-Servern, in den Authentisierungsverfahren oder in der Übertragung und Speicherung von Daten.

Erst die Kombination aus statischer und dynamischer Code-Analyse stellt eine verlässliche Basis für sichere Anwendungen dar.

Der softwaretechnische Bericht wird abgerundet durch ein Management Summary, der Risiken, Folgen, Stakeholder und Aufwände zusammenfasst.
Unsere Analysen beruhen auf den Top-Werkzeugen zur Aufdeckung von Schwachstellen, die auf dem Markt verfügbar sind. Dabei stellen wir Ihnen unsere Expertise in sicherer Softwareentwicklung zur Verfügung.

Projekte

Die IFASEC GbmH hat ihre Wurzeln im Umfeld von Forschung und Lehre im Hochschulbereich und ist Partner von wichtigen Sicherheitsprojekten auf dem Weg zur „Industrie 4.0“.

GO-DIGITAL

SICHERN SIE SICH BIS ZU 50 % FÖRDERUNG IHRER AUSGABEN IM BEREICH IT-SICHERHEIT!
Fragen Sie IFASEC zu dem Förderprogramm go-digital und profitieren von den Fördermitteln des BMWi für ein höheres IT-Sicherheitsniveaus Ihres Unternehmens!

go-digital-400x400

DAS FÖRDERPROGRAMM GO-DIGITAL GEHT IN DIE 2. RUNDE

Das Bundesministerium für Wirtschaft und Energie (BMWi) wird die Förderung von Beratungsleistungen für die Themen IT-Sicherheit, digitale Markterschließung und digitalisierte Geschäftsprozesse in 2017/18 weiterführen. Die Beratung erstreckt sich hierbei von der Analyse bis zur Umsetzung konkreter Maßnahmen. Diese Förderung können kleine und mittlere Unternehmen der gewerblichen Wirtschaft beantragen. Weitere Informationen finden Sie unter BMWi go-digital.

 

Die IFASEC GmbH war bereits in der ersten Phase des go-digital Förderprogramms als autorisiertes Beratungsunternehmen erfolgreich tätig. IFASEC beabsichtigt, diese erfolgreiche Arbeit auch im neuen Förderprogramm weiterzuführen.

Fragen zum Förderprogramm beantworten wir Ihnen bereits jetzt unter info@ifasec.de oder 0231 976146-27.

ENABLE KMU

EnAbLE KMU – Entwicklung anwenderbasierter Lösungen für die Einzelfertigung in KMUs – ist ein Verbundvorhaben für KMUs zur Digitalisierung von Prozessabläufen in der Einzelfertigung. Zur Unterstützung der Unternehmen in diesem Digitalisierungsprozess ensteht eine Smart Service Plattform auf der einzelne Digitalisierungsschritte individuell und KMU-spezifisch konfiguriert und implementiert werden.
IFASEC stellt in diesem Projekt Beiträge zur IT‐Sicherheit der Architektur, der Implementation und des Betriebs der Plattform.

Gefördert wird dieses Projekt durch EFRE.NRW der EU sowie des Ministeriums für Wirtschaft des Landes NRW.

Projektteilnehmer: RWTH Aachen WZL, innoTecS Ingenieurgesellschaft mbH, PH-Mechanik GmbH & Co. KG, IFASEC GmbH

AKTIONSBUND DIGITALE SICHERHEIT

Der Aktionsbund Digitale Sicherheit ist ein Zusammenschluss von Organisationen und Verbänden, die Schutz, Sicherheit und Vertrauen für Menschen im Internet unterstützen möchten. Zahlreiche gute Initiativen für mehr Sicherheit im Netz bestehen bereits. Um für Verbraucher und Unternehmen den Zugang zu diesen Initiativen zu vereinfachen, müssen sie besser miteinander vernetzt werden. Der Aktionsfinder des Aktionsbund Digitale Sicherheit vernetzt diese Initiativen und bietet einen einfachen Zugang zu aktuellen Materialien und Terminen.