FAQ - Frequently Asked Questions

Wenn sich Ihre Systeme noch in der Entwicklung befinden können wir Ihnen gerne von Anfang an dabei behilflich sein, IT-Sicherheitsanforderungen in den Entwicklungsprozess zu integrieren. Auf diese Weise entwickelte Systeme haben den Vorteil, dass sie meist deutlich robuster gegenüber Systemen mit nachträglich implementierten Sicherheitslösungen sind.

Die aktive Mitarbeit an der Beseitigung von Schwachstellen zählt momentan nicht zu unserem Leistungsportfolio. Gerne empfehlen wir Ihnen aber einen IT-Dienstleister der Sie bei der Beseitigung der Schwachstellen unterstützen kann.

Selbstverständlich können Sie auch die Entscheidung treffen einzelne Schwachstellen nicht zu beseitigen, sondern mit dem Risiko zu leben. Das kann etwa dann sinnvoll sein, wenn die Kosten die bei einer Beseitigung anfallen würden, den möglichen finanziellen Schaden deutlich übersteigen oder wenn das Risiko einer erfolgreichen Ausnutzung der Schwachstelle extrem gering ist. Um Sie bei dieser Entscheidung zu unterstützen, enthält unser Report Einschätzungen über die Kritikalität einer Schwachstelle.

Ein Retest ist ein erneuter Penetrationtest bei dem überprüft wird, wie wirksam die von Ihnen implementierten Lösungen für die im ersten Test gefundene Schwachstellen sind. Dadurch wird einerseits die Wirksamkeit der Lösung getestet und andererseits auch mögliche Probleme aufgedeckt die durch die Implementierung der Lösung neu entstanden sein könnten. Ein Retest hat dabei typischerweise einen etwas geringeren Umfang als ein regulärer Penetrationtest und sollte durchgeführt werden, sobald alle Schwachstellen die sich im ersten Penetrationtest ergeben haben beseitigt wurden.

Der Aufwand zur Absicherung von Schwachstellen kann sehr unterschiedlich ausfallen. Oftmals sind nur bestimmte Software Versionen von einer Schwachstelle betroffen, sodass schon ein Update auf eine aktuellere Version ausreicht, um die Sicherheitslücke zu schließen. Kleinere Schwachstellen auf Server Seite lassen sich zudem in vielen Fällen durch Änderungen in den Konfigurationsdateien beheben. Anders sieht es bei selbstprogrammierter Software aus. Wenn dort Fehler gemacht werden, ziehen sie sich oft durch die gesamte Anwendung und machen umfangreiche Änderungen notwendig. Ein klassisches Beispiel dafür ist die ungenügende Validierung von User Input durch die diverse Angriffe wie Cross Site Scripting oder SQL Injection möglich sind.

Ein Pentest sollte etwa einmal im Jahr stattfinden. Denn auch wenn Sie alles richtig machen (Schwachstellen aus vorherigen Pentests beseitigen, alle Systeme regelmäßig updaten, Mitarbeiter in Bezug auf Social Engineering schulen), gibt es Dinge die nicht in Ihrer Macht stehen, etwa neu entdeckte Sicherheitslücken und Angriffsvektoren.