Wir unterstützen Sie bei der Umsetzung der im Pentest empfohlenen Maßnahmen
Unsere Pentests liefern nicht nur eine vollständige Auflistung der gefundenen Schwachstellen, sondern auch konkrete Handlungsempfehlungen zu deren Behebung. Nicht jedes Team verfügt jedoch über die erforderlichen Ressourcen oder das nötige Know-how, um diese Empfehlungen eigenständig umzusetzen - hier kommen wir ins Spiel!
Im Folgenden finden Sie einige Beispiele für Kundenanfragen und die von uns erbrachten Leistungen:
“Wir haben nicht genügend Entwickler, um uns zusätzlich um die Sicherheit zu kümmern - bitte sorgen Sie dafür, dass alles sicher wird!”
- Kurzfristig haben wir die bestehende Software intern angepasst, um einen sicheren Betrieb zu gewährleisten.
- Langfristig vermittelten wir zusätzliche Entwickler und etablierten einen internen Prozess, der eine nachhaltige, sichere Softwareentwicklung ermöglicht.
“Wir haben die empfohlenen Updates durchgeführt, aber nun funktioniert unsere Anwendung nicht mehr.”
- Einige Updates erfordern zwangsläufig ein umfangreiches Refactoring. Da dies beim Kunden nicht möglich war, schlugen wir technische Maßnahmen vor, die über die Firewall umgesetzt werden konnten - ohne dass ein Refactoring notwendig wurde.
“Unsere Entwickler sind entweder unwillig oder nicht in der Lage, die Sicherheit dauerhaft zu priorisieren.”
- Wir vermittelten den Entwicklern grundlegende Fähigkeiten, sodass sie in der Lage waren, ihre eigene Applikation beziehungsweise Webseite gezielt auf Schwachstellen zu testen. Dies motivierte die Mitarbeiter maßgeblich, die identifizierten Lücken eigenständig zu beheben.
“Es gibt so viele potenzielle Schwachstellen - müssen wir denn wirklich alle beheben?”
- Aufgrund der stark begrenzten Ressourcen des Kunden reduzierten wir die Maßnahmen auf ein essentielles Minimum, das die größten Risiken der Branche abdeckt. Für die verbleibenden, nicht direkt adressierbaren Risiken unterstützten wir den Kunden beim Aufbau eines effizienten Risikomanagements.
“Wie viel Geld sollte man in die Sicherheit investieren?”
- Dies ist tatsächlich die häufigste Frage. Zur Beantwortung erstellen wir gemeinsam mit dem Kunden eine Risikoanalyse, in der die Kosten der Sicherheitsmaßnahmen den identifizierten Risiken gegenübergestellt werden. Anhand dieser Übersicht erstellen wir eine Liste von konkreten und priorisierten Massnahmen, z.B. 10 % der Kosten für die Softwareentwicklung einplanen, eine externe WAF installieren oder aber OWASP-ASVS L2 umsetzen.
Wir unterstützen Sie bei der Validierung Ihrer umgesetzten Maßnahmen
Nachdem die im Rahmen eines Pentests empfohlenen Maßnahmen umgesetzt wurden, stehen viele Unternehmen vor der Frage, ob diese tatsächlich den gewünschten Erfolg gebracht haben. Wir helfen Ihnen, diese Frage auf drei Ebenen zu beantworten:
Wiederholung des Pentests:
Am sichersten ist es, den gesamten Pentest zu wiederholen. In diesem Fall gewähren wir Ihnen 20% Nachlass, da ein erneutes Setup entfallen kann.
Gezielte Validierung:
Effizienter ist es, ausschließlich die identifizierten Schwachstellen zu überprüfen. Dafür bieten wir Ihnen einen Pauschaltest zu 50% der ursprünglichen Pentest-Kosten an.
Schulung der Mitarbeiter:
Langfristig wirksam ist die Schulung Ihrer Mitarbeiter, sodass diese künftig selbst in der Lage sind, Schwachstellen zu identifizieren und zu testen. Hierfür passen wir unsere Schulungspakete gezielt an die Ergebnisse des Pentests an, um Ihre Anforderungen präzise zu erfüllen.