secuvera GmbH – BSI-zertifizierter IT-Sicherheitsdienstleister BSI-Grundschutz und Penetrationstests https://www.secuvera.de Tue, 09 Jul 2019 16:21:24 +0000 de-DE hourly 1 https://wordpress.org/?v=5.2.2 DIN Workshop „Evaluierungsanforderungen für alle Stufen des CSA“ https://www.secuvera.de/aktuelles/din-workshop-evaluierungsanforderungen-fuer-alle-stufen-des-csa/ Tue, 09 Jul 2019 16:19:59 +0000 https://www.secuvera.de/?p=3607 weiterlesen ...]]> Der Cyber-Security-Act ist in aller Munde. Im CSA werden Prüf- und Zertifizierungsstufen definiert, aus denen Sicherheitsprüfungen für Produkte abgeleitet werden. Die Definition erfolgt in den drei Vertrauenswürdigkeitsstufen Basic, Substantial und High).

Eine wichtige Frage ist, wie die Sicherheitseigenschaften in entsprechenden Prüfungen geprüft, also evaluiert werden können.

Moderiert vom Leiter der secuvera Prüfstelle Sebastian Fritsch, findet hierzu in Berlin am 18. Juli ein Workshop des DIN statt. Es sprechen Vertreter von Behörden wie dem BSI und Unternehmen wie Siemens, Bosch, IBM oder Phoenix Contact.

]]>
Smarter Mittelstand – Veranstaltung zur sicheren Digitalisierung in Ulm und Heilbronn https://www.secuvera.de/aktuelles/smarter-mittelstand-sichere-digitalisierung-in-ulm-und-heilbronn/ Tue, 21 May 2019 09:25:24 +0000 https://www.secuvera.de/?p=3584 weiterlesen ...]]> Smarter Mittelstand 2019

Die Unternehmerzeitschrift Impulse lädt in diesem Jahr zur bundesweiten Veranstaltungsreihe smarter_mittelstand ein. Dort erhalten Mittelständler Praxistipps, Anleitungen und wichtige Updates rund um die Digitalisierung.

secuvera wird am 3. Juli in Ulm und am 16. Juli in Heilbronn an einem Informationsstand über speziell für den Mittelstand entwickelte Dienstleistungsprodukte informieren. Im Fokus stehen der Cyber-Sicherheits-Check, Beratung rund um ISO 27001 und simulierte Hackerangriffe (Penetrationstests).

Der Besuch der Veranstaltung ist kostenfrei und adressiert in erster Linie Unternehmer und Führungspersonal aus dem Mittelstand der jeweiligen Region.



]]>
Aktualisierung des TeleTrusT-Prüfschemas nach IEC 62443-4-2 https://www.secuvera.de/aktuelles/aktualisierung-des-teletrust-pruefschemas-nach-iec-62443-4-2/ Thu, 16 May 2019 19:02:09 +0000 https://www.secuvera.de/?p=3565 weiterlesen ...]]> Das federführend durch Sebastian Fritsch, Leiter der BSI-Prüfstelle von secuvera, erstellte TeleTrusT-Prüfschema nach IEC 62443-4-2 für die Prüfung von Industrie 4.0 Komponenten hat ein umfangreiches Update erfahren. In der Version 2019-05 wurden mehr als 300 einzelne Kommentare von Unternehmen, Verbänden und Behörden eingearbeitet. Das Prüfschema wurde hierzu in diversen Gremien diskutiert. Aktuell wird daran gearbeitet, das Prüfschema in die internationale Standardisierung einzubringen. Hierzu wird das Prüfschema in absehbarer Zeit ebenfalls als englische Version verfügbar werden.

Das Prüfschema kann sowohl von Herstellern zur Selbsterklärung, als auch von Prüfunternehmen angewendet werden. Es enthält viele wertvolle Hinweise, wie Anforderungen aus dem Standard zu prüfen sind, enthält eine Konkretisierung des Standards mittels Akzeptanzkriterien zu jeder technischen Anforderung und sorgt damit für eine Einheitlichkeit und Klarheit bei der Interpretation des Standards. Das Prüfschema steht jetzt zum kostenfreien Download beim Bundesverband IT-Sicherheit e.V. (TeleTrusT) bereit.

]]>
NASL Plugin Search veröffentlicht https://www.secuvera.de/aktuelles/nasl-plugin-search-veroeffentlicht/ Thu, 02 May 2019 14:35:22 +0000 https://www.secuvera.de/?p=3561 weiterlesen ...]]> secuvera nutzt seit vielen Jahren den Vulnerabilityscanner OpenVAS von Greenbone (bzw. dessen kommerzielle Variante) innerhalb des eigenen Frameworks tajanas. Das Framework ermöglicht es uns, Port- und Schwachstellenscans extrem effizient durchzuführen und vor allem die manuelle Auswertung durch unsere Penetrationstester effizient zu gestalten.

Die manuelle Auswertung und Verifikation aller Toolergebnisse ist integraler Bestandteil unserer Prüfprozesse und ermöglicht die bestmöglichsten Testergebnisse. Hierfür ist ein tiefes Verständnis der Werkzeuge notwendig.

OpenVAS arbeitet intern mit Skripten, die in der Lage sind, Schwachstellen zu erkennen. Ohne Kenntnis des Quelltextes der einzelnen Skripte, lassen sich die Ergebnisse nicht nachvollziehen. Ein Glück sind die Skripte öffentlich verfügbar und auch bei jeder Installation beinhaltet und im Quelltext einsehbar.

Die Suche des jeweiligen Skripts ist dagegen leider etwas umständlich, da man im Dateisystem suchen muss. Sowohl OpenVAS selbst, als auch unser Framework werden jedoch webbasiert gesteuert. Eine Websuche nach den eindeutigen IDs der Skripte (OIDs) ist daher seit Längerem in unserem Framework beinhaltet.

Wir haben uns dazu entschieden, die Funktion auch zu veröffentlichen und somit jedermann nutzbar zu machen: NASL Plugin Search ist online. Viel Spaß damit.

]]>
„Penetrationstests von Webanwendungen“ – Fachartikel in der JAVAPRO https://www.secuvera.de/aktuelles/penetrationstests-von-webanwendungen/ Tue, 16 Apr 2019 15:56:36 +0000 https://www.secuvera.de/?p=3554

In Ausgabe 1-2019 berichtet Tobias Glemser über Planungsaspekte und Stolpersteine bei der Prüfung von Webanwendungen durch Penetrationstests.

Der Artikel beleuchtet die wichtigsten Planungsaspekte wie die Prüfung von Rollen- und Rechtemodellen, Umgang mit Web-Application-Firewalls und CAPTCHAs.

Die JAVAPRO ist kostenlos auf der Webseite der Zeitschrift bestellbar.

]]>