OT-Security: Sicherheitsrisiken in industriellen Umgebungen reduzieren

• Die Identifizierung von Schwachstellen und deren Risikoausmaß
   
• Die Betrachtung, welche Plattformen und Systeme zum Einsatz kommen, wie die Vernetzung und das Zusammenwirken der Systeme zur Fertigungs- und Prozessautomatisierung untereinander – als auch mit der klassischen IT-Infrastruktur – sicherheitstechnisch funktionieren
   
• Die Betrachtung, welche Sicherheitsmaßnahmen im Sinne von Security und Safety vorhanden sind
   
• Die Beurteilung des technischen Sicherheitsniveaus von Fernwartungszugängen, etablierten Standard-IT-Komponenten und Verfügbarkeitsanforderungen von Kommunikationsnetzen und deren Überwachung
   
• Die Beurteilung des Gefährdungspotenzials auf Basis menschlicher Fehlhandlungen und vorsätzlicher Angriffe auf Geräte-, Netz- und Anwendungsebene. Dabei betrachten unsere Sicherheitsexperten u.a. den Vernetzungsgrad und die Absicherung der Produktionsnetze sowie Fehlkonfigurationen und unzureichende Backups von Komponenten.
   
• Passive und aktive Angriffe auf etablierte ICS-Komponenten wie SCADA-Systeme, PLC, HMI, BFS und MES auf System- und Netzwerkebene
   
• Die Ableitung und Bewertung der organisatorischen Schwachstellen, wie beispielsweise unzureichende Dokumentationsgrade und Regelungen zur IT-Sicherheit in Form von Richtlinien und Prozessen

Als Ergebnis liefern wir Ihnen einen ausführlichen Bericht, in dem konkrete nachvollziehbare Risiken und Schwachstellen aufgezeigt werden sowie angemessene Handlungsmaßnahmen zu deren Behebung vorgeschlagen werden.

Der Abschlussbericht wird von unseren Experten immer individuell und leicht verständlich erstellt (keine automatische Generierung) und enthält mindestens folgende Informationen:

• Einleitung: Kurzbeschreibung des Prüfgegenstandes, Ziel des Pentests sowie Dokumentation von Besonderheiten während der Untersuchung.
   
• Management/Executive Summary: Zusammenfassung der Ergebnisse und Einschätzung des allgemeinen Sicherheitsniveaus.
   
• Risikobewertung:  Zuweisung eines Risikograds zu jeder Schwachstelle (Informativ, Niedriges-, Mittleres-, Hohes- oder Kritisches-Risiko), mit dem die Kritikalität der jeweiligen Schwachstelle beschrieben wird.
   
• Übersichtliche Darstellung: Übersichtliche Darstellung aller ermittelten Schwachstellen in einer Tabelle sowie in einem Risikostrahl, der die Anzahl der Schwachstellen pro Risikograd darstellt.
   
• Detaillierte Beschreibung der Schwachstellen und Proof-of-Concept: Zu jeder Schwachstelle gibt es eine individuelle Beschreibung, die genau wiedergibt, wie die Schwachstelle gefunden wurde und wie diese durch einen Angreifer ausgenutzt werden kann (Proof-of-Concept).
   
• Auswertung automatisierter Tests: Die Ergebnisse der automatisierten Tests werden von den TÜViT-Expert:innen ausgewertet und auf false/positive geprüft und anschließend im Bericht zusammengefasst.
   
• Maßnahmenempfehlung zur Behebung der Schwachstelle: Zu jeder Schwachstelle gibt es eine Maßnahmenempfehlung zur Beseitigung der Schwachstelle.
   
• Referenzen: Sofern vorhanden geben wir Referenzen auf Schwachstellendatenbanken (z. B. CVE) an. 
   
• Technische Anhänge: Sofern vorhanden werden weitere Informationen und Dateien zu den durchgeführten Tests als Anhang bereitgestellt, bspw. die Roh-Ergebnisse der Port- und Schwachstellenscans.