Das auf die Prozessanforderungen der Losgröße 1+ spezialisierte ERP-Software- und Beratungshaus ams.Solution hat sich einem freiwilligen, extern durchgeführten Penetrationstest unterzogen und diesen ohne kritische Befunde bestanden. Konzipiert und realisiert wurde die umfassende Analyse von den Cybersecurity-Fachleuten der Koblenzer ProSec GmbH, die neben privatwirtschaftlichen Unternehmen unter anderem auch Bundes- und Landesbehörden im Hinblick auf ihre Incident-Response-Fähigkeit prüft. Für die ams-Verantwortlichen ist die Maßnahme Teil der gelebten Sicherheitskultur bei dem ERP-Anbieter. Das Ziel bestand darin, die eigenen organisatorischen und technischen Strukturen einem realistischen Belastungstest zu unterziehen, um gezielt Verbesserungspotenzial aufzudecken und die Mitarbeitenden in allen Bereichen zusätzlich zu sensibilisieren.
Geprüft wurde auf insgesamt vier Ebenen, die in ihrer Gesamtheit das vollständige Sicherheitsprofil eines Unternehmens abbilden. Dazu zählen neben dem physischen Zugangsschutz (Physical Access) und der technischen Absicherung der IT-Systeme (Technical) das Verhalten der Mitarbeiterinnen und Mitarbeiter gegenüber Manipulationsversuchen (Social Engineering) sowie die generelle organisatorische Fähigkeit, auf Sicherheitsvorfälle zu reagieren (Organizational). Die Untersuchung des Reaktionsvermögens umfasste bewusst sowohl die menschlichen als auch die technischen Komponenten, da potenzielle Angreifer erfahrungsgemäß immer alle möglichen Angriffspunkte und Einfallstore zu finden versuchen.
Gerade die Möglichkeit, sich durch unrechtmäßigen Zutritt zu Gebäuden und Büros Zugang zu geschäftskritischen Daten zu verschaffen, wird in vielen Sicherheitskonzepten vernachlässigt. Besonders überzeugend waren vor diesem Hintergrund die Ergebnisse im Bereich Physical Access. Den Testern gelang es zu keinem Zeitpunkt, eines der Unternehmensgebäude unbefugt zu betreten. Versuche, über fingierte Identitäten oder soziale Vorwände Zutritt zu erlangen, wurden von Mitarbeiterinnen und Mitarbeitern durch gezielte Rückfragen und Standardverhalten im Umgang mit Besuchern und externen Servicekräften zuverlässig erkannt und konsequent zurückgewiesen. Parallel dazu hielten sämtliche physischen Barrieren und Zugangssicherungen den simulierten Angriffen stand. Das Fazit des Prüfteams fiel eindeutig aus: Mensch und Technik greifen an allen Firmenstandorten wirksam und verlässlich ineinander.
Auch in den Bereichen Technical, Social Engineering und Organizational wurden keine kritischen Schwachstellen identifiziert. Das Ergebnis ist somit kein Zufallsbefund, sondern Ausdruck des systematischen Ansatzes von ams.Solution, bei dem Sicherheit nicht als einmalige Maßnahme verstanden wird, sondern als fortlaufender Prozess, der regelmäßig auf den Prüfstand gestellt wird. Nikas Schröder, Vorstand Produkt, Entwicklung und IT bei ams.Solution, bringt es auf den Punkt: „Das Audit bestätigt, was wir intern täglich leben: Sicherheit ist nicht die Aufgabe einer einzelnen Abteilung oder der IT, sondern eine grundsätzliche Haltung im gesamten Unternehmen. Dass unsere Mitarbeiterinnen und Mitarbeiter dies so eindrucksvoll unter Beweis gestellt haben, freut uns sehr und macht uns stolz.“
ams.Solution AG plant, Sicherheitsaudits dieser Art künftig in (un-)regelmäßigen Abständen zu wiederholen und damit den eingeschlagenen Weg einer proaktiven, ganzheitlichen Sicherheitskultur konsequent fortzusetzen.
Bildmaterial zu dieser Meldung finden Sie unter folgendem Download-Link »
Geprüft wurde auf insgesamt vier Ebenen, die in ihrer Gesamtheit das vollständige Sicherheitsprofil eines Unternehmens abbilden. Dazu zählen neben dem physischen Zugangsschutz (Physical Access) und der technischen Absicherung der IT-Systeme (Technical) das Verhalten der Mitarbeiterinnen und Mitarbeiter gegenüber Manipulationsversuchen (Social Engineering) sowie die generelle organisatorische Fähigkeit, auf Sicherheitsvorfälle zu reagieren (Organizational). Die Untersuchung des Reaktionsvermögens umfasste bewusst sowohl die menschlichen als auch die technischen Komponenten, da potenzielle Angreifer erfahrungsgemäß immer alle möglichen Angriffspunkte und Einfallstore zu finden versuchen.
Gerade die Möglichkeit, sich durch unrechtmäßigen Zutritt zu Gebäuden und Büros Zugang zu geschäftskritischen Daten zu verschaffen, wird in vielen Sicherheitskonzepten vernachlässigt. Besonders überzeugend waren vor diesem Hintergrund die Ergebnisse im Bereich Physical Access. Den Testern gelang es zu keinem Zeitpunkt, eines der Unternehmensgebäude unbefugt zu betreten. Versuche, über fingierte Identitäten oder soziale Vorwände Zutritt zu erlangen, wurden von Mitarbeiterinnen und Mitarbeitern durch gezielte Rückfragen und Standardverhalten im Umgang mit Besuchern und externen Servicekräften zuverlässig erkannt und konsequent zurückgewiesen. Parallel dazu hielten sämtliche physischen Barrieren und Zugangssicherungen den simulierten Angriffen stand. Das Fazit des Prüfteams fiel eindeutig aus: Mensch und Technik greifen an allen Firmenstandorten wirksam und verlässlich ineinander.
Auch in den Bereichen Technical, Social Engineering und Organizational wurden keine kritischen Schwachstellen identifiziert. Das Ergebnis ist somit kein Zufallsbefund, sondern Ausdruck des systematischen Ansatzes von ams.Solution, bei dem Sicherheit nicht als einmalige Maßnahme verstanden wird, sondern als fortlaufender Prozess, der regelmäßig auf den Prüfstand gestellt wird. Nikas Schröder, Vorstand Produkt, Entwicklung und IT bei ams.Solution, bringt es auf den Punkt: „Das Audit bestätigt, was wir intern täglich leben: Sicherheit ist nicht die Aufgabe einer einzelnen Abteilung oder der IT, sondern eine grundsätzliche Haltung im gesamten Unternehmen. Dass unsere Mitarbeiterinnen und Mitarbeiter dies so eindrucksvoll unter Beweis gestellt haben, freut uns sehr und macht uns stolz.“
ams.Solution AG plant, Sicherheitsaudits dieser Art künftig in (un-)regelmäßigen Abständen zu wiederholen und damit den eingeschlagenen Weg einer proaktiven, ganzheitlichen Sicherheitskultur konsequent fortzusetzen.
Bildmaterial zu dieser Meldung finden Sie unter folgendem Download-Link »
