Wissen Sie wirklich, wie sicher Ihre Systeme, Identitäten und Anwendungen sind und ob Ihre Organisation auf aktuelle Bedrohungen vorbereitet ist?

Viele Unternehmen investieren in IT-Sicherheit, ohne ein klares Bild ihrer tatsächlichen Risikolage zu haben. Schwachstellen bleiben unentdeckt, Zugriffsrechte wachsen unkontrolliert, Sicherheitsrichtlinien werden kaum gelebt und der Mensch bleibt das häufigste Einfallstor für Angriffe. Ohne strukturiertes Sicherheitsmanagement entsteht eine wachsende Angriffsfläche, oft unsichtbar, bis ein Vorfall eintritt.

Wie lässt sich sicherstellen, dass technische Schutzmaßnahmen, Governance-Strukturen und eine gelebte Sicherheitskultur zusammenwirken und Ihr Unternehmen sowohl regulatorischen Anforderungen als auch realen Bedrohungslagen standhält?

Insentis Cyber Security & Compliance schafft Transparenz, Struktur und Wirksamkeit. Wir helfen, Sicherheitsrisiken systematisch zu erkennen, Zugriffsmodelle konsequent durchzusetzen und eine Sicherheitskultur zu etablieren, die im Alltag trägt. Unser Ansatz verbindet technische Tiefe mit organisatorischer Verankerung, für Unternehmen, die Sicherheit nicht als Pflichtübung, sondern als strategischen Wettbewerbsvorteil verstehen. Dabei arbeiten wir eng mit unserem Business Consulting zusammen, um Sicherheitsanforderungen von Anfang an in Transformationsvorhaben zu integrieren. Ebenso fließen Erkenntnisse aus unserer IT Advisory ein, damit technische Sicherheitsmaßnahmen mit der Gesamtarchitektur und den geschäftlichen Zielen im Einklang stehen.

So stellen wir sicher, dass Cyber Security nicht isoliert wirkt, sondern als integraler Bestandteil einer resilienten, zukunftsfähigen Organisation.

Ansprechpartner Dennis Wallach

Ihr Ansprechpartner:

Dennis Wallach

Associate Partner | Head of Cyber & Compliance

Dennis Wallach ist Senior Manager und Head of Cyber mit 20 Jahren Erfahrung in Informationssicherheit, IT-Strategie und Krisenmanagement. Er unterstützt Unternehmen bei NIS2, ISO 27001, DORA und BSI IT-Grundschutz und verbindet Sicherheitsanforderungen pragmatisch mit unternehmerischen Zielen.

Mobil: +49 151 20016884
dennis.wallach@insentis.com

Services

Technisches
Sicherheits-
management

Pentests, App-Security,
Schwachstellen-
management

Wissen Sie wirklich, wo Ihre Anwendungen und Systeme angreifbar sind bevor es Angreifer herausfinden?

In vielen Unternehmen werden Sicherheitslücken erst dann sichtbar, wenn sie bereits ausgenutzt wurden. Pentests finden sporadisch statt, Schwachstellen bleiben unpriorisiert offen und die Sicherheit von Anwendungen wird im Entwicklungsprozess zu spät berücksichtigt. So entsteht eine wachsende Angriffsfläche, die weder vollständig bekannt noch systematisch adressiert wird.

Insentis etabliert mit Ihnen ein strukturiertes Programm aus gezielten Penetrationstests, Application Security Reviews und einem kontinuierlichen Schwachstellenmanagement. So erhalten Sie belastbare Erkenntnisse über Ihre tatsächliche Risikolage, klare Priorisierungen für die Behebung und eine nachhaltig sicherere Entwicklungs- und Betriebsumgebung.
> weiter

Zugriff &
Cloud

IAM/PAM,
Cloud Security,
Zero Trust

Haben Sie jederzeit den Überblick, wer in Ihrer Organisation auf welche Systeme und Daten zugreift auch in der Cloud?

Mit wachsenden Cloud-Umgebungen und hybriden Arbeitsmodellen verlieren viele Unternehmen die Kontrolle über Zugriffsrechte, privilegierte Konten und Datenpfade. Berechtigungen wachsen historisch gewachsen unkontrolliert, Identitäten werden unzureichend verwaltet und ein konsistentes Sicherheitsmodell fehlt. So entstehen weitreichende Angriffsflächen, die oft erst bei einem Vorfall sichtbar werden.

Insentis entwirft und implementiert mit Ihnen ein ganzheitliches Zugriffs- und Cloud-Sicherheitsmodell, von der Einführung eines robusten IAM/PAM-Frameworks über die Absicherung Ihrer Cloud-Infrastrukturen bis hin zur schrittweisen Umsetzung eines Zero-Trust-Ansatzes. So behalten Sie die Kontrolle über Ihre digitalen Assets: konsistent, nachvollziehbar und skalierbar.
> weiter

Governance &
Awareness

GRC,
Awareness-Programme,
Phishing-Simulation

Sind Ihre Mitarbeitenden und Strukturen tatsächlich auf dem Stand, den regulatorische Anforderungen und reale Bedrohungslagen heute erfordern?

Viele Unternehmen verfügen über Sicherheitsrichtlinien – doch diese sind oft veraltet, kaum bekannt und selten gelebt. Gleichzeitig bleibt der Mensch das häufigste Einfallstor für Cyberangriffe. Ohne strukturierte Governance-Prozesse und eine nachhaltige Sicherheitskultur entstehen Lücken, die technische Maßnahmen allein nicht schließen können.

Insentis unterstützt Sie beim Aufbau tragfähiger GRC-Strukturen, entwickelt zielgruppengerechte Awareness-Programme und führt realistische Phishing-Simulationen durch. So entsteht eine Sicherheitskultur, die nicht nur Compliance-Anforderungen erfüllt, sondern Ihre Mitarbeitenden zu einem aktiven Teil Ihrer Verteidigungslinie macht.
> weiter
Fokusthemen

Cyber

Sind Sie sich sicher bei der Umsetzung von NIS2?

Erfüllen Sie die neuen Anforderungen strukturiert, prüfungssicher und ohne Overhead – mit klarer Priorisierung und echtem Business-Fokus?

weiter >

Cyber – White Paper

Nutzen Sie das Potenzial Ihrer KI sicher?

KI ist für jeden zugänglich und damit auch für jeden relevant. Für die Unternehmensführung bedeutet das: Eine passive Haltung ist keine Option mehr. Wer die Gestaltung dieser Schlüsseltechnologie anderen überlässt, riskiert den Anschluss im globalen Wettbewerb.

weiter >

Cyber

KI-gestützte Cybersecurity

Soll Ihre Risikoabsicherung die Komplexität für Sie verringern statt zu erhöhen? – Cybersicherheit endet nicht mit der Installation einer Sicherheitslösung. Entscheidend ist, wie professionell sie in die bestehende IT-Infrastruktur integriert, überwacht und ausgewertet wird.

weiter >
Best Practices

Umfassende
Penetrationstests
für kritische
Schienen-
infrastruktur

Ausgangslage

Ein führendes deutsches Schienennetztransportunternehmen beauftragte uns mit kontinuierlichen Penetrationstests. Ziel war es, die Sicherheit der Vertriebsplattformen zu gewährleisten und kritische Infrastrukturen wie Webanwendungen, APIs und mobile Apps vor Angriffen zu schützen.

Herausforderung

Die enorme technologische Vielfalt der Plattform erforderte hochspezialisierte, teils manuelle Testverfahren für REST- und GraphQL-APIs, Webanwendungen sowie Apps. Standardisierte Tools reichten oft nicht aus. Erschwerend kamen spezifische Schutzmechanismen wie Anti-Emulator-Maßnahmen in den Apps hinzu, die durch gezieltes Patching oder Frameworks umgangen werden mussten. Zudem war eine strikte Zusammenarbeit mit Entwicklern sowie eine interne Akkreditierung zwingend erforderlich.

Insentis Beitrag

Unsere zertifizierten Experten führten in Test- und Produktionsumgebungen über 50 mehrphasige Pentests durch. Basierend auf OWASP-Richtlinien kamen neben gängigen Tools auch speziell entwickelte Skripte sowie Source-Code-Reviews zum Einsatz. Der Ablauf war strikt methodisch: Vom Kickoff über das Aufspüren von Logikfehlern bis zur Bewertung nach CVSS 4. Wir dokumentierten alle Schwachstellen detailliert, präsentierten konkrete Lösungsansätze und begleiteten die Behebung partnerschaftlich.

Ergebnis

Durch die kontinuierlichen Tests konnten potenzielle Sicherheitslücken in verschiedensten IT-Bereichen und Anwendungen frühzeitig identifiziert und nachweislich geschlossen werden. Umfassende Retests bestätigten die erfolgreiche Umsetzung der von uns empfohlenen Maßnahmen. Dies führte zu einer signifikanten und nachhaltigen Erhöhung der Sicherheit für die kritische Infrastruktur des Konzerns.

 

Ganzheitliches
Security
Assessment einer
IoT-Applikations-
landschaft

Ausgangslage

Ein internationaler Konsumgüterkonzern beauftragte uns mit einem umfassenden Security Assessment seiner IoT-Applikationslandschaft. Ziel war es, architektonische und infrastrukturelle Sicherheitslücken in mobilen Apps, Backend-APIs und der AWS-Cloud aufzudecken und zu beheben.

Herausforderung

Die primäre Herausforderung bestand in der ganzheitlichen Betrachtung einer sehr heterogenen und komplexen Systemlandschaft. Es mussten nicht nur isolierte Komponenten, sondern das Zusammenspiel von mobilen iOS- und Android-Anwendungen, verschiedenen Web-APIs sowie der zugrundeliegenden AWS-Infrastruktur analysiert werden. Dies erforderte tiefgreifendes technologisches Know-how, um die spezifischen Eigenheiten und Angriffsvektoren jeder Architekturschicht präzise bewerten zu können.

Insentis Beitrag

Wir starteten mit einem effizienten Threat Modeling der gesamten Landschaft. Darauf aufbauend führten wir zweiphasige Penetrationstests der Apps und Web-APIs sowie tiefgehende AWS Security Assessments nach CIS-Benchmarks durch. Ergänzt wurde dies durch Security Code-Reviews der APIs und begleitende Retests. Um das Sicherheitsniveau nachhaltig zu verankern, unterstützten wir zudem bei der Implementierung von SIEM- und Monitoring-Lösungen sowie der Absicherung der CI/CD-Pipelines.

Ergebnis

Durch das Assessment wurden kritische Schwachstellen über alle Architekturschichten hinweg erfolgreich identifiziert. Mit unseren passgenauen und detaillierten Behebungsvorschlägen konnte das IT-Sicherheitsniveau der Systemlandschaft signifikant und messbar gesteigert werden. Die zusätzlich implementierten Monitoring-Maßnahmen sorgen zudem für eine langfristig robuste und resiliente Architektur.

 

Produktauswahl
und Einführung
eines Patch
Management
Systems

Ausgangslage

Ein führender IT-Dienstleister für Banken beauftragte uns mit der Beratung bei der Auswahl und Einführung eines Patch Management Systems. Ziel war es, eine Standard-Software für das Management von Security- und funktionalen Patches zu finden, um IT-Sicherheit und Effizienz zu steigern.

Herausforderung

Die zentrale Herausforderung bestand darin, die komplexen und hochgradig regulierten Anforderungen eines IT-Dienstleisters im Bankenumfeld an ein zentrales Patch Management zu ermitteln und zu konsolidieren. Auf dieser Basis mussten am Markt verfügbare Standard-Softwarelösungen präzise evaluiert werden. Dies erforderte nicht nur eine tiefgehende technische Analyse der Kundenbedürfnisse, sondern auch eine sorgfältige und methodische Bewertung der Vor- und Nachteile aller verfügbaren Optionen.

Insentis Beitrag

Zunächst ermittelten und konsolidierten wir in enger Abstimmung alle Anforderungen an das System. Anschließend evaluierten wir diverse am Markt verfügbare Lösungen. Basierend auf unseren detaillierten Analysen formulierten wir eine fundierte Handlungsempfehlung und entwickelten maßgeschneiderte Konzepte für die Integration. Zudem begleiteten wir den Kunden aktiv bei der technischen Implementierung, einschließlich der erfolgreichen Durchführung eines Proof-of-Concepts und der finalen Pilotierung.

Ergebnis

Der Kunde erhielt eine methodisch fundierte Entscheidungsgrundlage für die Auswahl der optimalen Patch Management Software. Durch unsere durchgehende Begleitung verlief die anschließende Implementierung äußerst effizient und reibungslos. Mit der erfolgreichen Einführung des neuen Systems konnte der IT-Dienstleister sowohl seine operative Systemeffizienz als auch die IT-Sicherheit messbar erhöhen.

 

Security
Assessment für
Cloud- und
Container-
Infrastrukturen

Ausgangslage

Ein führender IT-Dienstleister im öffentlichen Sektor beauftragte uns mit der Sicherheitsbewertung seiner Public Cloud und Kubernetes-Landschaft. Ziel war es, Sicherheitslücken zu schließen und die Compliance mit nationalen sowie internationalen Standards nachhaltig zu gewährleisten.

Herausforderung

Die zentrale Herausforderung bestand in der detaillierten Sicherheitsbewertung einer hochkomplexen Cloud-Infrastruktur, die Kubernetes-Cluster, Linux-VMs und eine integrierte CI/CD-Pipeline umfasste. Es galt, tiefgreifende technologische Abhängigkeiten zu analysieren und Schwachstellen präzise zu identifizieren. Dabei musste ein besonderes Augenmerk auf die strikte Einhaltung höchster nationaler und internationaler Sicherheitsstandards bei laufendem Betrieb gelegt werden.

Insentis Beitrag

Wir führten ein Reifegrad-Assessment sowie Threat Modeling nach der STRIDE-Methode durch. Darauf folgten Whitebox-Penetrationstests gemäß BSI- und OWASP-Standards. Zusätzlich entwickelten wir ein tiefgreifendes Sicherheitskonzept für die CI/CD-Pipeline basierend auf dem Defense-in-Depth-Ansatz. Neben der Erstellung eines detaillierten Abschlussberichts mit konkreten Risikobewertungen unterstützten wir das Team durch gezieltes Enablement-Coaching, Ticket-Support und finale Retests.

Ergebnis

Die umgesetzten Maßnahmen führten zu einer signifikanten Verbesserung der Sicherheit in der gesamten Cloud- und Container-Landschaft. Die Infrastruktur erfüllt nun nachweislich die strengen Anforderungen internationaler Sicherheitsstandards. Durch unsere kontinuierliche Unterstützung und das abschließende Retesting konnte zudem eine nachhaltige Sicherheitskultur im Unternehmen etabliert werden.

 

Maß-
geschneidertes
Security
Awareness Training
mit Live-Hacking

Ausgangslage

Ein namhafter Produzent in der Süßwarenindustrie erkannte die Notwendigkeit, das Bewusstsein für Cybersicherheit in der Belegschaft zu schärfen, um die IT vor Bedrohungen zu schützen. Ziel war es, Mitarbeiter über gängige Risiken aufzuklären und präventive Maßnahmen interaktiv zu vermitteln.

Herausforderung

Die primäre Herausforderung bestand darin, ein maßgeschneidertes Schulungsprogramm zu entwickeln, das exakt auf die spezifischen Unternehmensstrukturen und den Wissensstand der Belegschaft abgestimmt ist. Um trockene Theorie zu vermeiden, musste ein eindrucksvolles Live-Hacking-Szenario – konkret ein simulierter Phishing-Angriff mit vollständiger Systemübernahme – realitätsnah und technisch einwandfrei vorbereitet werden, um die massiven Konsequenzen unzureichender Awareness greifbar zu machen.

Insentis Beitrag

Nach einem initialen Kickoff passten wir die Schulungsmaterialien exakt an die Spezifika des Unternehmens an. In 16 intensiven Workshops über vier Tage schulten wir über 300 Mitarbeiter praxisnah im sicheren Umgang mit IT-Systemen. Das Highlight bildete eine realistische Live-Hacking-Demonstration, bei der wir einen Phishing-Angriff mit anschließender Systemübernahme simulierten. Eine finale Präsentation fasste die Ergebnisse zusammen und zeigte klare Weiterentwicklungsmöglichkeiten auf.

Ergebnis

Die Belegschaft erwarb grundlegende und direkt anwendbare Fähigkeiten, um Cyberrisiken im Arbeitsalltag frühzeitig zu erkennen und abzuwehren. Besonders das eindrucksvolle Live-Hacking schuf ein nachhaltiges Verständnis für die Brisanz von IT-Sicherheit. Die Mitarbeiter wurden so nachhaltig befähigt und motiviert, aktiv und kompetent zum Schutz der gesamten Unternehmens-IT beizutragen.

 

Informations-
sicherheit und
BCM-Transformation
im Public Sector

Ausgangslage

Ein bundesweiter Träger der Sozialversicherung stand vor der Aufgabe, seine historisch gewachsene IT-Landschaft abzusichern. Ziel war die Etablierung eines einheitlichen Sicherheitsniveaus gemäß BSI IT-Grundschutz sowie der Aufbau eines belastbaren BCM nach BSI-Standard 200-4.

Herausforderung

Die größte Herausforderung war die Steuerung eng verzahnter Teilprojekte über heterogene Fach- und IT-Bereiche hinweg bei laufendem Betrieb. Einerseits mussten flächendeckende IT-Grundschutz-Checks in einer komplexen Architektur durchgeführt werden. Andererseits erforderte die BCM-Thematik nach BSI 200-4 eine tiefgreifende Sensibilisierung für Notfallvorsorge. All dies geschah unter dem strengen regulatorischen Rahmen und den hohen Compliance-Anforderungen des öffentlichen Sektors.

Insentis Beitrag

Wir übernahmen die übergreifende Steuerung des Transformationsprogramms. Unsere Experten führten systematische IT-Grundschutz-Checks durch, um Risiken transparent zu machen, und etablierten klare Governance-Strukturen. Parallel dazu konzipierten und integrierten wir ein Business Continuity Management strikt nach BSI-Standard 200-4. Durch aktives Risiko- und Abhängigkeitsmanagement stellten wir die termin- und budgetgerechte Umsetzung sicher und bauten nachhaltiges Wissen in den Teams auf.

Ergebnis

Das Programm wurde in Zeit und Budget erfolgreich abgeschlossen. Die Grundschutz-Checks schufen verlässliche Transparenz über die IT-Sicherheitslage. Durch das neu etablierte BCM nach BSI 200-4 ist die Organisation nun optimal auf Notfälle vorbereitet. Klare Governance-Strukturen stärken die Handlungsfähigkeit, während das Management von fundierten Entscheidungsgrundlagen profitiert.

 

Cyber-Krisen­übung
zur Stärkung der Resilienz
imFinanz­sektor

Ausgangslage

Eine führende deutsche Vermögensverwaltung beauftragte uns mit der Begleitung einer unternehmensweiten Cyber-Krisenübung. Ziel war es, die Krisenprozesse und Incident-Response-Fähigkeiten unter realistischen Bedingungen anhand eines Ransomware-Szenarios zu testen und gezielt zu stärken.

Herausforderung

Die zentrale Herausforderung bestand darin, ein realitätsnahes Ransomware-Szenario zu entwickeln und gleichzeitig die Effektivität der Krisenbewältigung auf mehreren Ebenen zu bewerten: operative Incident Response, interne und externe Krisenkommunikation sowie das koordinierte Zusammenspiel verschiedener Abteilungen und externer Dienstleister. Es galt, technische wie organisatorische Schwachstellen unter echtem Zeitdruck zu identifizieren – ohne den regulären Betrieb zu gefährden.

Insentis Beitrag

Wir erstellten ein maßgeschneidertes Drehbuch auf Basis eines mehrstufigen Ransomware-Angriffs und stimmten das Szenario eng mit dem Kunden ab. Als externe Beobachter begleiteten wir die Übung und bewerteten strukturiert die Krisenbewältigung – von der Alarmierung über die Incident Response bis hin zur Krisenkommunikation mit Behörden und Öffentlichkeit. Ein detaillierter Abschlussbericht mit priorisierten Handlungsempfehlungen und Quick-Wins schloss das Projekt ab.

Ergebnis

Die Übung legte operative Schwachstellen in den Krisenprozessen offen und lieferte ein klares Bild über den tatsächlichen Reifegrad der Incident-Response-Fähigkeiten. Die priorisierten Handlungsempfehlungen ermöglichten eine gezielte und nachhaltige Stärkung der Cyber-Resilienz und legten den Grundstein für regelmäßige Krisenübungen als festen Bestandteil des Sicherheitsprogramms.

 

KRITIS-Nach­weis­audit
nach §8a BSIG für
einen Pharma­hersteller

Ausgangslage

Ein etablierter Pharmahersteller als Betreiber kritischer Infrastruktur war gesetzlich verpflichtet, alle zwei Jahre die Einhaltung angemessener IT-Sicherheitsmaßnahmen gegenüber dem BSI nachzuweisen. Dazu war ein unabhängiges Prüfungsgutachten gemäß §8a BSI-Sicherheitsgesetz erforderlich.

Herausforderung

Die Herausforderung bestand in der strukturierten Prüfung eines komplexen Informationssicherheits-Managementsystems gegen den branchenspezifischen Sicherheitsstandard B3S Pharma in der Version 2.0. Kritische Dienstleistungen wie Auftragsannahme, Logistik und Pharmakovigilanz sowie die zugehörige IT-Infrastruktur mussten vollumfänglich bewertet werden – sowohl dokumentarisch als auch durch technische Vor-Ort-Prüfungen am Standort Heppenheim.

Insentis Beitrag

Als zertifizierte §8a-Auditoren führten wir das Prüfungsaudit mit einem erfahrenen Lead- und Co-Auditor-Team durch. Nach einem initialen Kickoff und der Sichtung der ISMS-Dokumentation folgten Interviews, eine eintägige Begehung sowie eine tiefgehende Dokument- und Systemanalyse. Alle Anforderungen des B3S Pharma wurden bewertet und in einem strukturierten Prüfbericht mit schwerwiegenden und geringfügigen Abweichungen sowie konkreten Verbesserungsempfehlungen dokumentiert.

Ergebnis

Der Kunde erhielt einen vollständigen, BSI-konformen Prüfbericht, der alle gesetzlichen Anforderungen des Nachweisverfahrens nach §8a BSIG erfüllt. Identifizierte Abweichungen und Empfehlungen lieferten eine klare Grundlage zur gezielten Weiterentwicklung des Sicherheitsniveaus. Der Pharmahersteller konnte seine KRITIS-Compliance damit nachweislich sicherstellen.

 

Compromise
Assessment nach
verdächtigem
Sicherheits­vorfall

Ausgangslage

Ein Berliner Immobilienunternehmen vermutete nach einem verdächtigen USB-Stick-Vorfall, Opfer eines gezielten Angriffs geworden zu sein. Ziel war eine forensische Prüfung der Systeme sowie ein umfassendes IT-Sicherheitsassessment der gesamten Infrastruktur.

Herausforderung

Die zentrale Herausforderung bestand darin, unter Zeitdruck sowohl eine forensische Analyse potenziell kompromittierter Systeme als auch eine vollständige IT-Sicherheitsbewertung durchzuführen. Erschwerend kam hinzu, dass neben der digitalen Infrastruktur auch physische Räumlichkeiten auf versteckte Spionageartefakte wie Wanzen, Kameras und Mikrofone untersucht werden mussten – ein Ansatz, der technische Forensik und physische Sicherheit in einem Assessment vereint.

Insentis Beitrag

Wir führten ein modulares Onsite-Assessment in Berlin durch. Das Quick Security Assessment umfasste 30 Arbeitsplatzsysteme, die interne Infrastruktur und die M365-Umgebung sowie die physische Begehung auf Spionageartefakte. Im Compromise Assessment untersuchten wir potenziell kompromittierte Systeme forensisch auf Angriffsaktivitäten. Kritische Findings wurden sofort kommuniziert; ein detaillierter Abschlussbericht mit Behebungsmaßnahmen schloss das Projekt ab.

Ergebnis

Das Assessment lieferte dem Kunden ein klares Bild über den tatsächlichen Sicherheitszustand der gesamten IT-Infrastruktur. Forensische Analysen ermöglichten eine fundierte Einschätzung des Kompromittierungsausmaßes. Mit den priorisierten Behebungsmaßnahmen konnte das Unternehmen gezielt und effizient reagieren und sein Sicherheitsniveau nachhaltig erhöhen.

 

Web Application
Penetrations­test
für eine neue
Finanz­plattform

Ausgangslage

Eine führende deutsche Vermögensverwaltung plante den Livegang einer neuen, von Adesso entwickelten Vertriebsplattform. Vor dem Going-Live sollte ein umfassendes Security Assessment der Webapplikation und der zugrundeliegenden Infrastruktur die Sicherheit der Plattform nachweislich gewährleisten.

Herausforderung

Die Herausforderung bestand darin, eine noch nicht final fertiggestellte, technologisch heterogene Plattform mit mehreren Rollen, einer Smalltalk-basierten Backendapplikation sowie einer Java- und JavaScript-Frontend-Architektur präzise zu testen. Dabei mussten Testumgebung und Produktionsumgebung strikt getrennt behandelt werden, während kritische Sicherheitslücken unmittelbar und noch vor dem Livegang kommuniziert und behoben werden mussten.

Insentis Beitrag

Unsere OSCP- und OSWE-zertifizierten Experten führten einen mehrstufigen Greybox-Penetrationstest des Vertriebspartnerportals und der Website nach OWASP WSTG und ASVS durch. Optional ergänzten wir dies durch einen Whitebox-Pentest mit Security Source Code Review. Abschließend prüften wir die Produktionsumgebung auf sicheren Betrieb. Alle Schwachstellen wurden detailliert dokumentiert, nach CVSS bewertet und mit individuellen Behebungsmaßnahmen versehen.

Ergebnis

Kritische Sicherheitslücken wurden noch vor dem Livegang identifiziert und nachweislich geschlossen. Der Kunde erhielt eine klare, nach Risiko priorisierte Übersicht aller Schwachstellen sowie konkrete Behebungsmaßnahmen. Die Plattform konnte auf Basis der Testergebnisse sicher und mit nachweislich gestärktem Sicherheitsniveau in Betrieb genommen werden.

 

Sicherheits­konzept
nach BSI IT-Grundschutz
für eine
VoIP-Infra­struktur

Ausgangslage

Ein führendes Telekommunikations-Systemhaus erhielt den Zuschlag für die Beschaffung und Implementierung einer VoIP-Lösung bei einer Landesoberbehörde. Vertraglich verpflichtend war die Erstellung eines Sicherheitskonzepts nach BSI IT-Grundschutz und TL-02103 als Grundlage für die sichere Umsetzung.

Herausforderung

Die Herausforderung bestand in der Erstellung eines normkonformen Sicherheitskonzepts für eine hochredundante VoIP-Anlage mit bis zu 150.000 Teilnehmern und erhöhtem Schutzbedarf. Behördliche Vorschriften, eine komplexe Architektur mit mehreren Softwareherstellern sowie die enge Abstimmung zwischen Systemhaus, Endkunde und Insentis erforderten ein strukturiertes Vorgehen – von der Ist-Aufnahme über das Threat Modeling bis zur finalen Dokumentation.

Insentis Beitrag

Wir starteten mit einem Workshop zur Ist-Aufnahme und einem Reifegrad-Assessment mit allen relevanten Beteiligten. Darauf aufbauend führten wir eine Bedrohungs- und Risikoanalyse der gesamten VoIP-Architektur mittels Threat Modeling nach STRIDE durch. Auf dieser Basis erstellten wir ein vollständiges Sicherheitskonzept gemäß BSI IT-Grundschutz Kompendium, TLSTK II und TL-02103 – inklusive Risikobewertung, Schutzmaßnahmen und konkreten Mitigationsempfehlungen für jede identifizierte Bedrohung.

Ergebnis

Der Kunde erhielt ein vollständiges, normkonformes Sicherheitskonzept als verbindliche Sicherheitsgrundlage für die Implementierung der VoIP-Lösung. Alle Bedrohungen wurden umfassend bewertet und mit passgenauen Maßnahmen adressiert. Das Konzept ermöglichte eine sichere und regelkonforme Inbetriebnahme der Anlage – der Kunde entschied sich anschließend für eine weitere Zusammenarbeit.

 

...

mehr...

Ihre Herausforderung ist nicht dabei?
Kontaktieren Sie uns für weitere Informationen und Projektreferenzen.

 

Ihr Ansprechpartner:

 

Dennis Wallach

Mobil: +49 151 20016884
dennis.wallach@insentis.com

 

scroll to top

 

Partner & Netzwerke
bdu Logo
Bitkom Logo
IT Security Logo
gaja-x Zertifizierungs-Logo
Logo
ecovadis Logo
great-place-to-work-Logo
Logo Strategyframe-ai
certVision Logo
Cambrion-Logo
Logo Defenderbox