Beauftragung eines Sicherheits-Checks

[as-oc]

Ich bin Inhaber einer kleinen Handels-Firma. Wir verfügen über einen Online-Zugang auf einen eigenen Shop-Server und es sind 3 weitere DSL Zugänge auf unsere Warenwirtschaft mit den Außenlagern eingerichtet. Bei dem Thema Sicherheit kommen mir Zweifel. Es sind unterschiedliche Betriebssysteme installiert ( WIN und Linux)
Ich stelle mir nur mal vor, der Wettbewerb könnte alle Ein- und Verkaufspreise einsehen....
Daher meine Frage:
Wem kann ich ganz legal damit beauftragen, mir Sicherheitslücken aufzuzeigen und was würde ein "Auftrags-Hacker" für Kosten verursachen ?
Wer kann mir weiterhelfen?

 

[EL]

Hi, also die Leute die du da beauftragen kannst nennen sich "Penetration Tester". Diese Leute führen einen sogenannanten "Security Audit" durch.
Mit diesen Schlagwörtern kannst du viele Firmen dafür finden. Allerdings kosten solche Audits nicht gerade wenig Geld. Dafür hast du aber (im Normalfall) echte Profis am Start.
Ich hoffe ich konnte ein wenig Licht ins Dunkle bringen

 

[as-oc]

Sicherheits-Checks

Zunächst vielen Dank für Deine Antwort. Ich habe mir auch ein paar Informationen eingeholt, bin etwas schlauer geworden. Leider sprengen die Kosten mein kleines Budget, zumal ein Sicherheitsgrundkonzept vorhanden ist. Ich denke aber auch, dass unsere Softwarefirma nicht alles wissen kann und würde daher eine Prüfung von Dritter Seite her, als gut empfinden.
Wäre es vorstellbar, dass man jemanden findet, der (im Auftrag von mir) unser System von außen prüft und für jede aufgefundene Sicherheitslücke eine "erfolgsorientierte " Prämie erhält? Vielleicht gibt es "Freak's", für die eine kleine Prämie und der Erfolg als Anerkennung ausreichen.

 

[ERit]

bei soetwas muss dir aber klar sein dass es durchaus sein kann dass derjenige, den du beauftragt hast dann gewisse sachen vor dir geheim hält. ich möchte dich da nicht verschrecken sondern nur darauf hinweisen.

 

[Gulliver]

Es muss nicht immer eine renomierte Sicherheitsfirma sein. Nessus/nmap/dig bedienen koennen auch andere Leute. Und je nachdem was dein Geschaeft wert ist- zahle eben.

Was wuerde es dich kosten wenn ein Konkurrent DEINE Daten sieht?

 

[as-oc]

Leider habe ich selbst von Computersicherheit nicht viel Kennung. Was heißt übersetzt: "Nessus/nmap/dig" ?

 

[bitmuncher]

Nessus ist ein Security-Scanner, nmap ein Portscanner und mit dig lassen sich verschiedene Host-Informationen (meist fuer DNS-Anfragen genutzt) abfragen.

 

[end4win]

Was die Einwände gegen deine Sparaktion betrifft.

Könntest du dich danach wirklich sicher fühlen?

Wie willst du die Qualität beurteilen?
Was ist wenn dein Tester deinen Server abschiesst?
Was ist wenn eine Lücke auf dem freien Markt mehr Wert ist, als du bezahlst?

Eine Firma hat wenigstens einen Ruf zu verlieren und in der Regel auch ein wenig
Erfahrung wie man testet ohne Schäden oder Ausfallzeiten zu verursachen.


Gruss

 

[DT-Crackz-DT]

Dies ist natürlich eine komplizierte Situation.
Aber ich schließe mich einigen Meinungen an!

Wenn du Privat Jemanden beauftragst kannst du dir nie sicher sein was er mit seinen Ergebnissen anstellt. Stell dir vor der Typ wird plötzlich Pleite oder so... Dann denkt er
" Ach stimmt ich hab ja noch die Daten von diesem Geschäftsherrn mal sehen wie viel andere für ein paar Infos zu den Lücken in seinem System bereit sind zu zahlen!"
Oder so ähnlich....

Wenn du dir sorgen machst..investiere in Profis oder schaue deine Sicherheitskonzepte an... Benutzt VPN Tunnel durchs Netz, konfiguriert eure Firewall bis ins kleinste Detail...und dann dürfte es nicht mehr viele Lücken geben. Und die die es noch gibt, naja ich denke mal dass die den Aufwand nicht wert sind.... Ich weiß ja nicht genau wie viel die Konkurrenz für einen Einblick in eure Daten bezahlen will.

Kurz gesagt: Wenn dir deine Daten sehr viel wert sind....Profis holen.

Wenn sie dir nicht so viel wert sind dass du jemanden (Profi ) mit ins Boot holst lass es ganz.... "Freizeit Hacker sind gefährlicher als ein System ohne Firewall"

 

[as-oc]

o.k, das sind berechtigte Einwände. Aus Sicht eines Laien :
1. Qualität entscheidet sich nach Erfolg / Misserfolg. Was für die eine Seite ein Erfolg, ist für die andere Seite ein Misserfolg. Gelingt ein Eindringen, muss die Lücke geschlossen werden. Gelingt es nicht, ist ja alles in Ordnung und man kann beruhigt schlafen.
2. Schießt ein Tester das System ab, was nicht passieren soll und darf, ist es mit der Sicherheit nicht weit her. Jemand der Arges im Schilde führt, hätte früher oder später ja dann auch die Möglichkeit. Diese frühzeitig zu erkennen ist aus meiner Sicht sinnvoll, zumal es hier abgesprochen wäre und die Schadensursache sicherlich leicht zu beheben ist.
3. wenn das Honar geringer ausfällt als der Marktpreis... tja, dass wäre dumm. Aber ich denke, dass die Berufsehre hier gefragt ist. Nicht alles und jeder ist käuflich. Und zwischen legal und rechtmäßig auf der einen Seite und "kriminellen Machenschaften" auf der anderen Seite, verhält es sich wohl wie beim Auftragsgraffiti. Wenn ein EDV-Ass eine Herausforderung und Bestätigung sucht
ist das nicht anrüchig und er kann jeden Morgen getrost in den Spiegel sehen.

4.Eine Firma hat viele Vorteile-ohne Frage. Ich finde die Entwicklung in der Computertechnik einerseits sehr vielversprechend, andererseits macht es mir Sorge. Es gibt auch in dieser Branche viele schwarze Schafe (da brauche ich mir nur mal täglich die ganzen Mail anzusehen...) und nicht alles Unheil kommt von Privatpersonen.
Bei einer Firma ist man sicherlich auf der besseren und sicheren Seite. Da gibt es aber noch ein paar Überlegungen:
a) Söldner oder Patriot ? Kämpfen beide gleich "leidenschaftlich" ?
b) Da solche Firmen (für ihre umfangreichen Arbeiten) keinen karitativen Zweck verfolgen und ich mit meinem kleinen Betrieb bereits unter der erdrückenden Abgabenlast zu leiden habe und nicht nur für die Computertechnik arbeiten kann, ist das Budget leider etwas zu gering. Besonders dann, wenn ich das Resultat nicht werten kann. Wer stellt sicher, dass ich bei meiner Auswahl auch die richtige Firma und auch den richtigen Mitarbeiter beauftragt habe? Das die Diagnose tatsächlich stimmt. Ist das Ergebnis erfolgsgeschuldet oder wie beim Arzt, der statt Blinddarm mal die Galle operiert? Welche Firma gewährt zum Befund Garantien oder haftet? Das kann wohl keiner. Ein Restrisiko wird immer bleiben

 

[LX]

Vielleicht ein Gedanke:

Statt einen zu bezahlen dafür, dass er versucht, bei euch einzudringen, könntet ihr euch auch einen leisten, der euch einfach nur sagt, welche wichtigen Aspekte es zu beachten gilt. Deren Umsetzung dann zu prüfen könnt ihr auch selber bzw. das müsstet ihr sowieso tun, wenn eine Lücke auf anderem Wege aufgedeckt wurde.

Jemand, der eine Penetration versucht, der wird auch nur einen Katalog einzelner bekannter Schwachstellen testen und schauen, wie weit er kommt. Das ist eine Menge Trial&Error, die im Zweifelsfall bezahlt werden muss. Aber ich wüsste nicht, warum man jemandem (um mal ein lapidares Beispiel zu nennen) 3 Stunden bezahlen sollte, bis der irgendeine SQL-Injection in Software X hinbekommen hat, statt nur 10 Minuten dafür, dass er euch erklärt, wie man das hätte verhindern können.

 

[EL]

Jemand, der eine Penetration versucht, der wird auch nur einen Katalog einzelner bekannter Schwachstellen testen und schauen, wie weit er kommt.

also sorry...dann ist das n n00b unternehmen! Echte Pentester (die ihr geld auch wert sind) haben da schon n bisschen mehr auf m kasten...

 

[Dawen]

Original von EL

Jemand, der eine Penetration versucht, der wird auch nur einen Katalog einzelner bekannter Schwachstellen testen und schauen, wie weit er kommt.

also sorry...dann ist das n n00b unternehmen! Echte Pentester (die ihr geld auch wert sind) haben da schon n bisschen mehr auf m kasten...

Es wird aber zuerst so gemacht. Eigentlich sollte jemand kommen, der Informationen einholt zu :

-> Wie ist das Netzwerk aufgebaut
-> Welche Software wird benutzt ( eigentliche alles was von aussen erreichbar ist , also Serverdienste )
-> Wie die Mitarbeiter verwaltet werden
-> Welche(s) Os(e) benutzt werden

Anhand dieser Informationen, werden Szenarien erstellt, die sich für einen Angriff eignen und dem Kunden dann wieder präsentiert. Er kann nun selber entscheiden, ob er die von der Firma XYZ beseitigen möchte oder es selber machen will. Es gibt auch die Möglichkeit mit solchen Firmen Verträge zu schliessen. Man informiert die Firmen über neue Software/Updates die installiert werden und die Firma prüft die Verträglichkeit mit der bestehenden Infrastruktur.

Man sagt nicht : Ich habe eine Firma, versuch einzubrechen. 5 Leute setzen sich hin und versuchen alles mögliche, es wäre finanziell gar nicht machbar. Informationen die ein Angreifer bräuchte werden direkt Vorort eingeholt ( wozu versuchen, wenn Fragen billiger ist ).

Hauptproblem ist, dass sich die meisten Leute gar nicht dran halten. Einer kommt mit dem Notebook an hängt sich ins WLan ein, der ganze Schutz ist hin. Es wird also auch ( bei einer guten Firma ) viel Wert auf Aufklärung gelegt.

 

[EL]

das was du da meinst ist die Vorstufe, die sogenannte "Reconnaissence"...das kann schon sein dass das noch als "lukratives Angebot" läuft...aber spätestens bei den Phasen "Enumeration" und "Exploitation"...kostet das halt richtig Asche.
Und klar setzen sich da nicht 5 Leute ran und geben sich n fetten trial&error...wie vorhin schon gesagt, diese Leute wissen halt was sie tun. Die können gut nach 2 Std. sagen was machbar ist und was nicht....

 

[fetzer]

Original von as-oc
Welche Firma gewährt zum Befund Garantien oder haftet?

Das wird niemand tun. Eine Sicherheitsfirma kann dir zwar 90%ige Sicherheit gewähren und dich beispielsweise gegen kleinere Angriffe schützen, wenn jemand allerdings an deine Daten will, dann wird er mehr versuchen, als ein normaler Auditor testen kann. Und das geht eben von Spionage via WLAN bis hin zu Social Engineering, gegen das die Mitarbeiter geschult werden sollten und das eine Firma, die einen einfachen Test ( der allerdings auch schon bis zu x0.000? kosten kann, das beinhaltet z.b. die Stufen, die EL genannt hat ) durchführt oft nicht anbietet.

Wie willst du die Qualität beurteilen?
Was ist wenn dein Tester deinen Server abschiesst?
Was ist wenn eine Lücke auf dem freien Markt mehr Wert ist, als du bezahlst?

und

Wenn du Privat Jemanden beauftragst kannst du dir nie sicher sein was er mit seinen Ergebnissen anstellt.

Die Punkte sollten vertraglich geregelt werden, dazu auch noch, welche Lücken es gibt, welche es nicht gibt, usw... Wer sich nicht wirklich rechtlich absichert ist letztendlich selbst Schuld.
Die Angstmache ist absolut nicht begründet, sofern die Firma nicht einen dahergelaufenen Möchtegern-Hacker anheuert.

Wenn sie dir nicht so viel wert sind dass du jemanden (Profi ) mit ins Boot holst lass es ganz.... "Freizeit Hacker sind gefährlicher als ein System ohne Firewall"

Sry, das ist absoluter Schwachsinn. Du verbreitest die öffentliche Meinung, dass jeder Hacker ein "böser Mensch" ist. Es gibt genügend Leute, die beschäftigen sich in ihrer Freizeit damit, arbeiten eventl. selbst in einer Sicherheitsabteilung und kennen dadurch die Problematik.
Wie ich oben geschrieben habe: Wer sich nicht rechtlich absichert und jedem das Vertrauen schenkt und ihn auf seinem System "herumlaufen" lässt, der hat es letztenlich auch nicht anders verdient, Social Engineering ist da ja die einfachste Möglichkeit.

?as-oc:
Ich hab dir ne PN geschrieben.

 

[DT-Crackz-DT]

Ich habe damit nicht gemeint dass jeder Hacker ein böser mensch ist...Linus Torvalds ist ja auch ein Hacker und er tut nur gutes.

Aber mal im Ernst...man kann nie jemandem ganz vertrauen.Deshalb nimm lieber eine professionelle Firma.
Wenn du eine Einzel Person haben willst, dann vereinbare doch mit ihm einen schriftlichen Vertrag dass wenn er etwas von dem Wissen an 3te weitergibt, er sich strafbar macht und z.B 10000 ? zahlen muss.

 

[IsNull]

wenn er etwas von dem Wissen an 3te weitergibt, er sich strafbar macht

Macht man sich nicht sowieso strafbar?

 

[DT-Crackz-DT]

Das schon, aber der Typ würde nicht so schnell auf die Idee kommen, etwas zu verraten wenn er 10000 ? zahlen muss. Ob sich natürlich Leute darauf einlassen so einen Vertrag freiwillig zu unterschreiben ist fraglich!

 

[fetzer]

Bitte DT-Crackz-DT.. hör auf über Dingen zu reden, die du nicht versteht oder nicht kennst Bei Vetragsbruch kann eine Summe von 10.000? auch nur ein Bruchteil sein, ganz zu schweigen von Anwalts- und Gerichtskosten und möglicherweise einer Gefängnisstrafe, ja nachdem, welche Folge die Weitergabe der Daten hatte oder in welchem Umfang die Daten weitergegeben wurden.
Und natürlich steht das in jedem Vertrag drin, das steht doch wohl ausser Frage. Dafür ist ein Vertrag ja letztendlich da.

Linus Torvalds ist ja auch ein Hacker und er tut nur gutes.

Mit Hacker meinte ich jemanden, der in Systeme eindringt und keinen Hacker im Sinne des CCC. Und bitte: Fang nun keine Diskussion über die Definition an. Das wurde bekanntlich schon zu genüge diskutiert.

Ob sich natürlich Leute darauf einlassen so einen Vertrag freiwillig zu unterschreiben ist fraglich!

Deine Logik würde ich gern verstehen. Warum soll ich den Vertrag nicht unterschreiben, wenn ich die Daten nicht weitergeben will,. zum, Beispiel weil ich es nicht mit meinem Gewissen vereinbaren kann, damit möglicherweise eine kleine Firma zu zerstören? Warum sollte eine Firma die Daten nicht weitergeben wollen, zum Beispiel, um sich selbst noch zu bereichern? Man du schaust echt zuviel TV... nicht alle Menschen sind böse.

 

[DT-Crackz-DT]

Ich habe auch nicht gesagt dass jeder mensch böse ist fetzer. Du solltest meinen vorletzten beitrag lesen und nicht nur überfliegen.