• IBS Schreiber GmbH >
• Prüfung & Beratung >
• Prüfungen >
• Prüfung von Datenbanken

Prüfung von Datenbanken

KURZBESCHREIBUNG DER DIENSTLEISTUNG:

Analyse der Datenbanken

• Prüfung von Datenbanken wie Oracle, MS-SQL, MySQL, DB2, MS Access usw.
• Einsichtnahme, Analyse und Bewertung der Datenbank-Policy
• Prüfung der technischen und organisatorischen Betriebskonzepte für die Datenbanken
• Analyse und Bewertung des Change- und Release-Managements
• Analyse der Zugriffsrechte und der Funktionstrennungen
• Abgleich der Soll-Vorgaben mit den Ist-Zuständen

Technische Prüfung der Datenbanken

• Scannen der Datenbanken mit mindestens zwei verschiedenen Tools
• Verifizieren der gefunden Schwachstellen und deren Notwendigkeit
• Manuelle technische Analyse kritioscher Dienste und Funktionen
• Analyse und Bewertung der Schwachstellen in Abgleich mit der Betriebs-Policy

Manuelle Prüfungen der Datenbanken

• Analyse von Konfigurationsfiles und Zugriffsberechtigungen
• Analyse und Bewertung von organisatorischen Regeln für den Betrieb, Logging und Auswertung
• Prüfung der Abbildung der Prozesse auf den zu testenden Systemen
• Begehung und Bewertung des Betriebes der Systeme
• Interview relevanter verantwortlicher Personen zum Betrieb der Systeme

Auswertungen

• Detaillierte Auswertung und Dokumentation der Analysen, Aufzeigen der Schwachstellen und Bewerten der Risiken und Eintrittswahrscheinlichkeiten
• Abgleich der Ist-Zustände mit den Soll-Vorgaben der Konzeptionen und den rechtlichen Anforderungen orientiert an den Geschäftsprozessen dieser Systeme

NUTZEN FÜR DEN KUNDEN:

Schneller Überblick

• Schneller Überblick über den Sicherheitsstand der Datenbanken
• Empfehlungen für Maßnahmen zur Behebung von Sicherheitslücken
• Darstellung der Gefährdungspotentiale und den daraus resultierenden Risiken
• Revisionsgerechte Aufbereitung und Maßnahmen-Darstellung
• Basis zur Risikoabschätzung und weiterer Prüfschritte

Aktuelle Empfehlungen

• Durch Einsatz aktueller Scan-Tools neueste Informationen über Sicherheitslücken
• Aktuelle Informationen über Updates und Behebung der Sicherheitslücken
• Darstellung aktueller Sicherheits-Standards und deren Migration dahin

VORGEHENSWEISE:

Voraussetzung

• Netzzugang für Ethernet mit einer im Netz gültigen IP-Adresse
• Benennung der zu prüfenden Systeme
• Zugang und Einsichtmöglichkeit der Dokumentationen
• Erreichbarkeit der Systeme zur technischen Prüfung

Durchführung

• Vereinbarung über die zu prüfenden Systeme und Komponenten
• Terminabstimmung und Durchführung vor Ort oder von Extern
• Kurzdurchsprache vor Ort über gravierende Schwachstellen
• Auswertung und Erstellung des Berichtes und der Präsentation für das Management und die ITFührung
• Abschlussbesprechung und Präsentation vor Ort mit Durchsprache der Maßnahmen und Empfehlungen