• Referenzen

    Sicherheit für sensible Daten

Sicherheitsanalyse und Penetrationstest bei einer Firmenpensionskasse

Der Kunde

Unser Kunde ist ein Mittelständler aus dem Bereich der überbetrieblichen Altersvorsorge. Zu seinen Aufgaben gehören sämtliche Dienstleistungen zur Gestaltung, Verwaltung und Absicherung von Versorgungszusagen. Bundesweit haben sich über 2.000 Unternehmen unserem Kunden angeschlossen und bilden über ihn Versorgungsleistungen z.B. im Vorruhestand oder bei Erwerbsminderung ab.

Die Herausforderung

Unser Kunde hat über 700.000 Einzelmitglieder, deren Daten er zentral digital verwaltet. Bei den Daten handelt es sich um hochsensible Daten, da sie u.a. den Gesundheitszustand des Mitgliedes betreffen. Ein Datenleck hätte kaum zu beziffernde Konsequenzen für das Image des Unternehmens. Sich daraus ergebende Kosten könnten nicht getragen werden, weil unser Kunde als Social-Profit-Unternehmen keine Gewinne macht.

Die Kollegen der HEC wurden beauftragt, das interne Netzwerk einer Sicherheitsanalyse zu unterziehen, Schwachstellen zu dokumentieren und entsprechend zu berichten.

Die Umsetzung

Beim Kunden vor Ort wurde ein manueller Penetrationstest durchgeführt. Das interne Netzwerk wurde aus Angreifersicht betrachtet, damit potentielle Schwachstellen ausfindig gemacht werden konnten. Tauchten diese auf, wurden sie nach Rücksprache mit dem Kunden absichtlich „ausgenutzt“ und damit verifiziert.

Abschließend wurde über die Vorgehensweise und die gefundenen Schwachstellen ein ausführlicher Bericht geschrieben.

Das Ergebnis

Das Reporting enthielt umfangreiche Empfehlungen, wie man die Schwachstellen behebt. Der Kunde ist selbst in der Lage, die Empfehlungen umzusetzen und seine Netzwerksicherheit damit erheblich zu verbessern.

Projektdaten

> Format: Penetrationstest
> Projektteam: 2 Mitarbeiter
> Branche: Social-Profit-Unternehmen

Eingesetzte Methoden

> Schwachstellenscan
> Penetrationstest

 

Zum Download der Projektbericht: PDF

Ihre Ansprechpartner für dieses Projekt