Sicherheitsanalyse und Penetrationstest bei einer Firmenpensionskasse
Unser Kunde ist ein Mittelständler aus dem Bereich der überbetrieblichen Altersvorsorge. Zu seinen Aufgaben gehören sämtliche Dienstleistungen zur Gestaltung, Verwaltung und Absicherung von Versorgungszusagen. Bundesweit haben sich über 2.000 Unternehmen unserem Kunden angeschlossen und bilden über ihn Versorgungsleistungen, z.B. im Vorruhestand oder bei Erwerbsminderung, ab.
Unser Kunde hat über 700.000 Einzelmitglieder, deren Daten er zentral digital verwaltet. Bei den Daten handelt es sich um hochsensible Daten, da sie u.a. den Gesundheitszustand des Mitgliedes betreffen. Ein Datenleck hätte kaum zu beziffernde Konsequenzen für das Image des Unternehmens. Sich daraus ergebende Kosten könnten nicht getragen werden, weil unser Kunde als Social-Profit-Unternehmen keine Gewinne macht.
Die Kollegen der HEC wurden beauftragt, das interne Netzwerk einer Sicherheitsanalyse zu unterziehen, Schwachstellen zu dokumentieren und entsprechend zu berichten.
Beim Kunden vor Ort wurde ein manueller Penetrationstest durchgeführt. Das interne Netzwerk wurde aus Angreifersicht betrachtet, damit potentielle Schwachstellen ausfindig gemacht werden konnten. Tauchten diese auf, wurden sie nach Rücksprache mit dem Kunden absichtlich „ausgenutzt“ und damit verifiziert.
Abschließend wurde über die Vorgehensweise und die gefundenen Schwachstellen ein ausführlicher Bericht geschrieben.
- Format: Penetrationstest
- Projektteam: 2 Mitarbeiter
- Branche: Social-Profit-Unternehmen
- Schwachstellenscan
- Penetrationstest
Das Reporting enthielt umfangreiche Empfehlungen, wie man die Schwachstellen behebt. Der Kunde ist selbst in der Lage, die Empfehlungen umzusetzen und seine Netzwerksicherheit damit erheblich zu verbessern.
