Wann der IT-Grundschutz Pflicht ist, wann er sich freiwillig lohnt und warum Unternehmen, die ihn kennen, bei NIS-2 und DORA einen entscheidenden Vorsprung haben.

Wer sich in Deutschland ernsthaft mit IT-Sicherheit befasst, kommt am BSI IT-Grundschutz nicht vorbei. Das Bundesamt für Sicherheit in der Informationstechnik entwickelt dieses Framework seit den 1990er-Jahren weiter und hat damit ein Werk geschaffen, das in seiner Tiefe und Praxisorientierung international seinesgleichen sucht.

Dennoch hält sich hartnäckig das Missverständnis, der Grundschutz sei ein reines Behördenthema. In unserer täglichen Projektarbeit begegnet uns dieses Missverständnis regelmäßig, und es ist fast immer teuer: Unternehmen, die den Grundschutz ignoriert haben, stehen bei NIS-2-Audits, DORA-Harmonisierungen oder Cyberversicherungsverhandlungen ohne tragfähige Basis da.

Dieser Artikel erklärt, was der IT-Grundschutz wirklich leistet, für wen er verbindlich ist und wann sich die Umsetzung auch ohne regulatorischen Druck unmittelbar rechnet.

Was der BSI IT-Grundschutz wirklich ist

Der IT-Grundschutz ist keine Checkliste, die man einmal abarbeitet. Er ist eine vollständige Methodik zur Informationssicherheit, aufgebaut auf vier Kernstandards und einem umfangreichen Kompendium konkreter Sicherheitsbausteine.

  • BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS) – die konzeptionelle Grundlage
  • BSI-Standard 200-2: IT-Grundschutz-Methodik – die eigentliche Umsetzungsanleitung mit drei Vorgehensweisen
  • BSI-Standard 200-3: Risikoanalyse auf Basis IT-Grundschutz – für erhöhten Schutzbedarf
  • BSI-Standard 200-4: Business Continuity Management (BCM) – Resilienz über den Normalbetrieb hinaus

 

Dazu kommt das IT-Grundschutz-Kompendium, das in regelmäßig aktualisierten Editionen konkrete Bausteine für nahezu jeden denkbaren IT-Bereich liefert: von Serverräumen über Cloud-Infrastrukturen bis zu industriellen Steuerungssystemen. Es deckt technische, organisatorische, infrastrukturelle und personelle Aspekte ab und betrachtet Informationssicherheit konsequent ganzheitlich.

Das unterscheidet den IT-Grundschutz von vielen anderen Frameworks: Er liefert nicht nur Anforderungen, sondern sagt explizit, wie diese umgesetzt werden.

Pflicht oder Kür? Die differenzierte Antwort.

Die kurze Antwort: Für Bundesbehörden ist der IT-Grundschutz verbindlich. Für Unternehmen hängt es von ihrer Situation ab. Die lange Antwort ist komplexer und für strategische Entscheidungen deutlich relevanter.

Bundesbehörden: keine Diskussion

Das BSI-Gesetz verpflichtet alle Einrichtungen des Bundes zur Einhaltung der BSI-Mindeststandards. Diese basieren direkt auf dem IT-Grundschutz. Hier gibt es keinen Interpretationsspielraum und keine Alternativen.

KRITIS-Betreiber: anerkannt, aber nicht exklusiv

Unternehmen in kritischen Infrastrukturen wie Energie, Gesundheit, Wasser oder Transport müssen nach dem IT-Sicherheitsgesetz 2.0 geeignete Maßnahmen zur Cybersicherheit nachweisen. Der IT-Grundschutz ist eine anerkannte Methode hierfür, aber nicht die einzig zulässige. ISO 27001 oder branchenspezifische Standards wie B3S (Branchenspezifische Sicherheitsstandards) funktionieren ebenfalls. In der Praxis wählen viele KRITIS-Betreiber den IT-Grundschutz, weil er die konkreteste Umsetzungshilfe bietet.

Vertraglich verpflichtete Unternehmen

Öffentliche Auftraggeber und eine wachsende Zahl privater Großunternehmen verlangen von ihren Dienstleistern und Lieferanten nachweisbare IT-Sicherheit auf Basis anerkannter Standards. Der IT-Grundschutz wird dabei häufig explizit gefordert oder als gleichwertig zur ISO 27001 akzeptiert.

Alle anderen: freiwillig, aber strategisch klug

Für Unternehmen ohne gesetzliche Verpflichtung gilt: Der IT-Grundschutz ist die effizienteste Methode, ein nachweisbares Sicherheitsniveau aufzubauen. Wer ihn ernsthaft umsetzt, hat eine Basis, die Audits übersteht, Versicherungen überzeugt und Angriffsflächen systematisch reduziert.

Aus der Praxis:
Mittelstand ohne Pflicht, aber mit Konsequenzen

Ein mittelständisches Logistikunternehmen mit rund 800 Mitarbeitern wandte sich an uns, nachdem ein potenzieller Großkunde aus dem Automobilsektor eine Sicherheitszertifizierung als Vertragsvoraussetzung forderte. Das Unternehmen hatte keine strukturierte Sicherheitsdokumentation, keine Schutzbedarfsfeststellung, keine definierten Verantwortlichkeiten. Wir haben gemeinsam mit einer Basis-Absicherung begonnen, die innerhalb von vier Monaten die wesentlichen Anforderungen erfüllte und den Vertrag ermöglichte. Heute arbeitet das Unternehmen an der Standard-Absicherung in Richtung ISO 27001-Zertifizierung.

Drei Vorgehensweisen, eine Methodik

Der BSI-Standard 200-2 definiert drei Umsetzungswege. Die Wahl hängt von Unternehmensgröße, Risikoexposition und verfügbaren Ressourcen ab.

Basis-Absicherung

Der strukturierte Einstieg für Organisationen, die zunächst ein Mindestniveau erreichen wollen. Die Basis-Absicherung adressiert die häufigsten und gefährlichsten Angriffsvektoren mit überschaubarem Aufwand. Sie ist kein Zielzustand, sondern ein Fundament. In unseren Projekten empfehlen wir sie als erste Phase, wenn Zeit und Budget limitiert sind oder ein schneller Nachweis gegenüber externen Stellen erforderlich ist.

Standard-Absicherung

Der empfohlene Weg für die meisten Unternehmen. Vollständige Strukturanalyse, Schutzbedarfsfeststellung und systematische Umsetzung aller relevanten Grundschutz-Bausteine. Wer eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz anstrebt, geht diesen Weg. Die Standard-Absicherung liefert eine lückenlose Dokumentation, die Audits und Behördenprüfungen standhält.

Kern-Absicherung

Fokus auf die wirklich kritischen Assets, die sogenannten Kronjuwelen. Unternehmen mit klar definierten hochsensiblen Bereichen, zum Beispiel Forschungs- und Entwicklungsdaten, Produktionssteuerungen oder Kernbankensysteme, schützen diese zunächst mit maximaler Tiefe. Ein pragmatischer Ansatz mit hohem Return on Investment in der Anfangsphase, besonders wenn eine vollständige Standard-Absicherung mittel- bis langfristig geplant ist.

Aus der Praxis:
Kern-Absicherung im Produktionsumfeld

Ein Hersteller von Präzisionskomponenten für die Luft- und Raumfahrt hatte eine klare Priorität: Die Fertigungssteuerung und die CAD-Daten durften unter keinen Umständen kompromittiert werden. Ein Ransomware-Vorfall bei einem Wettbewerber hatte die Geschäftsführung sensibilisiert. Wir haben eine Kern-Absicherung für genau diese Assets entwickelt, inklusive Netzwerksegmentierung, Zugriffskontrollen und einem definierten Incident-Response-Prozess. Der Rest der IT-Infrastruktur wurde parallel in einem separaten Projekt auf Basis-Absicherungsniveau gebracht. Gesamtlaufzeit: sechs Monate.

Das Verhältnis zu ISO 27001: komplementär, nicht konkurrierend

ISO 27001 und IT-Grundschutz werden häufig als Alternativen behandelt. Das ist ein Fehler, der aus einem grundlegenden Missverständnis ihrer jeweiligen Stärken entsteht.

ISO 27001 definiert, was ein funktionierendes ISMS leisten muss: Risikobehandlung, Steuerung, kontinuierliche Verbesserung. Die Norm ist bewusst prinzipienbasiert und lässt Unternehmen Spielraum bei der konkreten Umsetzung. Das ist eine Stärke, die gleichzeitig zur größten Herausforderung wird: Viele Unternehmen wissen nach einer ISO 27001-Zertifizierung, was sie tun sollen, aber nicht präzise genug, wie.

Genau hier ist der IT-Grundschutz unverzichtbar. Er ist maßnahmenbasiert und liefert zu nahezu jedem Risiko konkrete, erprobte Gegenmaßnahmen aus dem Kompendium. Die Kombination aus ISO 27001-Zertifizierung auf Basis von IT-Grundschutz ist vom BSI als offizieller Zertifizierungsweg anerkannt und in Deutschland weitverbreitet. In unseren Projekten ist das der Standard für Unternehmen, die sowohl ein solides Sicherheitsniveau als auch internationale Anschlussfähigkeit anstreben.

Häufige Fragen zum BSI IT-Grundschutz

Ist der BSI IT-Grundschutz für mein Unternehmen verpflichtend?

Verbindlich ist er für alle Bundesbehörden. Für KRITIS-Betreiber ist er eine anerkannte Methode zum Nachweis geeigneter Sicherheitsmaßnahmen nach IT-SiG 2.0, aber nicht exklusiv vorgeschrieben. Für alle anderen Unternehmen besteht keine gesetzliche Pflicht, sofern keine vertraglichen Vereinbarungen oder branchenspezifischen Anforderungen existieren.

Was kostet eine IT-Grundschutz-Implementierung?

Das hängt maßgeblich von der gewählten Vorgehensweise, der Unternehmensgröße und dem Ausgangsniveau ab. Eine Basis-Absicherung für ein mittelständisches Unternehmen kann in wenigen Monaten umgesetzt werden. Eine vollständige Standard-Absicherung in Richtung ISO 27001-Zertifizierung dauert typischerweise 12 bis 24 Monate und bindet erhebliche interne Ressourcen. Wir empfehlen immer eine initiale Gap-Analyse, um den tatsächlichen Aufwand realistisch einschätzen zu können.

Wie verhält sich der IT-Grundschutz zur ISO 27001?

Die beiden Standards sind komplementär. ISO 27001 definiert die Anforderungen an ein funktionierendes ISMS. Der IT-Grundschutz liefert die konkreten Umsetzungsmaßnahmen. Eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz ist vom BSI offiziell anerkannt und in Deutschland der häufigste Zertifizierungsweg.

Hilft der IT-Grundschutz bei NIS-2 und DORA?

Ja, erheblich. Die inhaltlichen Überschneidungen mit NIS-2 und DORA sind substanziell. Unternehmen und Finanzinstitute, die den IT-Grundschutz bereits umgesetzt haben, haben bei der Erfüllung dieser Regularien einen strukturellen Vorsprung gegenüber Organisationen ohne diese Basis.

Kann ich den IT-Grundschutz ohne externen Berater umsetzen?

Theoretisch ja. Das BSI stellt alle Standards und das Kompendium kostenlos zur Verfügung. In der Praxis scheitern interne Umsetzungsversuche häufig an der Strukturanalyse, an der korrekten Bausteinauswahl und an der Objektivität bei der Bewertung des eigenen Sicherheitsniveaus. Ein externer Blick ist kein Luxus, sondern eine Qualitätssicherungsmaßnahme.

Fazit: Grundschutz ist keine Pflichtübung. Er ist Architektur.

Wer den IT-Grundschutz als lästige Compliance-Übung behandelt, hat ihn nicht verstanden. Wer ihn als Architektur-Framework begreift, das systematisch Risiken identifiziert, priorisiert und adressiert, hat ein Instrument, das weit über reine Compliance hinausgeht.

Der entscheidende Faktor ist dabei nicht das Framework selbst, sondern die konsequente Umsetzung. Dokumente, die im Ordner verstauben, schützen keine Server. Maßnahmen, die implementiert, gepflegt und regelmäßig überprüft werden, tun es.

Die Unternehmen, mit denen wir arbeiten, die den IT-Grundschutz ernstnehmen, sind dieselben, die bei einem Sicherheitsvorfall handlungsfähig bleiben, bei Audits ruhig schlafen und bei neuen regulatorischen Anforderungen nicht bei null anfangen.

Wo steht euer Unternehmen beim IT-Grundschutz?

Wir analysieren eure Ausgangslage, identifizieren Lücken und zeigen euch den effizientesten Weg zu nachweisbarer IT-Sicherheit. Unverbindlich, konkret und auf den Punkt.

Jetzt Erstgespräch vereinbaren Zum carmasec Kontakt

In diesem Blogbeitrag schildert Senior Trusted Advisor Carsten Marmulla die Anforderungen von DORA – dem Digital Operational Resilience Act. Dieser betrifft vor allem Akteure des Finanzmarkts und wird am 17. Januar 2025 in Kraft treten. Du kennst DORA noch nicht oder bist unsicher, was noch zu tun ist? Wir geben Dir einen Überblick über die Anforderungen der EU-Verordnung und deren Umsetzung.

Die wichtigsten Fakten zu DORA

Porträtfoto von Carsten Marmulla, Managing Partner & Senior Trusted Advisor bei der carmasec.

Der Digital Operational Resilience Act (DORA) ist eine EU-weite Verordnung zur Stärkung der Cybersicherheit und Widerstandsfähigkeit im Finanzsektor. Angesichts zunehmender Cyberbedrohungen sollen Finanzdienstleister in der Lage sein, auch bei IT-Ausfällen oder Cyberangriffen reibungslos zu funktionieren. DORA definiert daher klare Vorgaben, wie Unternehmen Risiken in ihrer IT-Infrastruktur managen und mit externen Dienstleistern umgehen sollen. Der Fokus liegt dabei auf Prävention, Überwachung und schnellem Krisenmanagement. Das Besondere an DORA: Es gilt nicht nur für Banken, sondern für eine Vielzahl von Akteuren im Finanzsektor.

Wer ist von DORA betroffen?

Die Verordnung betrifft nicht nur Banken und Versicherungen, sondern auch viele weitere Akteure des Finanzmarktes. Dazu gehören zum Beispiel:

  • Zahlungsdienstleister
  • Kryptobörsen
  • Fondsgesellschaften
  • Wertpapierfirmen
  • Betreiber von Handelsplattformen und andere Anbieter von Finanzinfrastrukturen

Auch Cloud-Anbieter und Software-Entwickler, die IT-Lösungen für Finanzunternehmen anbieten, fallen unter die DORA-Vorgaben. Damit soll die Cybersicherheit in der gesamten Lieferkette des Finanzsektors erhöht werden.

Der breite Anwendungsbereich von DORA spiegelt die Abhängigkeit moderner Finanzunternehmen von digitalen Prozessen wider und bezieht alle relevanten Akteure ein. Falls du unsicher bist, ob du betroffen bist, helfen dir unsere Expter:innen für IT-GRC gerne bei der Einordnung.

Ab wann gilt DORA?

DORA ist bereits am 17. Januar 2023 in Kraft getreten und wird laut der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ab dem 17. Januar 2025 angewendet werden.

Das bedeutet, dass alle betroffenen Unternehmen ab diesem Zeitpunkt die geforderten Maßnahmen umgesetzt haben müssen. Es gibt keinen Aufschub oder „Schonfrist“. Der Termindruck führt in den betroffenen Organisationen dazu, dass die internen Sicherheitsstrukturen schnell überprüfen und gegebenenfalls Anpassungen bis zur Frist vorgenommen werden müssen.

Was ist zu tun?

Um den Anforderungen von DORA gerecht zu werden, müssen Unternehmen eine Vielzahl von Maßnahmen ergreifen, die sich auf verschiedene Bereiche der IT-Sicherheit konzentrieren.

Zu den wesentlichen Punkten zählen:

  1. IT-Risikomanagement (Informations- und Kommunikationstechnik): Finanzunternehmen müssen ein umfassendes Risikomanagement für ihre IT-Systeme etablieren. Dabei gilt es, potenzielle Bedrohungen und Schwachstellen frühzeitig zu erkennen und Maßnahmen zur Risikominimierung einzuleiten.
  2. Notfallplanung und Krisenmanagement: Unternehmen müssen sicherstellen, dass sie auch in Krisenzeiten, wie etwa bei einem Cyber-Angriff, handlungsfähig bleiben. Dazu gehören Notfallpläne, die festlegen, wie bei einem IT-Ausfall zu reagieren ist, um den Geschäftsbetrieb aufrechtzuerhalten.
  3. Regelmäßige Widerstandsfähigkeits- und Stresstests: DORA schreibt vor, dass Finanzinstitute regelmäßig Tests durchführen, um die Belastbarkeit ihrer IT-Infrastruktur zu überprüfen. Solche Stresstests simulieren Worst-Case-Szenarien, um sicherzustellen, dass die Systeme auch unter extremen Bedingungen funktionsfähig bleiben.
  4. IT-Sicherheitsvorfälle überwachen und melden: Treten Sicherheitsvorfälle oder IT-Ausfälle auf, müssen diese überwacht und unverzüglich an die Aufsichtsbehörden gemeldet werden. Eine zeitnahe und umfassende Kommunikation ist entscheidend, um aufkommende Bedrohungen einzudämmen.
  5. Management von externen Dienstleistern: Externe Dienstleister, die IT-Dienstleistungen für Finanzunternehmen erbringen, müssen ebenfalls die DORA-Anforderungen erfüllen. Die Unternehmen sind dafür verantwortlich, dass ihre Partner und Lieferanten die gleichen hohen Sicherheitsstandards einhalten.

Die EU gibt mit den Regulatory Technical Standards (RTS) klare Vorgaben, die den Unternehmen als Leitfaden für die Umsetzung der Anforderungen in die Praxis dienen. Diese RTS-Dokumente werden von der Europäischen Bankenaufsichtsbehörde (EBA) entwickelt und legen die technischen Details fest.

Was droht bei Nichtumsetzung?

Die Nichtumsetzung der DORA-Vorgaben kann für Unternehmen schwerwiegende Folgen haben. Zum einen drohen hohe Bußgelder, die je nach Schwere des Verstoßes verhängt werden können. Zum anderen kann es zu einem erheblichen Reputationsverlust kommen. Gerade im Finanzsektor ist das Vertrauen der Kunden von zentraler Bedeutung. Ein IT-Ausfall oder ein erfolgreicher Cyberangriff kann nicht nur finanziellen Schaden verursachen, sondern auch das Vertrauen der Kunden nachhaltig erschüttern.

Wie kann carmasec dir helfen?

Stehst du vor der Herausforderung, die komplexen Anforderungen von DORA in deine Prozesse zu integrieren?

Hier können wir dich gezielt unterstützen:

  • Gap-Analyse (Soll-Ist-Vergleich): Im ersten Schritt prüfen wir, wo dein Unternehmen in Bezug auf DORA steht. Wir führen eine umfassende Analyse durch, in der wir die aktuellen Prozesse und Sicherheitsmaßnahmen Deines Unternehmens mit den Anforderungen von DORA vergleichen. So identifizieren wir Schwachstellen und Risiken, die angegangen werden müssen.
  • Definition der Maßnahmenpakete: Auf Basis der Gap-Analyse erstellen wir konkrete Maßnahmenpakete, die genau auf die Bedürfnisse und Anforderungen deines Unternehmens zugeschnitten sind. Wir entwickeln einen maßgeschneiderten Aktionsplan, der die Umsetzung der DORA-Vorgaben sicherstellt.
  • Hilfe bei der Umsetzung: Die Umsetzung der Maßnahmen ist ein entscheidender Schritt. Wir unterstützen dich bei der Einführung und Umsetzung der notwendigen Prozesse und Systeme, damit dein Unternehmen die DORA-Anforderungen erfüllt. Dies kann auch die Schulung  deiner Mitarbeiterinnen und Mitarbeiter umfassen, um sicherzustellen, dass alle relevanten Akteure auf die neuen Anforderungen vorbereitet sind.

Fazit

DORA ist ein entscheidender Schritt zu mehr IT-Sicherheit im Finanzsektor. Die Verordnung fordert von den Unternehmen eine proaktive Auseinandersetzung mit Risiken und Sicherheitslücken in ihrer digitalen Infrastruktur. Dabei geht es nicht nur um die Einhaltung gesetzlicher Vorgaben, sondern um den Schutz des gesamten Geschäftsbetriebs. Mit DORA-konformen Sicherheitsmaßnahmen sichern Unternehmen nicht nur ihre eigenen IT-Systeme, sondern tragen auch zur Stabilität des gesamten Finanzmarktes bei.

Jetzt ist der richtige Zeitpunkt, mit der Umsetzung zu beginnen!

Stelle jetzt die Weichen für die Zukunft und ergreife DORA-konforme Maßnahmen. Unsere Expert:innen für Cybersicherheit stehen dir zur Seite und stellen sicher, dass dein Unternehmen optimal aufgestellt ist und auch in Zukunft sicher und widerstandsfähig bleibt.

Hier kannst du uns kontaktieren.

Das carmasec-Redaktionsteam erläutert in diesem Beitrag, warum es sinnvoll sein kann, gezielt Ausnahmen für Sicherheitssysteme wie IPS und WAFs mittels Allow Listing zu definieren und wie diese Methode Pentester:innen ermöglicht, effizient und störungsfrei zu arbeiten.

Wann ist der Einsatz von Allow Lists bei Pentests sinnvoll?

 

Illustration mit dem Spruch „May the Patch be with you

Wenn ein Penetrationstest ansteht, taucht schnell die Frage auf: Soll die IP-Adresse der Pentester auf eine „Allow List“ gesetzt werden, um Systeme wie Intrusion Prevention Systeme (IPS) oder Web Application Firewalls (WAFs) zu umgehen? Meine Erfahrung zeigt: Das kann die Testergebnisse nicht nur präziser, sondern auch wertvoller machen.

In diesem Beitrag zeigen wir dir, wann es sinnvoll ist, Pentester:innen die üblichen Sicherheitsbarrieren gezielt überspringen zu lassen.

Eine Einordnung: Welche Aufgabe haben IPS und WAFs und warum können sie einen Pentest verzögern?

IPS-Systeme und WAFs sollen Angriffe erkennen und blockieren – etwa durch die Erkennung von Port-Scans, SQL-Injections oder massenhaften automatisierten Anfragen. Wenn diese Systeme eine als „verdächtig“ eingestufte Aktivität aufspüren, reagieren sie oft mit einer Drosselung des Datenverkehrs oder der Sperrung der Quell-IP-Adresse, manchmal für eine gewisse Zeit – manchmal sogar komplett. Im Alltag ist dies ein erwünschtes Verhalten. Im Falle eines Pentests können diese Sicherheitsmaßnahmen jedoch das eigentliche Testziel stark beeinträchtigen.

 

Zeit ist der entscheidende Faktor

IPS und WAFs sind darauf ausgelegt, Angreifer abzuwehren und dir Zeit zu verschaffen, bei einem Angriff angemessen zu reagieren. Doch bei einem Penetrationstest können diese Schutzmaßnahmen den Ablauf erheblich stören. Ein Security Assessment ist auf ein festes Zeitfenster begrenzt. Erkennen die Security-Systeme Pentester fälschlicherweise als Angreifer, könnten beispielsweise ihre IP-Adressen blockiert werden. Das führt zu Verzögerungen im Testablauf, wodurch Schwachstellen übersehen werden und die Effizienz des Tests sinkt.

Am Ende zahlst du als Kunde für ein Assessment, das nicht sein volles Potenzial entfalten konnte.

Bei realen Angriffen hingegen haben die Hacker alle Zeit der Welt. Sie können ihre Aktionen verlangsamen und ein paar Anfragen über Tage oder Wochen hinweg senden, um unentdeckt zu bleiben.

Eine Allow List ermöglicht es den Pentestern, ohne Unterbrechung zu arbeiten und Schwachstellen direkt und effizient zu analysieren. So bleibt der Fokus auf der eigentlichen Aufgabe: Deine Systeme auf Herz und Nieren zu prüfen.

 

Der Testfokus liegt auf deinen Systemen, nicht auf der Sicherheitsperipherie

In den meisten Fällen hat ein Pentest zum Ziel, die Sicherheit deiner Applikationen oder Infrastruktur zu überprüfen – nicht die vorgelagerten IPS- oder WAFs-Systeme. Diese Schutzmaßnahmen erschweren es Angreifern, in dein System einzudringen.

Pentester, die direkten Zugriff haben, können deine tatsächlichen Assets auf Schwachstellen testen – und nicht nur die Security-Systeme davor.

Natürlich kann das Testen von IPS oder WAFs selbst sinnvoll sein, aber das ist ein gesondertes Ziel, das separat beauftragt und im Scope entsprechend festgehalten werden sollte.

 

Sind Allow Lists auch für interne Pentests sinnvoll?

Allow Lists sind nicht nur für externe Pentests nützlich. Auch bei internen Tests kann es sinnvoll sein, einzelne Ordner oder Systeme für Antivirenprogramme (AV) und für die Endpoint Detection and Response Systeme (EDR) gezielt auszuschließen. Das hängt vom Testziel ab: Wenn du beispielsweise Deine SIEM-Erkennungsmechanismen oder die Reaktion auf Sicherheitsvorfälle evaluieren möchtest, kannst du mit Allow Lists wertvolle Zeit sparen, da sich deine Pentester auf die wesentlichen Aufgaben konzentrieren können.

Du hast Fragen zu unseren Pentest-Angeboten?

Sicherheit validieren, bevor Angreifende den ersten Schritt setzen. Penetration Testing, Red Teaming und Angriffssimulationen von Senior-Expert:innen, die wissen, wie Hacker denken.

Übersicht des Portfolio

Für neue Impulse wechselten wir nicht nur die Perspektive, sondern gleich den Arbeitsort. Als logische Weiterentwicklung von Remote-Arbeit haben wir unsere Laptops eingepackt und verbrachten mit fast dem gesamten Team eine Woche in den belgischen Ardennen.

Unser Ziel:
In schöner Atmosphäre den fachlichen Austausch mit erholsamen Freizeitaktivitäten und abendlichem Klönen verbinden. Die gesamte Organisation übernahm das Team selbst, die Geschäftsführung stellte lediglich die Unterkunft.

Darüber freute sich das Team:
Besonders der hauseigene Pool, die leckeren selbst gekochten Mahlzeiten und der Tanzworkshop von Nico Vaca Weber standen bei uns hoch im Kurs. Zudem empfanden wir den persönlichen Austausch mit den Kolleg:innen, die bei 100% Remote-Arbeit gelegentlich zu kurz kommen, als sehr wertvoll.

Unser Fazit:
Wir hatten eine tolle Woche, in der wir uns auch privat besser kennengelernt haben, Ideen entwickeln konnten und weiter zusammengewachsen sind. Wir freuen uns auf die nächste carmasec Week!

Zwei carmasec-Mitarbeitende arbeiten lächelnd an Laptops im Freien während der carmasec Week 2023
carmasec-Mitarbeitende applaudieren vor einem reich gedeckten Buffet während der carmasec Week 2023
Zwei carmasec-Mitarbeitende kochen lachend gemeinsam im Freien während der carmasec Week 2023
carmasec-Mitarbeitende beim gemeinsamen Brettspielabend während der carmasec Week 2023
Gruppenfoto des carmasec-Teams während der carmasec Week 2023 vor einer Hauswand mit Baum-Wandgemälde
Außenansicht des Veranstaltungsgebäudes der carmasec Week 2023
Poolbereich des Veranstaltungsortes der carmasec Week 2023 aus der Vogelperspektive
Timm Börgers, Geschäftsführer von carmasec, arbeitet konzentriert am Laptop im carmasec-Polo während der carmasec Week 2023
carmasec-Mitarbeitende arbeiten gemeinsam an Laptops während der carmasec Week 2023