Häufig gestellte Fragen

Vertrieb

Wir haben uns für Foundstone entschieden. Welches sind die ersten Schritte?
Wir schätzen Ihr Unternehmen und wollen gern loslegen, doch gibt es zunächst einige wichtige Dinge, die getan werden müssen, ehe der Test beginnen kann. Zuallererst müssen alle vertraglichen Grundlagen geschaffen sein, ehe wir einen Termin für die Durchführung der Tests ansetzen können. Typischerweise besteht das Vertragswerk aus einer Service-Vereinbarung (Geschäftsbedingungen), einer Leistungsbeschreibung und möglicherweise einem Auftrag, falls Ihre Einkaufabteilung dies verlangt.

Wie kann ich Foundstone am besten erreichen?
Kontaktieren Sie Foundstone über den Weg, der Ihnen am besten zusagt. Unsere Vertriebsmitarbeiter erreichen Sie telefonisch über +1-949-297-5600, per E-Mail über consulting@foundstone.com oder über unsere Website.

Ist es möglich, den Arbeitsumfang zu ändern? Wenn ja, wie?
Ja. Der Umfang lässt sich einfach ändern, indem Sie Ihren Account Manager kontaktieren. In der Regel erfolgt die Bestimmung des Arbeitsumfangs vor der Erstellung der Leistungsbeschreibung, doch ist auch ein Nachtrag zur Leistungsbeschreibung möglich.

Projektstart

Wie bald sollte der Projektstart erfolgen?
Foundstone veranstaltet spätestens eine Woche vor dem Starttermin des Projekts eine Anfangsbesprechung. Damit haben Sie genug Zeit, etwaige logistische und technische Details zu klären, die gegebenenfalls für den erfolgreichen Beginn der Bewertung erforderlich sind.

Wer sollte an der Anfangsbesprechung teilnehmen und wem sollte ich von dieser Arbeit berichten?
Wer genau an der Anfangsbesprechung teilnehmen sollte und wer über das Projekt informiert werden muss, hängt von den übergeordneten Zielen der Bewertung ab sowie davon, wie wir den eigentlichen Test durchführen. Kunden bitten uns vielleicht festzustellen, ob ihr operatives Team benachrichtigt wird, während wir ihr Netzwerk beurteilen. Andere möchten sicherstellen, dass Systeme vor der Ausbringung in den Echtbetrieb sicher sind, andere Kunden erbitten einen Test ihrer Produktionsumgebung. Für gewöhnlich empfehlen wir Ihnen, Ihre Kollegen so früh wie möglich von dem Projekt zu erzählen und eine gründliche, detaillierte Erläuterung der Arbeit zu geben. Durch frühzeitiges Einholen von Zustimmung verhindern Sie unerwartete Einsprüche kurz vor den Testterminen, die zu Verzögerungen führen können. Wir empfehlen, die folgenden Stellen zu informieren:

  • Den primären Ansprechpartner für das Projekt oder den Projekt-Manager
  • Einen Vertreter des Bereichs Netzwerkbetrieb
  • Einen Vertreter der Anwendungsentwicklung, falls diese Bewertung Anwendungstests einschließt
  • Einen Vertreter des Bereichs Informationssicherheit
  • Einen Vertreter des Systembetreibers
  • Ein Mitglied des Audit-Teams, falls das Projekt eine Audit-Anforderung ist
  • Das Host-Unternehmen, falls das Zielnetzwerk oder die Zielanwendung von einem Dritten als Host betrieben wird

Wer führt die eigentlichen Arbeiten aus und wie leitet Foundstone seine Projekte?
Alle technischen Tests werden von Sicherheitsberatern von Foundstone durchgeführt. Alle Mitarbeiter sind in Vollzeit fest angestellt und haben eine gründliche Überprüfung ihres Hintergrunds durchlaufen. Wir setzen keine Vertragskräfte sein.

Jedes Projekt hat ein Projektteam. Sie kommunizieren vielleicht nicht mit allen Teammitgliedern, aber jedes Mitglied spielt eine entscheidende Rolle für den Erfolg Ihres Projekts. Zu typischen Teams zählen:

  • Technische Berater, die für die tägliche Testarbeit verantwortlich sind. Sie erledigen die Schwerarbeit.
  • Ein Projekt-Manager, der Ihr Hauptansprechpartner und für die Leitung des Projekts verantwortlich ist. Jedem Projekt wird ein Projekt-Manager zugewiesen, der für die Anfangsbesprechung, tägliche Information und die zu liefernden Leistungen verantwortlich ist. Gemeinsam mit Ihnen löst Ihr Projekt-Manager etwaige Probleme.
  • Ein Regionalleiter, der für die Qualitätssicherung und die Abnahme aller Endberichte verantwortlich ist. Die Projekt-Manager berichten an die Regionalleiter. Die Leiter bilden einen Eskalationspunkt innerhalb von Foundstone für den Fall, dass Probleme nicht vom Projekt-Manager gelöst werden können.

Wie kann ich Foundstone bei Fragen oder Anliegen kontaktieren?
Das Foundstone-Team stellt ausführliche Kontaktdaten von allen mit der Bewertung befassten Teammitgliedern zur Verfügung. In den meisten Fällen wird der Projekt-Manager Ihnen bei allen Fragen helfen können. Sie erhalten aber auch die Kontaktdaten des Regionalleiters und des Account Managers für den Fall, dass irgendwelche Probleme eskaliert werden müssen. Diese Kontaktdaten wird mit der Vorab-Checkliste für das Projekt übersandt.

Kann ich bestimmte Berater für diese Arbeit anfordern?
Wenn Sie mit bestimmten Beratern zusammenarbeiten möchten, dann lassen Sie uns das so früh wie möglich wissen. Falls der Berater nicht bereits anderweitig eingebunden ist, entsprechen wir gern Ihrer Bitte. Seien Sie versichert, dass wir uns dem Erfolg Ihres Projekts ebenso verpflichtet fühlen wie Sie. Daher besetzen wir unser Team stets mit den zum Erreichen der Ziele des Projekts geeigneten Beratern. Darüber hinaus hat der Einsatz bewährter Methoden, die es uns erlauben, gleichbleibende Ergebnisse von allen unseren Beratern zu bieten, entscheidend Anteil am Erfolg von Foundstone.

Welche Informationen benötigt Foundstone, um mit den Tests beginnen zu können?
Im Allgemeinen benötigen wir zweierlei Informationen von Ihnen: logistische und technische.

  • Logistische Informationen: Auf der Anfangsbesprechung erstellen wir eine Vorab-Checkliste. Hierzu zählen Kontaktdaten, Reiseorganisation, Eskalationsabläufe und andere Informationen.
  • Technische Informationen: Die genauen Anforderungen variieren je nach Bewertung, doch zählen typischerweise Zieladressen (IP oder von Anwendungen), schriftliche Richtlinien und andere Anforderungen dazu. Vor der Anfangsbesprechung stellt der Projekt-Manager von Foundstone eine detaillierte Liste der Anforderungen bereit.

Wird Foundstone sich mit besonderen Anliegen befassen können, die wir vielleicht haben?
Mit Sicherheit. Falls es Bewertungsfelder gibt, denen Ihr besonderes Interesse gilt, teilen Sie es dem Projekt-Manager mit, und wir tun alles, um diese Anliegen für Sie anzugehen. Dies ist auch die erste Frage, die der Projekt-Manager von Foundstone auf der Anfangsbesprechung stellt.

Ausführung

Wie viel Transparenz gibt es für uns im Bewertungsprozess?
Während der Anfangsbesprechung erläutert der Projekt-Manager die verschiedenen Schritte des Bewertungsprozesses. Auch enthalten die täglichen Informationen Einzelheiten für die an dem Tag durchgeführten Aktivitäten und die Pläne für den nächsten Tag. Am Ende des Projekts bietet der technische Bericht Einzelheiten über die zur Durchführung des Projekts verwendeten Methoden sowie Testnotizen. Wenn Sie weitere Einzelheiten benötigen oder während des Projekts "dabei sein" möchten, teilen Sie dies bitte dem Projekt-Manager vor oder während der Anfangsbesprechung mit. Wir arbeiten gern mit Ihnen zusammen, um Ihre Anliegen zu erfüllen. Fragen sind stets willkommen.

Was passiert, wenn meine Infrastruktur nicht bereit ist oder am Testtermin nicht funktioniert?
Wenn wir ein Projekt planen, arbeiten wir eng mit Ihnen zusammen, damit Sie die für eine erfolgreiche Durchführung zu erfüllenden Anforderungen kennen. Dazu zählen die oben angeführten technischen und logistischen Informationen. Wenn diese Informationen an dem Tag, an dem die Tests beginnen, nicht verfügbar sind oder das System nicht funktioniert, können wir in der Regel nicht fortfahren. Prüfen Sie dazu auch Ihre speziellen Geschäftsbedingungen. Üblicherweise fällt eine Ausfallgebühr an, und Ihr Projekt wird erneut eingeplant und könnte sich verzögern. Es liegt in Ihrer Verantwortung sicherzustellen, dass die in der Vorab-Checkliste für das Projekt geforderten Punkte erfüllt werden. Andernfalls kann Foundstone den Projektstart nicht ansetzen.

Zu welcher Tageszeit werden die Tests durchgeführt?
Normalerweise führen wir die Mehrzahl der Tests während normaler Bürozeiten an Ihrem Strandort durch. Dadurch können wir Sie sofort kontaktieren, wenn Probleme mit hohem Risiko erkannt werden. Wir verwenden allerdings einige Scan-Tools, die einige Zeit laufen. Daher werden sie oft über Nacht ausgeführt. Wir haben die Möglichkeit zum Remote-Zugriff auf alle unsere Prüfserver. Daher können wir einen Scan-Lauf notfalls sofort stoppen. Bei Bedarf haben wir auch die Möglichkeit, viele unserer Scan-Tools so zu disponieren, dass sie nur innerhalb bestimmter Zeitfenster laufen. Wir können die Zeiteinteilung anpassen. Bedenken Sie aber, dass übermäßig restriktive Zeitfenster die Wirksamkeit unserer Tools sowie die Ergebnisse einschränken, die wir innerhalb des Bewertungszeitraums liefern können. Wenn Ihre Tests Arbeit außerhalb der normalen Bürozeiten erfordern, sollten Sie den Projekt-Manager so früh wie möglich und vor der Anfangsbesprechung darüber unterrichten.

Wenn sich Foundstone Zugang verschafft, wird dann versucht, diesen Zugang für die Gefährdung anderer Systeme auszunutzen?
Wenn wir uns Zugang zu einem System verschaffen, halten wir die betreffende Testreihe an und erstellen einen Screenshot, um den von uns erreichten Zugangsgrad zu verdeutlichen. Diese Information stellen wir Ihnen zur Verfügung und entscheiden gemeinsam mit Ihnen, ob Sie weitere Test vornehmen möchten, um das Risiko für Ihr Unternehmen zu klären.

Wie lange nach der Bewertung kann ich die Ergebnissen anzeigen?
Während der gesamten Bewertungsperiode liefern wir täglich Informationen in Form eines vorläufigen Ergebnisdokuments, das die bis dahin identifizierten Probleme beschreibt. Diese Ergebnisse haben dasselbe Format wie der technische Abschnitt unseres Berichts. Daher sehen Sie die Ergebnisse fast genau so, wie sie im Abschlussbericht geliefert werden. Wenn irgendwelche Probleme mit hohem Risiko gefunden werden, die es einem Angreifer erlauben würden, sich nicht autorisierten Zugang zu einem System oder zu sensiblen Daten zu verschaffen, dann stellen wir solche Ergebnisse sofort bereit, ohne auf die nächste Tagesinformationen zu warten. Nach Abschluss der Tests liefern wir üblicherweise innerhalb von fünf Arbeitstagen einen Berichtsentwurf.

Was umfasst die Endlieferung?
Die normale Endlieferung ist der technische Bericht. Er enthält auch eine Zusammenfassung und während des Projekts gesammelte Rohdaten. In Ihrer Leistungsbeschreibung sind gegebenenfalls zusätzliche Leistungen wie eine technische Präsentation, eine Management-Präsentation oder eine Zertifikationserklärung aufgeführt. Zusätzlich können wir auch individuelle Berichte wie eine Datei im CSV-Format mit den Ergebnissen liefern.

Welche Informationen kann ich in diesem Bericht erwarten?
Der technische Bericht enthält Einzelheiten über das Projekt, darunter den Umfang der Bewertung, die identifizierten positiven Aspekte, die gefundenen Schwachstellen, taktische und strategische Empfehlungen zur Beseitigung der Schwachstellen, ausführliche, während des Projekts gesammelte Notizen und die bei der Bewertung verwendete Methodik.

Die Zusammenfassung enthält eine umfassende Übersicht über das Projekt, darunter eine kurze Darstellung des Projektumfangs, eine Übersicht über die Ergebnisse, eine Reihe strategischer Empfehlungen sowie ein Sicherheitszeugnis für die bewerteten Bereiche, das Ihr Unternehmen mit dem Branchendurchschnitt vergleicht.

Wenn Sie weitere Anforderungen an den Bericht haben, dann informieren Sie den Projekt-Manager bitte vor oder während der Anfangsbesprechung darüber. Die meisten Anliegen können wir berücksichtigen, wenn sie vor Beginn der Bewertung vorgetragen werden.

Habe ich die Möglichkeit, den Bericht durchzusehen, ehe er abgeschlossen wird?
Ja. Wir stellen alle Berichte in vorläufiger Form (in Microsoft Word) zur Verfügung und bitten Sie um eine Rückmeldung innerhalb von fünf Arbeitstagen. Dann nehmen wir die erbetenen Änderungen vor, ehe wir den Bericht fertig stellen. Wenn wir nach fünf Arbeitstagen keine Anmerkungen von Ihnen erhalten haben, bestätigen wir, dass es keine Rückmeldung von Ihnen gibt, und stellen den Entwurf fertig. Normalerweise können wir nur einmal Änderungen am Bericht vornehmen. Daher ist es sehr wichtig, dass Sie uns alle Ihre Rückmeldungen und detaillierten schriftlichen Anmerkungen auf einmal zukommen lassen, sodass wir all Ihre Bedenken berücksichtigen können.

Testet Foundstone die erkannten Probleme noch einmal, nachdem sie gelöst worden sind?
Wenn Ihr Auftrag erneute Tests einschließen soll, dann wenden Sie sich an Ihren Account Manager, um Ihre Leistungsbeschreibung dahingehend zu ergänzen, sodass dann die entsprechenden Ressourcen zur Verfügung stehen.

Welche Maßnahmen sieht Foundstone vor, um die Sicherheit unserer Informationen zu gewährleisten?
Sämtliche Kundeninformationen werden PGP-verschlüsselt, während sie im Verlauf eines Projekts auf Laptops gespeichert sind. Diese Maßnahme erfolgt zusätzlich zum Einsatz von vollständiger Datenträgerverschlüsselung auf den Festplatten der Berater-Laptops. Zudem wird die gesamte mit Ihnen geführte E-Mail-Kommunikation verschlüsselt, die Ergebnisse oder andere sensible Informationen enthält. Die Schwachstellen werden nur mit von Ihnen genannten Mitarbeitern besprochen. Nachdem ein Projekt abgeschlossen ist, werden die Laptops mithilfe von Dienstprogrammen zum sicheren Löschen von allen Kundeninformationen gesäubert. Die Abschlussberichte werden zentral archiviert.

Sollten wir während der Tests mit Ausfallzeiten rechnen?
Foundstone trifft weitreichende Maßnahmen um sicherzustellen, dass die Bewertung keine Ausfallzeiten zur Folge hat. Mit einer Bewertung durch Foundstone verbundene Ausfallzeiten waren außerordentlich selten, aber die Möglichkeit kann nicht vollständig ausgeschlossen werden. Teilen Sie dem Projekt-Manager bitte etwaige Ressourcen mit, für die hohe Verfügbarkeitsanforderungen gelten, und die Foundstone-Berater werden gebührende Sorgfalt walten lassen. Diese Ressourcen sollten auch in der Vorab-Checkliste des Projekts notiert werden.

Werden Angriffstests durchgeführt?
Wir setzen keine automatischen Tools, Angriffe oder Scripts ein, die bekanntermaßen Denial of Service entweder als Hauptziel oder als Nebeneffekt des Angriffs verursachen. Die meisten unserer Anwendungsbewertungen werden mit manuellen Prozessen durchgeführt, und alle automatischen Scans erfolgen im nicht eindringenden Modus. Es gibt das minimale Risiko, dass nicht eindringende Scans bei manchen Netzwerkgeräten älterer Bauart Probleme bereiten.

Muss ich die Aktualisierung von Anwendungen anhalten, solange Foundstone die Tests durchführt?
Um einen gründlichen, umfassenden Test durchführen zu können, ist es wichtig, dass Foundstone Zugang zu einer stabilen Testumgebung erhält. Dadurch wird die Produktivität erhöht und unerwartete Verzögerungen werden vermieden. Wir raten Ihnen von der Durchführung irgendwelcher Änderungen an der Anwendung ab, solange die Tests laufen. Hinweis: Dies gilt ausschließlich für unsere Dienste zur Software- und Anwendungssicherheit.

Abschluss

Was markiert den Projektabschluss?
Wenn der technische Abschlussbericht und seine Zusammenfassung abgenommen worden sind, ist das Bewertungsprojekt abgeschlossen. Foundstone führt ein Abschlusstreffen durch, um Einzelheiten über die Ergebnisse und Empfehlungen zu liefern, und spricht gegebenenfalls auch offene Anliegen an. Anschließend bittet Foundstone Sie, den Projektaktivitätsbericht (Engagement Activity Report, EAR) und das Rückmeldungsformular zu unterzeichnen.

Was ist, wenn ich in dem Abschlusstreffen noch Fragen habe?
Gern stehen wir bereit, wenn unsere Kunden uns mit Anschlussfragen kontaktieren. Ein Mitarbeiter des Foundstone-Teams meldet sich dann so bald wie möglich bei Ihnen.

An wen wende ich mich für Folgemaßnahmen?
Kontaktieren Sie bitte den Account Manager oder Projekt-Manager für alle Anfragen und Vorschläge zu Folgemaßnahmen. Die entsprechenden Kontaktdaten finden Sie in der Vorab-Checkliste für das Projekt.