Zum Inhalt springen
Avanet
Sophos Advisory Services Security Testing

Sophos Advisory Services: Security Testing durch Experten

Mit Sophos Advisory Services erweitert Sophos sein Security-Services-Portfolio um proaktive Sicherheitsprüfungen. Der Grundgedanke ist einfach: Man sollte nicht erst während eines Angriffs herausfinden, ob die eigene Umgebung wirklich belastbar ist. Besser ist ein kontrollierter Test, bei dem erfahrene Security-Tester die Umgebung aus Sicht eines Angreifers betrachten, Schwachstellen nachweisen und konkrete Empfehlungen zur Verbesserung liefern.

Das klingt zuerst nach klassischem Penetration Testing, und genau dort startet Sophos auch. Advisory Services sind aber breiter gedacht als ein einzelner “Scan”. Es geht um technische Tests, klare Zieldefinition, belastbare Findings, Priorisierung, Bericht für technische und nicht-technische Empfänger und bei kritischen beziehungsweise hohen Findings auch um eine Validierung der Behebung innerhalb von 90 Tagen.

Wichtig ist die Einordnung: Sophos Advisory Services sind kein Ersatz für Sophos MDR, kein Ersatz für Sophos Managed Risk und keine Notfallhilfe bei einem laufenden Angriff. Es ist die proaktive Beratungs- und Testing-Schicht dazwischen: prüfen, verstehen, priorisieren, verbessern.

Was sind Sophos Advisory Services?

Sophos Advisory Services sind expertengestützte Sicherheitsprüfungen. Sophos beschreibt sie als unabhängige, proaktive Security-Testing-Services, bei denen Netzwerke, Systeme, Anwendungen und je nach Auftrag auch organisatorische Sicherheitsaspekte gegen reale Angriffsmethoden geprüft werden.

Der Service wird durch das Sophos Red Team und weitere Security-Experten erbracht. In die Methodik fliessen Erkenntnisse aus Sophos X-Ops, Incident-Response-Einsätzen, Threat Hunting und vielen Testing-Projekten ein. Dadurch soll der Test nicht nur bekannte Checklisten abarbeiten, sondern aktuelle Angreifertaktiken berücksichtigen.

Der praktische Nutzen liegt in vier Fragen:

  • Wo sind die Schwachstellen, die Angreifer wirklich ausnutzen könnten?
  • Wie weit käme ein Angreifer von aussen, intern, über WLAN oder über eine Webanwendung?
  • Welche technischen und organisatorischen Massnahmen senken das Risiko am stärksten?
  • Welche Ergebnisse lassen sich gegenüber Management, Partnern, Auditoren oder Cyberversicherungen nachvollziehbar zeigen?

Das Ergebnis ist nicht nur ein “bestanden/nicht bestanden”. Ein guter Test zeigt, was geprüft wurde, was gefunden wurde, wie kritisch ein Finding ist, welche Auswirkungen realistisch sind und was konkret geändert werden muss.

Die vier aktuell verfügbaren Services

Sophos hat zum Start vier Security-Testing-Angebote angekündigt. Weitere Advisory Services können später folgen, aber diese vier bilden aktuell den Kern.

External Penetration Testing

Beim External Penetration Testing wird die Umgebung aus Sicht eines externen Angreifers betrachtet. Im Fokus stehen öffentlich erreichbare Systeme wie Websites, VPN-Portale, Remote-Zugänge, E-Mail-Infrastruktur, APIs, Webserver, Cloud-Dienste oder andere internetexponierte Services.

Der Test beantwortet vor allem diese Fragen:

  • Welche Systeme sind von aussen sichtbar?
  • Sind Dienste falsch konfiguriert oder veraltet?
  • Gibt es bekannte Schwachstellen, die ausnutzbar sind?
  • Lässt sich ein erster Zugriff auf die Umgebung erreichen?
  • Welche Massnahmen reduzieren die externe Angriffsfläche?

External Pentesting ist besonders sinnvoll, wenn neue Dienste veröffentlicht werden, nach grösseren Infrastrukturänderungen, vor Audits oder wenn unklar ist, wie gross die eigene externe Angriffsfläche wirklich ist. Es ergänzt damit auch kontinuierliche Exposure-Ansätze wie Sophos Managed Risk, ersetzt diese aber nicht. Managed Risk überwacht und priorisiert laufend. Ein Pentest geht punktuell tiefer und versucht kontrolliert nachzuweisen, was ein Angreifer erreichen könnte.

Internal Penetration Testing

Beim Internal Penetration Testing wird angenommen, dass ein Angreifer bereits im Netzwerk ist oder ein Benutzerkonto kompromittiert wurde. Das ist in der Praxis ein realistisches Szenario: Phishing, gestohlene Zugangsdaten, unsichere VPN-Zugänge oder ein infizierter Client reichen oft aus, um einen ersten Fuss in die Umgebung zu bekommen.

Der interne Test prüft dann zum Beispiel:

  • ob Segmentierung wirklich greift,
  • ob privilegierte Zugänge zu breit vergeben sind,
  • ob Server, Clients und Managementsysteme voneinander getrennt sind,
  • ob lokale Administratorrechte missbraucht werden können,
  • ob laterale Bewegung möglich ist,
  • ob sensible Daten aus internen Systemen erreichbar sind.

Gerade hier zeigt sich oft der Unterschied zwischen Papierarchitektur und Realität. Ein Netzwerk kann in Diagrammen sauber segmentiert aussehen, aber im Alltag durch Ausnahmen, Altlasten, offene Managementports oder schwache Berechtigungen deutlich durchlässiger sein. Interne Tests sind deshalb ein guter Realitätscheck für Zero-Trust-, Segmentierungs- und Hardening-Projekte.

Wireless Network Penetration Testing

Beim Wireless Network Penetration Testing wird die WLAN-Sicherheit geprüft. Sophos unterscheidet dabei zwischen passiven und aktiven Prüfungen.

Eine passive Prüfung beobachtet Funkverkehr und sucht nach Problemen wie Rogue Access Points, unerwarteten SSIDs, schwacher Verschlüsselung, fehlerhaften Konfigurationen oder Geräten, die nicht in das Sicherheitsmodell passen. Eine aktive Prüfung geht weiter und simuliert Angriffsversuche, etwa gegen Authentifizierung, Verschlüsselung oder Zugriffskontrollen.

Typische Fragen sind:

  • Sind Unternehmens-WLAN, Gast-WLAN und interne Netze sauber getrennt?
  • Werden starke Authentifizierungsverfahren genutzt?
  • Gibt es unerwünschte Access Points oder falsch konfigurierte Geräte?
  • Kann ein Angreifer Schutzmechanismen umgehen?
  • Entspricht die WLAN-Konfiguration den internen Sicherheitsrichtlinien?

WLAN wird in vielen Umgebungen unterschätzt, weil es “nur” als Zugangsschicht gesehen wird. In Wirklichkeit ist es oft eine direkte Brücke in interne Netze. Ein Wireless-Test lohnt sich besonders bei Büros mit sensiblen Bereichen, Produktionsstandorten, Bildungseinrichtungen, Gesundheitswesen, Retail-Flächen oder Umgebungen mit vielen Gästen und mobilen Geräten.

Web Application Security Assessment

Beim Web Application Security Assessment werden Webanwendungen auf Sicherheitsprobleme geprüft. Dazu gehören klassische Schwachstellen wie SQL Injection, Cross-Site Scripting, fehlerhafte Authentifizierung, Broken Access Control, Security Misconfiguration, unsichere Session-Verwaltung oder Designprobleme in der Anwendung.

Sophos beschreibt dabei zwei mögliche Perspektiven:

  • Black-box Testing: Der Tester hat keine internen Informationen und prüft wie ein externer Angreifer.
  • White-box Testing: Der Tester bekommt Zugriff auf Quellcode, Architekturinformationen oder technische Dokumentation und kann dadurch tiefer prüfen.

Welche Variante sinnvoll ist, hängt vom Ziel ab. Wenn man wissen will, was ein externer Angreifer ohne Vorwissen erreichen kann, passt Black-box Testing. Wenn man eine neue Anwendung vor dem Go-live wirklich tief prüfen möchte, ist White-box Testing oft wertvoller, weil auch strukturelle Probleme im Code oder Design sichtbar werden.

Web Application Assessments sind besonders relevant für Kundenportale, Shops, interne Webtools, APIs, Partnerportale, Login-Bereiche und Anwendungen mit personenbezogenen oder geschäftskritischen Daten.

Wie ein Advisory-Engagement typischerweise abläuft

Ein guter Sicherheitstest beginnt nicht mit Tools, sondern mit Scope und Ziel. Genau das betont Sophos bei den Advisory Services: Die Tests sollen zielbasiert sein und die Systeme im Kontext der Umgebung bewerten.

1. Ziel und Scope festlegen

Vor dem Test muss klar sein, was geprüft wird und was nicht. Dazu gehören:

  • Zielsysteme, Domains, IP-Bereiche, Anwendungen oder Standorte,
  • erlaubte Testarten und ausgeschlossene Aktionen,
  • Zeitfenster und Wartungsfenster,
  • Ansprechpartner für technische und geschäftliche Fragen,
  • Eskalationswege bei kritischen Findings oder Betriebsstörungen,
  • Testkonten und benötigte Zugriffe,
  • Umgang mit produktiven Daten.

Diese Phase ist wichtig, weil Security Testing immer Wirkung haben kann. Ein aktiver Test gegen ein WLAN, eine Webanwendung oder ein internes Netz darf nicht unkontrolliert in den Betrieb hineinlaufen. Je besser Scope und Regeln definiert sind, desto nützlicher und sicherer wird das Ergebnis.

2. Test durchführen

In der Testphase arbeiten die Security-Experten mit einer Mischung aus manueller Analyse, Tooling, Erfahrung und aktuellen Threat-Intelligence-Erkenntnissen. Der Unterschied zu einem reinen Schwachstellenscan ist, dass Findings nicht nur gemeldet, sondern eingeordnet und nach Möglichkeit validiert werden.

Ein Scanner kann sagen: “Hier könnte eine Schwachstelle existieren.” Ein guter Pentest beantwortet zusätzlich: “Ist sie ausnutzbar? Unter welchen Bedingungen? Wie weit kommt man damit? Was ist der reale Impact? Welche Massnahme bringt wirklich etwas?”

3. Ergebnisse dokumentieren

Nach Abschluss liefert Sophos einen Bericht. Laut Sophos richtet sich dieser an technische und nicht-technische Empfänger. Das ist wichtig, weil ein reiner Technikbericht dem Management oft nicht hilft, während ein reiner Managementbericht für Admins zu wenig konkret ist.

Ein brauchbarer Bericht sollte deshalb mindestens enthalten:

  • Zusammenfassung für Management und Risikoentscheider,
  • technische Findings mit Nachweisen,
  • Schweregrad und realistische Auswirkung,
  • betroffene Systeme und getesteter Scope,
  • priorisierte Empfehlungen,
  • konkrete Remediation-Schritte,
  • Hinweise auf schnelle Korrekturen und strukturelle Verbesserungen.

Gerade die Priorisierung ist entscheidend. Viele Unternehmen haben mehr Findings als Zeit. Ein guter Bericht hilft dabei, zuerst die Schwachstellen zu beheben, die wirklich ausnutzbar, exponiert oder geschäftskritisch sind.

4. Kritische und hohe Findings validieren

Ein wertvoller Punkt auf der Sophos-Seite ist die Remediation Validation: Für behobene Findings mit kritischem oder hohem Schweregrad ist eine Validierung innerhalb von 90 Tagen enthalten. Das ist praktisch, weil dadurch nicht nur ein PDF entsteht, sondern eine konkrete Kontrollschleife.

Für den Betrieb bedeutet das: Kritische und hohe Findings sollten schnell in Tickets überführt, einem Owner zugewiesen und nach der Behebung erneut geprüft werden. Sonst bleibt der Test eine Momentaufnahme ohne nachhaltige Wirkung.

Abgrenzung zu MDR, Managed Risk und Incident Response

Sophos hat inzwischen mehrere Security Services, deren Namen leicht durcheinandergeraten. Die Unterschiede sind aber wichtig.

Advisory Services vs. Sophos MDR

Sophos MDR ist ein laufender Managed Detection and Response Service. Dort überwachen Analysten Signale, erkennen Bedrohungen und reagieren je nach vereinbartem Modell auf aktive Angriffe oder verdächtiges Verhalten.

Advisory Services sind dagegen projektbezogene Tests und Assessments. Dabei wird geprüft, ob Kontrollen, Anwendungen, Netzwerke oder WLANs angreifbar sind. MDR schaut laufend auf aktive Bedrohungen. Advisory Services prüfen gezielt, wie gut die Verteidigung vorbereitet ist.

Advisory Services vs. Sophos Managed Risk

Sophos Managed Risk ist ein kontinuierlicher Service für Schwachstellen- und Angriffsflächenmanagement. Er identifiziert externe Assets, bewertet Risiken, priorisiert Schwachstellen und hilft dabei, offene Angriffsflächen laufend zu reduzieren.

Advisory Services gehen anders vor: Es sind zeitlich begrenzte, manuelle oder stark expertengestützte Prüfungen. Ein External Pentest kann zum Beispiel validieren, wie weit ein Angreifer wirklich käme. Managed Risk liefert den laufenden Blick auf die Angriffsfläche. Beides ergänzt sich gut.

Advisory Services vs. Compromise Assessment

Ein Sophos Compromise Assessment beantwortet eine andere Frage: Ist die Umgebung bereits kompromittiert oder gibt es Hinweise auf einen laufenden oder vergangenen Angriff?

Advisory Services fragen dagegen: Wo könnte ein Angriff erfolgreich sein, wenn jemand es versucht? Es geht also um Prävention und Resilienz, nicht primär um die forensische Suche nach bereits aktiven Angreifern.

Advisory Services vs. Emergency Incident Response

Wenn ein Unternehmen gerade angegriffen wird, ist ein Penetration Test nicht der richtige Startpunkt. Dann braucht es Incident Response, Eindämmung, Analyse und Wiederherstellung. Advisory Services sind für die Phase davor oder danach gedacht: vor einem Angriff zur Risikoreduktion, nach einer Stabilisierung zur strukturellen Verbesserung.

Wann sich Sophos Advisory Services lohnen

Advisory Services sind besonders sinnvoll, wenn eine Organisation nicht nur “mehr Sicherheit” will, sondern konkrete Fragen beantworten muss.

Vor Go-live oder nach grossen Änderungen

Neue Webanwendungen, neue VPN-Architektur, neue Cloud-Dienste, ein neues WLAN-Konzept oder eine grössere Netzwerksegmentierung sollten nicht erst im produktiven Alltag ihre Schwächen zeigen. Ein gezieltes Assessment vor dem Go-live kann viele teure Nacharbeiten verhindern.

Vor Audits, Zertifizierungen oder Cyberversicherungen

Viele Anforderungen aus NIS2, ISO 27001, PCI DSS, SOC 2 oder Cyberversicherungen drehen sich nicht nur um vorhandene Tools, sondern um nachweisbare Prozesse, Tests und Risikoreduktion. Ein Advisory-Engagement ersetzt keine Zertifizierung, kann aber wichtige Nachweise und konkrete Verbesserungen liefern. Zum Zusammenhang zwischen Regulierung und Sicherheitsmassnahmen passt auch der Beitrag zur NIS-2-Richtlinie.

Wenn interne Sicherheit vermutet, aber nicht bewiesen ist

Viele Umgebungen wirken stabil, bis man sie bewusst testet. Interne Tests zeigen oft alte Adminrechte, flache Netzwerke, offene Managementports, ungeschützte Service-Konten oder fehlende Segmentierung. Gerade nach Jahren organischen Wachstums lohnt sich dieser Blick von aussen auf die eigene Innenwelt.

Als Ergänzung zu MDR, XDR, NDR und Firewall-Schutz

Detection-and-Response-Technologien sind stark, aber sie beantworten nicht jede Präventionsfrage. Ein Unternehmen kann Sophos Firewall NDR Active Threat Intelligence, XDR oder MDR einsetzen und trotzdem Schwächen in WLAN, Webanwendungen oder interner Segmentierung haben. Advisory Services helfen, diese Lücken gezielt zu finden.

Was man vor einem Test vorbereiten sollte

Security Testing ist kein “einfach mal machen”. Eine gute Vorbereitung entscheidet darüber, ob der Test verwertbare Ergebnisse liefert oder nur Stress erzeugt.

Sofort klären

  • Welche Systeme und Anwendungen gehören in den Scope?
  • Welche Systeme dürfen ausdrücklich nicht getestet werden?
  • Gibt es produktive Systeme mit besonderem Risiko?
  • Welche Wartungsfenster sind möglich?
  • Wer ist technischer Ansprechpartner?
  • Wer darf Risikoentscheidungen treffen?
  • Welche Logquellen werden während des Tests überwacht?

Vor dem Test vorbereiten

  • Testfreigabe und rechtliche Erlaubnis dokumentieren.
  • Kontaktliste mit Notfallnummern erstellen.
  • Backups und Wiederherstellbarkeit prüfen.
  • Monitoring, SIEM, MDR oder SOC über den Test informieren.
  • Testkonten mit definierten Rechten bereitstellen.
  • Zielsysteme und Versionen dokumentieren.
  • Business Owner der getesteten Anwendungen einbinden.
  • Change Freeze für kritische Systeme prüfen.

Nach dem Test operationalisieren

  • Findings in Tickets überführen.
  • Kritische und hohe Findings priorisieren.
  • Owner und Fälligkeit pro Finding definieren.
  • Quick Wins von Architekturthemen trennen.
  • Behebung dokumentieren.
  • Validierung innerhalb der 90-Tage-Frist planen.
  • Wiederkehrende Prüfungen in die Security-Roadmap aufnehmen.

Grenzen und realistische Erwartungen

Sophos Advisory Services können sehr wertvoll sein, aber sie sind kein magischer Sicherheitsnachweis.

Ein Test ist immer scope- und zeitabhängig. Was nicht im Scope ist, wird nicht geprüft. Was nach dem Test neu veröffentlicht oder geändert wird, kann neue Risiken erzeugen. Ein sauberer Bericht beweist deshalb nicht, dass eine Umgebung “sicher” ist. Er zeigt, was im vereinbarten Rahmen geprüft wurde und welche Risiken dabei gefunden wurden.

Auch wichtig: Der Service behebt Schwachstellen nicht automatisch. Er liefert Findings, Priorisierung und Empfehlungen. Die Umsetzung bleibt eine Aufgabe für IT, Entwicklung, Netzwerkteam, Security-Team, Dienstleister oder Applikationsverantwortliche. Genau deshalb ist ein Owner-Modell nach dem Test so wichtig.

Man sollte ausserdem zwischen passiven und aktiven Tests unterscheiden. Ein aktiver Test kann Systeme belasten, Alarme auslösen oder unerwartete Nebenwirkungen erzeugen, wenn Scope und Zeitfenster schlecht definiert sind. Das ist kein Grund gegen Testing, aber ein Grund für saubere Vorbereitung.

Meine Einordnung

Ich finde Sophos Advisory Services vor allem deshalb interessant, weil Sophos sein Portfolio damit in eine sinnvolle Richtung erweitert. Viele Unternehmen haben inzwischen gute Schutzprodukte, aber zu wenig geprüfte Realität. Man hat Endpoint, Firewall, MDR, Backups, Policies und vielleicht ein paar Compliance-Dokumente. Die harte Frage bleibt: Hält das auch, wenn jemand wirklich testet?

Genau dort passen Advisory Services hinein. Der Service ist nicht die tägliche Überwachung wie MDR und nicht das kontinuierliche Schwachstellenmanagement wie Managed Risk. Er ist der geplante Realitätscheck. Besonders wertvoll wird das, wenn die Ergebnisse nicht in einer Schublade landen, sondern in Tickets, Architekturentscheidungen, Segmentierungsprojekten und wiederkehrende Reviews übersetzt werden.

Meine Empfehlung: Advisory Services nicht als einmaligen Audit-Stempel betrachten. Besser ist ein kleines Programm: erst externe Angriffsfläche prüfen, dann kritische Webanwendungen, danach interne Bewegung und WLAN. Parallel sollten Managed Risk, MDR, Logging und Firewall-Reviews die laufende Sichtbarkeit sichern. So entsteht kein einzelner Bericht, sondern ein kontinuierlicher Verbesserungsprozess.

FAQ

Was sind Sophos Advisory Services?

Sophos Advisory Services sind proaktive Security-Testing- und Assessment-Services. Sophos-Experten prüfen Netzwerke, Systeme, WLANs oder Webanwendungen aus Angreiferperspektive und liefern konkrete Empfehlungen zur Risikoreduktion.

Welche Services sind aktuell verfügbar?

Zum Start nennt Sophos vier Angebote: External Penetration Testing, Internal Penetration Testing, Wireless Network Penetration Testing und Web Application Security Assessment.

Ist Sophos Advisory Services dasselbe wie Sophos MDR?

Nein. MDR ist ein laufender Detection-and-Response-Service für aktive Bedrohungen. Advisory Services sind projektbezogene Sicherheitsprüfungen, die Schwachstellen und Angriffswege sichtbar machen.

Was ist der Unterschied zu Sophos Managed Risk?

Managed Risk überwacht und priorisiert Schwachstellen und externe Angriffsflächen kontinuierlich. Advisory Services prüfen gezielt und tiefer, zum Beispiel durch manuelle Penetration Tests oder Web Application Assessments.

Ersetzt ein Penetration Test eine Sicherheitsstrategie?

Nein. Ein Test zeigt Risiken im definierten Scope und zum Testzeitpunkt. Danach müssen Findings behoben, Kontrollen verbessert, Logs überwacht und Sicherheitsprozesse weitergeführt werden.

Was passiert nach dem Test?

Sophos liefert einen Bericht mit Findings, Nachweisen, Bewertung und Handlungsempfehlungen. Für behobene kritische und hohe Findings ist laut Sophos eine Remediation Validation innerhalb von 90 Tagen enthalten.

Für wen lohnt sich Sophos Advisory Services besonders?

Der Service lohnt sich für Unternehmen, die vor Go-live, Audit, Zertifizierung, Cyberversicherung, Architekturänderung oder nach längerer Betriebszeit wissen möchten, wie angreifbar ihre Umgebung wirklich ist.

Kann Sophos Advisory Services bei NIS2 oder ISO 27001 helfen?

Ja, als unterstützender Nachweis und zur Verbesserung der Sicherheitslage. Der Service ersetzt aber keine Zertifizierung und keine rechtliche Prüfung der regulatorischen Anforderungen.

Mehr Informationen

David

David

David verantwortet Inhalte, Struktur und digitale Umsetzung bei Avanet. Sein Fokus liegt darauf, komplexe technische Themen klar, präzise und suchmaschinenfreundlich aufzubereiten.