SO LASSEN SICH SICHERHEITSLÜCKEN AUFDECKEN

Penetrationstest: wirksame Waffe gegen Hackerangriffe
#Digitalisierung #IT-Sicherheit #Pentrationstest

Laut des Deloitte Cyber Security Reports wird rund die Hälfte der mittleren und großen Unternehmen einmal pro Woche von Cyberkriminellen attackiert. Den Schaden hierzulande beziffert das Beratungsunternehmen auf 50 Milliarden Euro im Jahr. Schon mal was von Penetrationstests gehört? Warum die Investition Gold wert ist und Sie potenziellen Angreifern damit einen Schritt voraus sind.


Der ehemalige FBI-Direktor Robert Mueller sagte vor einigen Jahren auf der Sicherheitskonferenz RSA in San Francisco, dass „es zwei Arten von Unternehmen gibt: Solche, die schon gehackt wurden, und solche, die es noch werden.“ Für Philipp Brusendorff, Teamleiter Sales bei TA Triumph-Adler, trifft diese Aussage 2019 mehr denn je zu. „Um sich vor Hackerangriffen wirksam zu schützen, sind Penetrationstests ideal, weil sie ein klares Bild der Sicherheitslage eines Systems geben. Und wer seine Schwachstellen kennt, ist den Angreifern immer einen Schritt voraus.“  

Was ist eigentlich ein Penetrationstest?

Bei einem sogenannten Pentest führen Experten einen simulierten Hackerangriff durch. Sie versuchen also, aus dem Blickwinkel eines potenziellen Angreifers heraus Schwachstellen in der IT-Infrastruktur herauszufinden und auszunutzen. „Für derart zielgerichtete Attacken gibt es viele unterschiedliche Möglichkeiten“, sagt Brusendorff. „Hackertools, Exploits, verseuchte Links in Rundmails, geklonte Mitarbeiterportale oder USB-Sticks voller Schadsoftware, die wir öffentlich liegen lassen.“ Angegriffen wird remote (ferngesteuert). Ganz wichtig dabei: „Weder der Unternehmens-IT noch den Mitarbeitern geben wir vorher Bescheid, dass ein solcher Test stattfindet. Nur die Geschäftsführung ist eingeweiht. Wir wollen unbedingt echte Reaktionen einfangen. Ein Hacker ruft vorher schließlich auch nicht an.“

Was sind die konkreten Ziele?

Pentests zeigen die Schwachstellen der Unternehmens-IT und Reaktionsfähigkeit der Mitarbeiter auf, bevor Hacker es tun. Außerdem machen sie deutlich, in welche Sicherheitsbereiche dringend investiert werden muss. „Viele Unternehmen vertrauen darauf, dass ihre IT-Dienstleister oder interne IT-Abteilung ein starkes System einrichten, das möglich frei von Schwachstellen ist. Natürlich können aber auch sie Fehler machen oder nach einer Zeit betriebsblind werden. Durch den Pentest bekommt man eine externe Sicht auf die Dinge“, sagt Brusendorff. Hinzu kommt: Unternehmen, die in Pentests investieren, sparen viel Geld. Sie zeigen nämlich die größten Schwachstellen in unterschiedlichen Bereichen auf – mit dieser Information wissen die Unternehmen dann ganz genau, wo sie ihr Budget für IT-Sicherheit am effektivsten einsetzen können. „Andernfalls geben sie Geld für eine ganze Palette an Angeboten aus, die sie unter Umständen gar nicht brauchen.“

Wie lange dauert ein Pentest?

Laut Brusendorff dauert ein Penetrationstest meistens nicht länger als vier Wochen.

Praktisch: Das Unternehmen muss sich nur für zwei persönliche Treffen Zeit nehmen – es gibt ein Vorgespräch und ein Nachgespräch. „Zu Anfang sprechen wir mit dem Kunden über das vorhandene Budget und die genauen Vorstellungen. Nach Abschluss des Pentests liefern wir einen umfangreichen Testbericht, der alle gefundenen Schwachstellen aufweist und Empfehlungen formuliert.“

Die wichtigsten Leistungen auf einen Blick:

  • Das gesamte Netzwerk wird von außen auf Schwachstellen untersucht
  • Alle Server und Dienste werden getestet
  • Die Kommunikationsinfrastruktur wird geprüft
  • Die Zugangsbeschränkungen werden geprüft
  • Das Reaktionsverhalten der IT und der Mitarbeiter wird getestet
  • Social-Engineering-Attacken (Telefon, E-Mail) werden durchgeführt
  • Die Prüfergebnisse werden mit einem detaillierten Bericht abgegeben
  • Gemeinsam mit dem Unternehmen wird ein Plan erstellt, die IT umfassend zu schützen
  • Im Anschluss an die Umsetzung aller Verbesserungsmaßnahmen wird ein Nachtest durchgeführt

Fazit: Das Bedürfnis nach Sicherheit wächst stetig, und von Penetrationstests kann jedes Unternehmen profitieren. „Heutzutage können es sich Firmen einfach nicht leisten, mit ihrer IT-Sicherheit zufrieden zu sein“, sagt TA-Experte Philipp Brusendorff. „Zu groß sind die Gefahren von Angreifern und ihren immer raffinierteren Methoden.“ Nach einem Penetrationstest wissen Unternehmen ganz genau, wo sie stehen – und was es nachzubessern gilt. Dabei ist es besonders wichtig, seine Mitarbeiter zu schulen und zu sensibilisieren. „Auch die beste Technik reicht nicht aus, wenn die Mitarbeiter selbst zur Sicherheitslücke werden.“ 

Gesetzeskonforme Informationssicherheit

Die digitale Transformation bedeutet für Unternehmen auch neue Herausforderungen in der Informationssicherheit. Kundenbedürfnisse ändern sich, die Zahl der Hackerangriffe nimmt zu, und neue gesetzliche Regelungen müssen beachtet werden. Viele Verantwortliche sind unsicher, ob ihre Strukturen, Prozesse, Technologien und Services auf dem neuesten Stand sind und wie sie die Informationssicherheit gesetzeskonform gestalten sollen. 

In den folgenden Feldern können wir Ihnen umfassende Unterstützung anbieten:

1.    ISMS – Awareness-Schulung & Reifegradfeststellung

ISMS steht für Informationssicherheits-Managementsystem. Es definiert die Regeln in Ihrem Unternehmen, nach denen Informationssicherheit gesteuert, kontrolliert und verbessert wird. In unseren Beratungsworkshops klären wir mit Ihnen alle wichtigen Fragen dazu.

2. genua  der IT-Sicherheitsspezialist für höchste Ansprüche

Wenn es um die Absicherung sensibler Schnittstellen, die Vernetzung hochkritischer Infrastrukturen und verschlüsselte Datenkommunikation geht, ist die genua GmbH, gegründet vor über 25 Jahren und seit 2015 ein Unternehmen der Bundesdruckerei-Gruppe, Partner mit höchster Kompetenz.