Muss ein Pentest nur einmal gemacht werden?

Penetrationstests sind unverzichtbar, um Schwachstellen in IT-Systemen zu identifizieren und diese anschließend zu beheben. Häufig denken Unternehmen, dass ein einziger Pentest vor dem Roll-out eines Systems ausreichend ist. Warum diese Annahme ein Fehler ist und wie oft Sie wirklich Penetrationstests durchführen sollten, um Ihre Systeme bestmöglich zu schützen, erklären wir in diesem Artikel.

Schwachstellen frühzeitig identifizieren mit Pentests

Überall dort, wo Informationen ausgetauscht werden, besteht die Gefahr, dass Dritte auf diese Informationen zugreifen. Dieses Risiko lässt sich nie von vornherein und kategorisch ausschließen. Systematische Tests sind daher ein entscheidendes Werkzeug, um Sicherheitslücken zu identifizieren. Sie bieten dem Unternehmen einen ganzheitlichen Blick auf potenzielle Angriffsmöglichkeiten und liefert die nötigen Informationen, um Sicherheitslücken zu schließen. Das BSI definiert Penetrationstests als “den kontrollierten Versuch, von „außen“ in ein bestimmtes Computersystem bzw. -netzwerk einzudringen, um Schwachstellen zu identifizieren’”.

Wie sicher ist sicher genug?

Hohe Kosten für IT-Sicherheit gehören für 61 % der Unternehmen in Deutschland zu den größten Hemmnissen für die Verbesserung der IT-Sicherheit. Dementsprechend viele Unternehmen fragen sich, wie viele Penetrationstests wirklich nötig sind, um ein System sicherzumachen. Im Penetrationstest versetzen wir uns in den Angreifer. Wir spielen systematisch verschiedene Angriffsszenarien durch und überprüfen so praktisch, ob das System den Angriffen standhält. Wenn das System einmal durch einen Penetrationstest gegangen ist, wurden alle Sicherheitslücken gefunden und geschlossen. Ist ein einzelner Penetrationstest zu Beginn also ausreichend?

Warum ein Pentest nicht ausreicht

IT-Systeme sind nicht statisch. Webanwendungen werden laufend aktualisiert, genau wie mobile Apps oder andere Systeme. Jede Änderung am Code oder der Konfiguration öffnet potenziell neue Tore für Angreifer. Auch die Angreifer schlafen nicht. Eine API, die heute als sicher gilt, kann morgen von einem Angreifer benutzt werden.

Pentests decken nicht nur Sicherheitslücken auf, sie schärfen auch das Sicherheitsbewusstsein im Team. Häufig ist schließlich der Nutzer eines der schwächsten Glieder im Sicherheitssystem. Ein Bewusstsein für die Gefahren ist also wesentlich für die Verbesserung der IT-Sicherheit im Unternehmen. Der größte Feind dabei ist die Routine. Je länger die Mitarbeiter ohne Zwischenfall oder Pentest arbeiten, desto eher werden sie nachlässig in Bezug auf Sicherheitsstandards und Prozeduren.

Wie oft Sie Penetrationstests durchführen sollten

Wie oft sollten Sie also Penetrationstests durchführen? Penetrationstests sollten so oft durchgeführt werden, dass entstandene Schwachstellen identifiziert werden, bevor sie ausgenutzt werden können. Wie oft das ist, hängt von verschiedenen Faktoren ab. Eine junge Webanwendung, die laufend aktualisiert wird, muss häufiger Penetrationstests unterzogen werden als Systeme mit wenigen Änderungen. Aber auch dann sind regelmäßige Tests im Abstand von maximal einem Jahr entscheidend für ein System, dass Angriffen standhalten kann.

Systematisch und bedarfsbezogen testen

Systematische und effiziente Penetrationstests setzen ein genaues Inventar der verschiedenen Assets (Datenbanken, Server, Anwendungen) voraus. So stellen Sie einerseits sicher, dass keine Assets und damit potenzielle Angriffsvektoren übersehen werden. Andererseits können Sie dann die Assets kategorisieren und für jede Assetklasse einen eigenen Plan erstellen. Durch regelmäßige engmaschige Wiederholungen der Tests stellen Sie sicher, dass neue Schwachstellen erkannt werden, bevor sie von einem Angreifer genutzt werden können.

Regelmäßige Pentests schützen Ihre Assets

Um IT-Systeme im Unternehmen bestmöglich zu schützen, sind regelmäßige Penetrationstest unabdingbar, was auch im Leitfaden des BSI beschrieben wird. Denn durch diese Tests finden sie Sicherheitslücken, deren Ausnutzung möglicherweise mit einem großen Schaden verbunden wären. Grundsätzlich sollten Penetrationstests mindestens einmal im Jahr durchgeführt werden. Abhängig von den Assets im Unternehmen sind aber engmaschigere Penetrationstests sinnvoll. Auch wenn diese Tests eine zusätzliche Kostenbelastung darstellen, zahlen sie sich langfristig aus. Denn Sie sichern die Zugänge zu den wichtigsten Informationen Ihres Unternehmens.