PenetrationstestTill Oberbeckmann6 min Lesezeit

Penetration Test: IT-Sicherheit auf die Probe stellen

Penetration Tests können technischer, aber auch organisatorischer Natur sein. Daher ist die Überprüfung der digitalen und physischen Infrastruktur wichtig.

Inhaltsverzeichnis

2019 waren 75 % der Unternehmen von mindestens einem IT-Sicherheitsproblem betroffen - Tendenz seit Jahren steigend. Die Cyberkriminalität hat sich professionalisiert und ist längst ein profitabler Geschäftszweig für Banden geworden, die sich gezielt kleine und mittlere Unternehmen vornehmen. Eine solide Sicherheitsinfrastruktur bildet die Basis, um Angriffspunkte zu minimieren. Ein weiteres wichtiges Werkzeug sind Penetrationstest - ein Werkzeug, das in Deutschland verhältnismäßig wenig genutzt wird. Wir erklären, was ein Penetrationstest ist und wie er Unternehmen hilft, sich vor Angriffen zu schützen.

Was sind Penetration Tests

Beim Penetrationstest geht es um die systematische Überprüfung eines Netzwerks auf Sicherheitslücken. Diese Sicherheitslücken können technischer, aber auch organisatorischer Natur sein. Daher ist oft nicht nur die Überprüfung der digitalen Infrastruktur Teil des Pen Tests, sondern auch eine Untersuchung der physischen Infrastruktur. Dazu versuchen Sicherheitsspezialisten vor Ort in das Netzwerk einzudringen - zum Beispiel mit Social Engineering.

Wie funktioniert ein Penetraion Test?

Beim Penetrationstest verhält sich der Tester genau wie ein potenzieller Angreifer. Darin liegt auch die Stärke dieser Maßnahme: Beim Pentest geht man vom Worst Case aus: Ein gut informierter Angreifer versucht gezielt in das System der Firma einzudringen. Dabei nutzt der Angreifer grundsätzlich alle zur Verfügung stehenden Mitteln, solange sie nicht die Rechte eines Dritten, zum Beispiel fremde Server, berühren. Ein Durchführungskonzept des BSI.

Welche Sicherheitslücken werden beim Penetrationstest ausgenutzt?

Häufig müssen professionelle Pentester aber gar keine schweren Geschütze auffahren, um sich Zugang zum System zu verschaffen.

  • Ein häufiger Schwachpunkt sind unachtsame User. Um als Angreifer von diesen zu profitieren, benötigt man keine komplizierte Technik.
  • Ähnlich verhält es sich mit dem Angriff über die physische Leitung. Ein Angreifer könnte an bestimmten Stellen (zum Beispiel einer öffentlich zugänglichen Tiefgarage) einfach die Verkleidung durchbrechen und sich im wahrsten Sinne des Wortes Zugang zur Leitung verschaffen - wie auf der SLA 2017 eindrucksvoll demonstriert wurde.
  • Aber auch die Software ist ein beliebter Angriffspunkt - insbesondere die öffentlich zugänglichen Bereiche in Form von Webshops, Plattformen oder Mitarbeiterlogin-Seiten.

Warum Penetrationstest ein wichtiger Teil der IT-Sicherheit im Unternehmen ist

In erster Linie helfen Penetrationstests natürlich dabei, Sicherheitslücken in der Infrastruktur aufzudecken und Anhaltspunkte für die Lösung zu bekommen. Aber der Pentest hat weitere Vorteile, die über das Aufdecken von Sicherheitslücken hinausgehen. In der Studie des Bundesministerium für Wirtschaft und Energie "IT-Sicherheit für die Industrie 4.0" wurde die Wichtigkeit nochmals unterstrichen.

User Cyber Security Awareness schaffen

Regelmäßige Pentests helfen dabei, dass Mitarbeiter nicht aus Gewohnheit wichtige Sicherheitsmaßnahmen vernachlässigen. Mit der Zeit stellt sich bei allen Mitarbeitern immer eine gewisse Routine ein - der Umgang mit Passwörtern wird nachlässiger oder bestimmte Compliance-Regeln werden nicht mehr befolgt. Durch Pentests können Sie Mitarbeiter immer herausfordern und ihnen beibringen, auf der Hut zu sein. Unsere Security Assessments bieten vollumfänglichen Schutz.

Strukturelle Probleme erfassen

Manchmal entstehen Sicherheitslücken nicht durch einen menschlichen Fehler, sondern sind durch strukturelle Schwächen bedingt - dazu zählt zum Beispiel eine Unterbesetzung in der IT-Abteilungen sowie Lücken in den Prozessbeschreibungen oder in den Compliance-Richtlinien. Diese strukturellen Schwächen erfassen Sie in der Praxis einfacher als im Unternehmensalltag, in dem eine gewisse Betriebsblindheit normal ist.

Schwachstellen beim Personal identifizieren

In Pentests ist ein wesentlicher Angriffspunkt immer auch der nachlässige Mitarbeiter, der sein Passwort nicht schützt, ein schlechtes Passwort nutzt oder am Telefon kritische Informationen preisgibt, ohne es zu merken. Im Pentest identifizieren Sie Schulungsbedarf bei einzelnen Mitarbeitern, die sich kritisch in Tests verhalten haben.

Sicherheitsroutinen regelmäßig kritisch überprüfen und aktuell halten

Sicherheitsanforderungen verändern sich dynamisch, denn auf die Technologien der Angreifer werden besser. Regelmäßige Pentests helfen, die Sicherheitsarchitektur auf dem aktuellen Stand zu halten und die Prozesse regelmäßig einer kritischen Überprüfung zu unterziehen.

Penetration Test: Fazit

Penetrationstests sind ein wichtiger Baustein einer modernen IT-Sicherheitsinfrastruktur. Sie sind ein Werkzeug, um Lücken in der IT-Sicherheit zu identifizieren und auf Dauer eine sichere Infrastruktur zu schaffen. Pentests sollten regelmäßig durchgeführt werden, um die User Awareness konstant zu halten und auch auf neue Angriffe vorbereitet zu sein.

Viele Unternehmen scheuen Pentests, aber sie sind wie eine Versicherung: Es ist besser, sie durchzuführen, ohne dass der Ernstfall eintritt, als sie nicht zu machen und dann von einem Angriff betroffen zu sein. Gegenüber dem potenziellen Schaden durch eine Sicherheitslücke hält sich der Aufwand für regelmäßige Pentests in Grenzen.

Erweitern Sie Ihren Horizont mit einer Reifegradanalyse!

Reifegradanalyse für 1990 € !

Buchen Sie unserer Kennenlernprojekt, um einen groben aber ganzheitlichen Überblick über Ihre Maßnahmen in der Informationssicherheit zu bekommen!

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: