Sponsored Post Was ist das?

Penetration-Testing: 3 Aspekte, die du vielleicht noch nicht auf dem Radar hast

IT Secruity Penetration Testing

Echten Cyber-Attacken vorbeugen durch Penetration-Testing. (Foto: vectorfusionart/ Adobe Stock)

Anzeige

Gutes Penetration-Testing kann Unternehmen auf lange Sicht vor schwerwiegenden IT-Sicherheitslücken und Angriffen von außen schützen. Welche drei Aspekte für die IT-Sicherheit besonders relevant sind, erfährst du hier.

Eine aktuelle Studie des eco – Verbands der Internetwirtschaft e. V. hat die IT-Sicherheit in den Blick genommen. Die Ergebnisse könnten deutlicher kaum sein: 90 Prozent der befragten Sicherheitsexperten gaben an, dass die Bedrohungslage im Bereich IT-Sicherheit weiter ansteige. Auch immer mehr Unternehmen sehen die Risiken und entwickeln Strategien, um sich zu schützen. Dennoch – auch das ergab die Studie – schätzen nur 46 Prozent der Unternehmen ihre Absicherung als gut oder sehr gut ein.

IT-Security: Schwachstellen finden mit Penetration-Tests

claranet
claranet

Claranet unterstützt Unternehmen mit Pentests dabei, ihre IT sicher zu gestalten.

Ein sinnvoller Bestandteil von Absicherungsstrategien sind auch Penetration-Tests, kurz Pentests genannt: Dabei werden gezielt Angriffe auf sicherheitsrelevante IT-Strukturen durchgeführt – ohne echte Schädigungsabsicht natürlich. Das methodische Vorgehen von Hackern oder Crackern wird dabei in einem kontrollierten Rahmen genutzt, um möglichst realistische Angriffsszenarien abzubilden. Das gilt auch für den Einsatz entsprechender Software. Ziel von Penetrations-Tests ist es, mögliche Schwachstellen beziehungsweise Angriffspunkte zu identifizieren und zu analysieren. Im Nachgang können dann Maßnahmen ergriffen werden, um bestehende Sicherheitslücken zu schließen. Die Tests können je nach vorhandenen Skills und Ressourcen unternehmensintern abgebildet oder an einen entsprechend qualifizierten Dienstleister abgegeben werden.

Du siehst da einen Bedarf in deinem Unternehmen? Dann könnten die folgenden drei Themen interessant für dich sein:

1. Penetration-Tests richten sich nach der individuellen Ausgangssituation

Für einen aussagekräftigen Penetration-Test gibt es keine One-fits-all-Methodik. Der Ausgangspunkt sowie Art, Umfang und Aggressivität der Angriffsversuche richten sich letztlich auch danach, wo die spezifischen Risiken des Unternehmens liegen: Ergeben sich aus dem individuellen Tech-Setup besondere Angriffsflächen? Speichert das Unternehmen besonders sensible oder wertvolle Daten? Gab es bisher schon Zwischenfälle? Gedacht wird eben aus der Perspektive eines potenziellen Attackers. Schwerpunkte möglicher Angriffe und somit auch der Tests können etwa Webseiten, Apps oder die Infrastruktur des Unternehmens sein. Aufgezeigt werden soll dabei nicht nur, wo Schwachstellen liegen – sondern auch ob bzw. welchen Schaden Angreifer tatsächlich anrichten könnten. Insbesondere für die Priorisierung von Sicherheitsmaßnahmen stellt dieses Wissen einen großen Vorteil dar. Auch interessant: Im Penetration-Test kann abgebildet werden, ob mehrere kleinere Sicherheitslücken, die für sich genommen vielleicht noch nicht dramatisch wären, in Kombination doch zum Einfallstor für ernsthafte Angriffe werden könnten.

2. Penetration-Tests müssen keine einmalige und isolierte Angelegenheit sein

Wurde ein Pentest durchgeführt und konnten bestehende Schwachstellen aufgedeckt und behoben werden, ist das erstmal ein Grund zum Aufatmen. Aber: Das Tech-Setup ändert sich, Hacker finden neue Methoden oder Mitarbeiter werden unvorsichtig – es gibt viele Szenarien, die dazu führen können, dass sich die IT-Security-Situation eines Unternehmens schlagartig ändert. Natürlich kann man nicht dauerhaft Penetration-Tests durchführen, um diese Risiken sichtbar zu machen. Insofern kann es sinnvoll sein, die von Fachleuten durchgeführten Penetration-Tests durch automatisierte Schwachstellenscans, die 24/7 laufen, zu ergänzen. Alle Probleme und Sicherheitslücken, die dabei entdeckt werden, sollten dann noch ein mal von Experten in den Fokus genommen werden. Durch ein ganzheitliches Continuous-Security-Testing-Konzept behalten Unternehmen sicherheitsrelevante Entwicklungen im Auge und können reagieren, bevor es kriminelle Hacker tun. Das hat sinnvolle Nebeneffekte: Da neben den passenden technischen Rahmenbedingungen auch die Sensibilisierung der Mitarbeiter ein wichtiger Faktor für eine erfolgreiche IT-Sicherheitsstrategie ist, lohnt es sich, das Thema immer wieder auf den Tisch zu bringen und mögliche Konsequenzen von Sicherheitslücken aufzuzeigen. Und: Jede im Screening gefundene Schwachstelle und jedes „erfolgreiche“ Penetration-Testing helfen, eine bessere Vorstellung von möglichen Worst-Case-Szenarien zu erhalten und so eine vollumfängliche Business-Continuity-Strategie zu entwickeln, die diverse Eventualitäten und Abhängigkeiten abbildet.

Penetration Testing IT Security

Mit kontinuierlichem Penetration-Testing können Risiken frühzeitig erkannt und entsprechende Sicherheitsmaßnahmen eingeleitet werden. (Foto: MIND AND I/ Adobe Stock)

3. Penetration-Tests unterstützen dich dabei, Compliance-Anforderungen zu erfüllen

Unternehmen müssen zahlreiche gesetzliche und vertragliche Anforderungen erfüllen – etwa im Bereich der Datensicherheit. Um sicherzustellen, dass sich das im Verhalten der Mitarbeiter spiegelt, werden intern Prozesse etabliert und Regeln definiert. Im Rahmen eines Penetration-Tests wird deutlich, wo gegebenenfalls Verstöße gegen diese Richtlinien auftauchen. In der Konsequenz können dann Prozesse angepasst, Anleitungen und Anweisungen präzisiert oder korrigiert und Mitarbeiter gezielt (nach-)geschult werden. Sollte dies nicht unmittelbar möglich sein, bieten die Ergebnisse des Penetration-Tests zumindest eine gute Argumentationsgrundlage, um zusätzliche Budgets und Ressourcen zu rechtfertigen.

Kurz gefasst: Penetration-Tests unterstützen Unternehmen umfassend dabei, ihre Sicherheits- und Compliance-Mechanismen umfassend und unter realistischen Bedingungen auf den Prüfstand zu stellen – und konkrete Verbesserungsvorschläge für technische oder prozessuale Rahmenbedingungen abzuleiten sowie Schulungsbedarfe zu definieren.  

Du möchtest dich weiter über die Vorzüge von Penetration-Tests informieren?

Hier mehr erfahren!

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung