Locale

Schliessen

Unverbindliche Anfrage

*=Pflichtfelder

Wie Protforce Ihre Daten verarbeitet und welche Rechte Sie in diesem Zusammenhang haben, erfahren Sie hier

Schliessen

Rufen Sie uns an.

Wir beraten Sie gerne!

portrait

Jeremy James Hakelberg

Business Development Manager

Icon Phone 0800 473 0000
Zum Kontakt
Logo

IT-Security im Wandel der Zeit

Penetration Test

Dem Angreifer zuvorkommen

09.03.2020

Lesezeit: 3 Minuten


Das Thema Informationssicherheit wird in Unternehmen immer noch sehr divers behandelt.

Nachfolgend eine kleine Anregung zu diesem Thema.

Viel Spaß beim Lesen.

Protforce IT Security Marcus Osterloh

Marcus Osterloh

Chief Technology Officer

In der Bundesrepublik ist am 21. August 1996 ein Gesetz in Kraft getreten, welches wir allgemein unter dem Begriff Arbeitsschutzgesetz kennen und den Grundstein zu einem präventiven Arbeitsschutzrecht gelegt hat. Unternehmen, die sich nicht an diese Gesetzgebung halten, können mit Strafgebühren belegt oder anderweitig sanktioniert werden.

Heutzutage sind viele Arbeitgeber bereits von sich aus bereits sehr aktiv in diesem Bereich, beispielsweise bedingt durch Faktoren wie das Werben um qualifizierte Arbeitskräfte mit besonders guten Arbeitsbedingungen. Aus einer reinen Regulatorik ist also eine, in vielen Fällen, proaktive und bereitwillige Haltung der Firmen entstanden, sich mit dem Thema Arbeitsschutz zu befassen.

Ähnlich verhält es sich mit einem Teil der Informationssicherheit. Eingeführte Regulatorik, wie etwa Regelwerke zur Verarbeitung von Kreditkartendaten (Payment Card Industry Data Security Standard, kurz PCI-DSS), sind zwar nicht gesetzlich vorgeschrieben, jedoch global anerkannt und somit erforderlich, wenn man mit Kreditkartenunternehmen Geschäfte machen möchte. Aufgrund der gestiegenen Vernetzung und Digitalisierung vieler Arbeits- und Lebensbereiche, wächst auch das Thema IT-Sicherheit in den letzten 10 Jahren verstärkt aus der Regulatorik in die Proaktivität.

Wiederkehrende und erfolgreiche Hackerangriffe, die ebenfalls medial für die breite Bevölkerung wahrnehmbar geworden sind, die Verlagerung von immer mehr analogen Dingen in die digitale Welt und der damit einhergehende Wertanstieg von Daten, die zunehmende Steuerung unseres privaten und beruflichen Lebens durch Algorithmen – es gibt mittlerweile viele Gründe sich des Themas Informationssicherheit anzunehmen.

Innovative Firmen haben erkannt, dass die Verfügbarkeit ihrer Dienste, die Vertraulichkeit und Integrität ihrer Infrastruktur und der Schutz ihrer Daten ein entscheidendes Kriterium des Unternehmenserfolgs darstellen – unabhängig von Branche oder Umfang des Geschäfts. Kunden und Lieferanten stellen Anforderungen, Mitarbeiterdaten wollen sicher verwaltet und IT-Landschaften möglichst ausfallfrei betrieben werden.


Was es zu vermeiden gilt ist in der Regel klar: Ein erfolgreicher Cyberangriff, bei dem nicht nur wichtige Unternehmensdaten abhandenkommen und kritische Systeme manipuliert werden, sondern auch die Öffentlichkeit über den Vorfall detailliert informiert wird. Wenn dabei ebenfalls bekannt wird, dass fahrlässig mit Anmeldeinformationen und personenbezogenen Daten umgegangen wurde, wird es nicht nur peinlich, sondern mittlerweile auch richtig teuer – von den Kosten der Bereinigung des Vorfalls mal ganz abgesehen.

Mehr Prävention wagen, mehr Sicherheit gewinnen.

Ein häufig gewähltes Mittel, um die Sicherheit der eigenen IT zu überprüfen ist der sogenannte Penetration Test, abgekürzt als Pentest bekannt. Dabei handelt es sich um einen Sicherheitstest, angefangen für einzelne IT-Systeme oder Applikationen, bis hin zu ganzen Netzwerkinfrastrukturen. Das Ergebnis eines Pentests besteht in der Regel aus detailliert beschriebenen Sicherheitslücken der getesteten Systeme. Das ermöglicht das Beheben dieser Schwachstellen, bevor ein Angreifer jene ausnutzen kann. An dieser Stelle kommt man dem Angreifer im Idealfall zuvor und verhindert dadurch erfolgreiche Attacken – es findet eine Prävention statt. Dabei ist es wichtig methodisch vorzugehen, um strukturiert alle Bereiche des zu testenden IT-Systems zu erfassen und somit ebenfalls eine hohe Erkennungsrate von Schwachstellen zu gewährleisten.

Ausschlaggebend ist außerdem eine methodische Herangehensweise und die möglichst realistische Betrachtung von Bedrohungen im Rahmen eines Penetration Tests – wer wie ein Angreifer auf ein System blicken kann, ist in der Lage die potenziellen Angriffsvektoren zu bestimmen und entsprechende Vorkehrungen zu treffen. Ist diese Voraussetzung nicht gegeben, läuft man Gefahr entweder zu viel oder zu wenig zu tun – keine der beiden Optionen ist dabei für Benutzer und Betreiber der IT befriedigend.

Folgende Fragen gehören zum Grundrepertoire innerhalb eines Penetration Tests:

- Hält die eingesetzte Software und Konfiguration bekannten Angriffen stand?

- Welche Art und Qualität von Angriffen sind realistisch zu erwarten?

-Welche regulatorischen Anforderungen existieren und werden diese erfüllt?

- Ist die aktuelle Softwareimplementierung sicher gegenüber Angriffen?

Ein Penetration Test wird diese und viele weitere Fragen beantworten. Hierbei sollte Sie auf einen erfahrenen Sicherheitsexperten Wert legen, welcher im Stande ist Angriffe ganzheitlich zu verstehen und Ihnen diese im Detail zu erläutern. Häufig wird Software wie Schwachstellenscanner zur Hilfe genommen, um Teile des Pentests zu automatisieren. Bis zu einem gewissen Grad ist deren Einsatz als absolut sinnvoll zu betrachten – sich gänzlich auf diese Art der Schwachstellensuche zu verlassen ist allerdings fahrlässig. Software ist stets als Hilfsmittel zu betrachten, ähnlich wie die modernen Geräte und Werkzeuge eines Mediziners. Das Fachwissen, eine kompetente Einschätzung und das Identifizieren von gravierenden Sicherheitslücken innerhalb komplexer Geschäftslogik von Applikationen ist durch eine Software schlichtweg nicht abbildbar.

Ist ein Sicherheitsproblem identifiziert, besteht die darauffolgende Aufgabe darin eine Gegenmaßnahme, die zur Beseitigung des Problems führt, zu empfehlen – oder im Falle des Arztes: Die entsprechende Behandlung auszusprechen.

Hat man es mit komplexen oder tiefschichtigen Sicherheitsproblemen zu tun, wird eine Standardlösung mit hoher Wahrscheinlichkeit nicht der beste Weg sein, um das Problem zu beseitigen. Vielmehr ist es notwendig die aktuelle Situation im Gesamtkontext Ihrer Unternehmens-IT zu bewerten und geeignete Optionen aufzuzeigen. Der Fund einer Schwachstelle während eines Penetration Tests kann auch auf ein grundlegendes oder insgesamt strukturelles Problem hindeuten - dann ist vor allen Dingen eine strategische Herangehensweise empfehlenswert.

Ihnen sollte dabei immer bewusst sein, dass ein Penetration Test lediglich eine Momentaufnahme des aktuellen Sicherheitsstatus darstellt.

Um in Fragen der IT-Sicherheit gegenüber Angreifern die Oberhand zu behalten, ist es wichtig auf einen starken und kompetenten Partner setzen zu können, welcher Ihre individuellen Themengebiete systematisch und in der Tiefe begreift – nur dann ist es möglich sinnvoll und nachhaltig IT-Sicherheit zu betreiben.