Wieso Fir­men Pene­tra­tiontests durch­führen las­sen sollten

mit Keine Kommentare

Wer ein Unternehmen führt, ist auch für die Com­pu­ter-Sicher­­heit verantwortlich. Dabei geht es nicht mehr nur um Anti­viren­software und Da­ten­schutz. Ein IT-System hat viele Angriffs­punk­te. Damit alles rund läuft, wird heutzutage ein Pene­tra­tiontest durch­geführt. Was das ist und wa­rum Firmen ihn brauchen erfährt man hier.Penetrationstest

Bildquelle von https://www.pexels.com/de-de/foto/sicherheitslogo-60504/

Was ist überhaupt ein Penetrationtest?

Der Penetrationtest, auch als Pentest abgekürzt, macht genau das, wonach der Name klingt. Es wird dabei versucht, mit simu­lier­ten Angriffen auf ein IT-Netz­werk zuzugreifen und sei­nen Schutz zu penetrieren. Gelingt das, lernt man von einer be­ste­henden Sicherheitslücke, die nun geschlossen werden kann.

Pentests = simulieren Hacker­an­griffe und decken Sicher­heits­lücken auf

Diese Tests werden von Internet Security Assessment Firmen durchgeführt. Ihre Experten ver­suchen sowohl ex­tern als auch intern auf das Firmen­netz­werk zuzu­greifen. So wird möglichen Hackern mit dem gleichen Wis­sen vor aus­ge­grif­fen. Dabei sollte man sich im besten Fall nicht rein auf automa­ti­sierte Schwach­stellen­scanner ver­las­sen. Auch sie werden regel­mäßig mit den neusten Hacking-Tech­nologien und typi­schen Schwach­stellen gefüttert, aber kommen nicht gegen die Hart­näckig­keit von Hand­arbeit an.

Darum ist der Pen­test für Unter­neh­men wichtig

Die meisten Unternehmen haben heute in irgendeiner Art und Wei­se ein IT-System. Ob es da­bei um vertrauliche For­schungs- und Produktdaten geht, oder da­rum, die Kunden­informa­tionen zu schützen; die Sicherheit des Netzwerks darf nicht ver­nach­lässigt werden, um Schäden an seinem Unter­nehmen und Ruf zu ver­meiden.

Ein Pentest wird durch­geführt, um:

  • Die Widerstandsfähigkeit eines IT-Systems zu ermitteln.
  • Kosten durch Ausfall und Wie­der­herstellung zu ver­meiden.
  • Die Cybersicherheit upzu­daten.
  • Die gesetzlichen Sicher­heits­bestimmungen einzuhalten.
  • Den Ruf des Unternehmens zu schützen.

Widerstandfähigkeit des IT-Systems er­mit­teln

Das Versprechen, die wider­stands­fä­higste Software auf dem Markt zu haben, bringt wenig. Damit man tatsächlich er­kennen kann, wie gut die ei­ge­nen Daten geschützt sind, muss man dieses auch testen.

Ein manueller Pene­trationstest über­prüft:

  • Codefehler
  • Softwarefehler
  • Konfigurationsfehler
  • Unsichere Einstellungen

Das sind typische Schwach­stel­len, die ein Hacker ausnutzen kann, um Zugang zu dem IT-Netzwerk zu bekommen. Wer glaubt, dass sein System bis dahin sicher gewesen ist, lernt durch einen Pentest oft, wie schnell sich un­be­kann­te Zu­griffs­punkte einschleichen können und kann nun handeln.

Kosten eines Aus­fal­les und der Wieder­her­stellung des IT-Systems ver­mei­den

Der Pentest setzt ein Netzwerk den gleichen Belastungen aus, wie ein echter Hacking-Ver­such. Da er aber in einem kon­trollierten Rahmen statt­findet, den die Firma bestimmt und erwartet, erleidet man nicht die gleichen Schä­den.

Man lernt nicht aus dem Ernst­fall und kann Schwach­stellen elimi­nieren, bevor ein kost­spieliger realer Angriff statt­ge­fun­den hat. Dieser geht nicht nur mit den Kosten für den Betriebs­ausfall und die Wieder­her­stellung des Systems ein­her, sondern kann auch Buß­gelder und Kosten für zu­sätz­lichen Kundenschutz- und die Kundenwiedergewinnung ver­ur­­sachen.

Stattdessen setzen Firmen bei einem Penetrationstest ein Budget vor, das ihnen gezielt zeigt, wo Ver­besserungs­po­ten­zial ist. Ohne zu wissen, wo man ansetzen muss, können Sicher­heits­maßnahmen kost­spieliger sein als das Eli­minieren gezielter Löcher und der Folgekosten von Angriffen.

Die Cybersicherheit bei Bedarf updaten

IT-Systeme stehen permanent unter einem Wechsel und Fort­schritt. Nicht nur die Technik entwickelt sich stetig weiter. Auch die Angriffe von Hackern und ihre Werkzeuge verändern sich ständig. Schutzsoftware gibt ihr Bestes, dort auf dem neusten Stand zu bleiben und wird nach dem Auftauchen eines neuen Virus auf dessen Existenz geupdated. Ein Pentest kann dem vorgreifen und aufzeigen, wo Updates notwendig sind, bevor sie in Mainstream Antivirensoftware und ähn­lichem angekommen sind.

Einhaltung der Sicher­heits­be­stim­mun­gen

Als Unternehmen ist man ver­pflichtet, nicht nur seine Vermögens­werte, sondern auch die Daten und Investitionen seiner Kunden zu schützen. Die Datenschutz-Grundverordnung (DS-GVO) regelt, welchen Pflichten man hier nach­kommen muss. Dabei muss man seine Sicherheitsmaßnahmen regel­mäßig nachweisen. Der Pentest eignet sich dazu zu zeigen, dass man alle nötigen Schritte zur Sicherheit von IT-Netzwerken gegangen ist.

Den Ruf des Un­ter­neh­mens und die Bin­dung zum Kunden be­wahren

Ist man Kunde in einem Unter­nehmen, über dessen Netzwerk Daten gestohlen wurden, bricht das das Ver­trauen. Vor allem, wenn Zahlungsdaten in dem System hinterlegt waren, kann nicht nur die Firma, sondern auch ihre Kunden hohe Schä­den davon­tragen. Ist das Ver­trauen einmal weg, kommt es selten wieder. Bevor man in die Kunden­­wieder­­ge­win­nung und -erhaltung in­ves­tieren muss, lohnt es sich deshalb von vorne rein sicher­zu­gehen, dass weder der Ruf noch die Daten einer Fir­ma angreifbar sind.

Fazit

„Ein Penetrationstest ist eine schlaue Investition, um die Kos­ten von realen Hacking­an­griffen zu vermeiden. Wer in re­gel­mäßige Checks und Updates sei­ner IT-Sicherheit investiert, muss nicht für Wieder­her­stel­lung, Bußgelder und Be­triebs­aus­fälle auf­kommen. Auch der Kunde kann entspannt blei­ben, wenn er weiß, dass die DS-GVO einge­halten wird und regel­mäßige Pentests statt­fin­den. Damit bleibt ihr Vertrauen und der Ruf des Unter­nehmens be­stehen.“

Autor: Jakob Jussen