Viele Unternehmen unterschätzen auch heute noch die Gefahren, die durch eine mangelhafte Sicherheit ihrer IT entstehen. Es ist zwar grundsätzlich möglich, effektive Maßnahmen zur Prävention vorzunehmen, allerdings veranlassen diese in der Praxis nur wenige Firmen.
Zu den empfehlenswertesten dieser Maßnahmen gehört der Penetrationstest, der auch als Penetration Testing oder Pentest bezeichnet wird. Allerdings ist diese Art der Überprüfung vielen Entscheidern in Unternehmen heute noch vollkommen unbekannt.
Warum ein Pentest jedoch eine überaus sinnvolle Maßnahme darstellt und wie dieser abläuft, erklärt der folgende Beitrag. Darüber hinaus finden Interessierte auch auf der Pentest Plattform turingsecure zahlreiche weitere Informationen zu diesem wichtigen Thema.
Pentests – Warum ist er sinnvoll?
In der heutigen Unternehmenslandschaft stellt die interne IT einen zentralen Bestandteil dar. Dadurch sind jedoch auch immer mehr sensible Daten und Informationen in den IT-Systemen der Unternehmen vorhanden und von einer einwandfreien Funktion dieser abhängig.
Daher ist es kaum verwunderlich, dass die Unternehmens-IT immer häufiger angegriffen wird, ob durch eine Störung der Systemverfügbarkeit, Industriespionage oder anderweitige Methoden. Diese Angriffe können den Unternehmen einen signifikanten Schaden zufügen. Durch Cyber-Angriffe und Sicherheitslücken können wichtige Informationen und Daten beispielsweise ausspioniert und an die Konkurrenzunternehmen verkauft werden. Daneben kommt es oft auch zu einem gezielten Auslösen von Systemausfällen.
Mithilfe der Durchführung eines Pentests lässt sich jedoch überprüfen, wie hoch sich die Anfälligkeit der vorhanden IT-Systeme gestaltet. Unternehmen erhalten außerdem Aufschluss darüber, welche Maßnahmen und Schritte sie einleiten können, um zukünftig ihre IT-Sicherheit zu erhöhen und ihre Systeme so zuverlässig vor Cyber-Attacken krimineller Hacker zu schützen.
Der Ablauf eines Pentests
Bevor ein Penetrationstest durchgeführt wird, findet stets ein persönliches Vorgespräch statt. In diesem werden die Unternehmen darüber aufgeklärt, welche Möglichkeiten für den Pentests bei ihren vorhandenen Systemen bestehen. Sinnvoll ist ein Pentest generell nur dann, wenn dieser kundenorientiert und individualisiert ausgeführt wird – schließlich lässt sich das Sicherheitsniveau der Netzwerk- und IT-Systeme nur so effektiv überprüfen.
Im Rahmen des Pentests werden die Systeme dann von den beauftragten IT-Experten kontrolliert angegriffen, um organisatorische oder technische Schwachstellen realitätsnah zu identifizieren. Im Anschluss an den Test erhält das Unternehmen eine umfangreiche Dokumentation und Auswertung.
White- und Blackbox-Tests
Handelt es sich um einen sogenannten Whitebox-Test, erhalten die Penetrationstester sämtliche notwendigen Informationen über die internen Unternehmensstrukturen und die vorhandenen IT-Systeme. Zu diesen zählen beispielsweise Quelltexte von Webapplikationen, Netzwerkpläne oder Zugangsdaten für Kunden-Webanwendungen. So lässt sich überprüfen, inwieweit Benutzer, die über einen berechtigten Systemzugang verfügen, diesen missbräuchlich nutzen können.
Dagegen erhalten die IT-Experten, die den Pentest ausführen, bei einem Blackbox-Test keine weiterführenden Informationen. Sie verfügen so über den gleichen Wissenstand, wie Angreifer ohne interne Informationen.
Allerdings ist es immer nötig, gewisse Rahmeninformationen im Vorfeld des Penetrationstests zu liefern. Beispielsweise dürfen die Pentests nur in den IT-Bereichen stattfinden, für die eine explizite Erlaubnis von dem Auftraggeber erteilt wurde.
Das Ziel des Pentests
Mit dem Penetrationstest wird das Ziel verfolgt, Schwachstellen auf organisatorischer oder technischer Ebene von Geräten oder Netzwerken aufzudecken. Diese werden dann anschließend in einer detaillieren Auswertung dokumentiert.
Jedoch trägt die Verantwortung über die späteren Maßnahmen, die zu ergreifen sind, um die gefunden Schwachstellen zu beseitigen, der Auftraggeber. Zu diesen Maßnahmen gehörten etwa die Abschaltung eines Systems, die Aufstockung oder die Schulung des Personals sowie die Durchführung von Updates und Korrekturen.