Apfelnews Apple News Blog, iPhone, iPad, Mac & vieles mehr
Eine Überprüfung von Netzwerken und IT-Systemen hinsichtlich ihrer äußeren Angreifbarkeit ist in Form eines Pentests möglich. Sicherheitsexperten bedienen sich im Rahmen des Pentestings dabei genau den Techniken und Methoden, welche auch reale Hacker nutzen würden – allerdings findet der Angriff selbstverständlich ganz legal statt.
Weshalb die IT-Sicherheit in Unternehmen mithilfe eines Pentests maßgeblich optimiert werden kann, erklärt der folgende Beitrag.
Ernstzunehmende Bedrohung durch Cyber-Attacken für Unternehmen
Cyber-Attacken stellen für Unternehmen heutzutage eine immer größere Bedrohung dar. Mögliche Schwachstellen aufzudecken oder das generelle Gefährdungspotential realitätsnah einschätzen zu können, ist jedoch möglich, indem man einen Pentest durchführt.
Der vollständige Testverlauf wird dabei außerdem detailliert dokumentiert, sodass sich sämtliche Maßnahmen als transparent und nachvollziehbar zeigen. Die gefundenen Schwachstellen werden abschließend in Form eines Berichtes zusammengefasst. Daneben liefern die Pentester außerdem professionelle Lösungsansätze, welche zu einer allgemeinen Optimierung der IT-Sicherheit eines Unternehmens führen.
Jedoch liegt es dann in der Verantwortung der Unternehmen selbst, die entsprechenden Härtungsmaßnahmen durchzuführen und eine Beseitigung der Schwachstellen durchzuführen. Daneben ist stets das jeweilige Gefährdungspotential entscheidend dafür, welchen Umfang der Pentest aufweist. Bei internen Anwendungen, welche sich nicht als systemkritisch zeigen, kann der Pentest so etwa weniger komplex zeigen.
Dieses Ziel verfolgen Pentests
Das Ziel eines Pentests besteht darin, in einem Netzwerk oder auf einem Computer eventuell vorhandene Schwachstellen aufzudecken. Für den Test sind dabei ausschließlich die organisatorische und die technische Ebene entscheidend – ein Beheben der gefundenen Schwachstellen erfolgt somit nicht.
Die Pentester nehmen die Sicht eines Angreifers ein und bedienen sich dabei unterschiedlichen Werkzeugen, um die Sicherheitsvorkehrungen der IT-Systeme des Unternehmens zu umgehen. Im Vorfeld wird mit dem Auftraggeber abgestimmt, welche Mittel im Rahmen des Pentestings genutzt werden dürfen. Schädigende Operationen führen die Pentester nicht aus, sodass nicht zu befürchten ist, dass der Betrieb der Systeme unterbrochen wird.
Zum Abschluss wird zu dem durchgeführten Pentest ein ausführlicher Bericht erstellt, welcher ebenfalls Empfehlungen zu Maßnahmen enthält, um die gefunden Sicherheitsrisiken zu eliminieren. Zu diesen können beispielsweise eine Aufstockung des Personals, die Ausführung von Updates oder Schulungen der Mitarbeiter bestehen.
So profitieren Unternehmen durch den Penetrationstest
Allgemeine Sicherheitsanalysen lassen sich durch die Durchführung eines Pentests optimal ergänzen. Mit dem Pentesting lässt sich schließlich herausfinden, wie empfindlich sich die IT-Systeme gegenüber realen Angriffen zeigen würden.
Durch den Wechsel der Perspektive können durch die Pentester andere Aspekte der Systemsicherheit überprüft werden als beispielsweise durch die interne IT-Abteilung. Im IT-Sicherheitsprozess für Unternehmen geht von dem Pentest daher eine nicht zu vernachlässigende Bedeutung aus.
Untersucht werden im Zuge des Penetrationstests so etwa die breiten Auswirkungen der vorhandenen Sicherheitsmaßnahmen, beispielsweise der AV/AM Software, den Secure Coding Standards oder den Application-Layer Firewalls. Mithilfe des Tests lässt sich daher aufzeigen, falls unterschiedliche Maßnahmen mit ihrer Schutzwirkung nicht überzeugen können.
Eine Prüfung ist durch den Pentests dabei vor allen von sicherheitskritischen Konfigurationen und Komponenten möglich. Besonders zu empfehlen ist das Pentesting daher, nachdem neue Anwendungen oder Systeme eingeführt wurden, um eventuelle Schwachstellen in diesen frühestmöglich zu identifizieren.
Daneben können auch die Anforderungen, welche durch die Compliance gesetzt werden, einen Pentests nötig machen. Zu beachten sind dabei vor allem branchenspezifische Vorgaben.
