Zum Hauptinhalt gehen
22.03.2021

Penetrationstest: wirksame Waffe gegen Hackerangriffe

IT-Sicherheit_Penetrationstest_IT-Infrastruktur
Laut des Deloitte Cyber Security Reports wird rund die Hälfte der mittleren und großen Unternehmen einmal pro Woche von Cyberkriminellen attackiert. Den Schaden hierzulande beziffert das Beratungsunternehmen auf 50 Milliarden Euro im Jahr. Schon mal was von Penetrationstests gehört? Warum die Investition Gold wert ist und Sie potenziellen Angreifern damit einen Schritt voraus sind.

Der ehemalige FBI-Direktor Robert Mueller sagte vor einigen Jahren auf der Sicherheitskonferenz RSA in San Francisco, dass „es zwei Arten von Unternehmen gibt: Solche, die schon gehackt wurden, und solche, die es noch werden.“ Für Philipp Brusendorff, Teamleiter Sales bei TA Triumph-Adler, trifft diese Aussage 2019 mehr denn je zu. „Um sich vor Hackerangriffen wirksam zu schützen, sind Penetrationstests ideal, weil sie ein klares Bild der Sicherheitslage eines Systems geben. Und wer seine Schwachstellen kennt, ist den Angreifern immer einen Schritt voraus.“  

Was ist eigentlich ein Penetrationstest?

Bei einem sogenannten Pentest führen Experten einen simulierten Hackerangriff durch. Sie versuchen also, aus dem Blickwinkel eines potenziellen Angreifers heraus Schwachstellen in der IT-Infrastruktur herauszufinden und auszunutzen. „Für derart zielgerichtete Attacken gibt es viele unterschiedliche Möglichkeiten“, sagt Brusendorff. „Hackertools, Exploits, verseuchte Links in Rundmails, geklonte Mitarbeiterportale oder USB-Sticks voller Schadsoftware, die wir öffentlich liegen lassen.“ Angegriffen wird remote (ferngesteuert). Ganz wichtig dabei: „Weder der Unternehmens-IT noch den Mitarbeitern geben wir vorher Bescheid, dass ein solcher Test stattfindet. Nur die Geschäftsführung ist eingeweiht. Wir wollen unbedingt echte Reaktionen einfangen. Ein Hacker ruft vorher schließlich auch nicht an.“

Was sind die konkreten Ziele?

Pentests zeigen die Schwachstellen der Unternehmens-IT und Reaktionsfähigkeit der Mitarbeiter auf, bevor Hacker es tun. Außerdem machen sie deutlich, in welche Sicherheitsbereiche dringend investiert werden muss. „Viele Unternehmen vertrauen darauf, dass ihre IT-Dienstleister oder interne IT-Abteilung ein starkes System einrichten, das möglich frei von Schwachstellen ist. Natürlich können aber auch sie Fehler machen oder nach einer Zeit betriebsblind werden. Durch den Pentest bekommt man eine externe Sicht auf die Dinge“, sagt Brusendorff. Hinzu kommt: Unternehmen, die in Pentests investieren, sparen viel Geld. Sie zeigen nämlich die größten Schwachstellen in unterschiedlichen Bereichen auf – mit dieser Information wissen die Unternehmen dann ganz genau, wo sie ihr Budget für IT-Sicherheit am effektivsten einsetzen können. „Andernfalls geben sie Geld für eine ganze Palette an Angeboten aus, die sie unter Umständen gar nicht brauchen.“

Wie lange dauert ein Pentest?

Laut Brusendorff dauert ein Penetrationstest meistens nicht länger als vier Wochen.

Praktisch: Das Unternehmen muss sich nur für zwei persönliche Treffen Zeit nehmen – es gibt ein Vorgespräch und ein Nachgespräch. „Zu Anfang sprechen wir mit dem Kunden über das vorhandene Budget und die genauen Vorstellungen. Nach Abschluss des Pentests liefern wir einen umfangreichen Testbericht, der alle gefundenen Schwachstellen aufweist und Empfehlungen formuliert.“

Die wichtigsten Leistungen auf einen Blick:
  • Das gesamte Netzwerk wird von außen auf Schwachstellen untersucht
  • Alle Server und Dienste werden getestet
  • Die Kommunikationsinfrastruktur wird geprüft
  • Die Zugangsbeschränkungen werden geprüft
  • Das Reaktionsverhalten der IT und der Mitarbeiter wird getestet
  • Social-Engineering-Attacken (Telefon, E-Mail) werden durchgeführt
  • Die Prüfergebnisse werden mit einem detaillierten Bericht abgegeben
  • Gemeinsam mit dem Unternehmen wird ein Plan erstellt, die IT umfassend zu schützen
  • Im Anschluss an die Umsetzung aller Verbesserungsmaßnahmen wird ein Nachtest durchgeführt
Fazit: Das Bedürfnis nach Sicherheit wächst stetig, und von Penetrationstests kann jedes Unternehmen profitieren. „Heutzutage können es sich Firmen einfach nicht leisten, mit ihrer IT-Sicherheit zufrieden zu sein“, sagt TA-Experte Philipp Brusendorff. „Zu groß sind die Gefahren von Angreifern und ihren immer raffinierteren Methoden.“ Nach einem Penetrationstest wissen Unternehmen ganz genau, wo sie stehen – und was es nachzubessern gilt. Dabei ist es besonders wichtig, seine Mitarbeiter zu schulen und zu sensibilisieren. „Auch die beste Technik reicht nicht aus, wenn die Mitarbeiter selbst zur Sicherheitslücke werden.“ 

Das könnte Sie auch interessieren:

Datensilos: Wenn IT-Inseln zur Belastung werden

Ihre Mitarbeiter vergeuden Zeit damit, Informationen aus verschiedenen Anwendungen zusammenzuführen? Außerdem verursachen veraltete Kundendaten immer wieder Probleme?
DMS_Datensilos

DMS: Die vier größten Vorurteile

Bei der Einführung digitaler Datenmanagementsysteme (DMS) haben Unternehmen oft Vorbehalte: aufwendig, kompliziert und teuer, so die Theorie. Doch wie sieht die Praxis aus?
Digitalisierung_DMS_Dokumentenmanagement

Vorsicht, Phishing! Das Wichtigste in fünf Punkten

Ein Klick, großer Schaden: Fallen Mitarbeiter auf Phishing-Mails rein, können sensible Daten sowie Geld verloren gehen – und ganze Systeme lahmgelegt werden. Die wichtigsten Infos.