Professionelle Schwachstellensuche

Penetrationstests retten Leben

| Redakteur: Peter Schmitz

Penetrationstests helfen Sicherheitsrisiken zu reduzieren, gelten aber in vielen Unternehmen als aufwändig und teuer. Dabei gibt es gute Gründe, für die Investition in unabhängige Tests.
Penetrationstests helfen Sicherheitsrisiken zu reduzieren, gelten aber in vielen Unternehmen als aufwändig und teuer. Dabei gibt es gute Gründe, für die Investition in unabhängige Tests. (Bild: Archiv)

Zugegeben, Leben haben Penetrationstests vermutlich noch nicht gerettet, aber sie können Unternehmen vor dem finanziellen Ruin bewahren. Dennoch gelten sie noch immer als aufwändig und teuer. Allerdings mindert ein professioneller Pentest gerade in Zeiten knapper IT-Budgets nicht nur die Risiken, sondern hilft sogar dabei, Geld zu sparen und den Fortbestand des Unternehmens zu sichern.

Wie wertvoll Penetrationstests für die Informationssicherheit in einem Unternehmen oder einer Behörde sind, gerät oft angesichts knapper Budgets bei vielen IT-Chefs in Vergessenheit.

Dabei decken solche Tests nicht nur Lücken in Systemen und Prozessen auf und sind gesetzlich teilweise vorgeschrieben, sondern können, korrekt durchgeführt, auch aufzeigen, wie sich ein knapp bemessenes Budget gezielt einsetzen lässt um die IT-Sicherheit im Unternehmen nachhaltig zu steigern.

Penetrationstests sparen Geld

Penetrationstests zeigen konkrete Lücken auf und sind daher wertvoller, als sich lediglich abstrakt auf angenommene Gefahren vorzubereiten. Manche Risiken sind für IT-Abteilungen auch erst durch Tests, die Schwachstellen aufzeigen, erkennbar. Das meist begrenzte Budget kann gezielt für einen bestimmten Test und die Beseitigung konkreter Lücken genutzt werden – statt etwa in der Hoffnung auf „Rundumschutz“ eine leistungsstärkere Firewall anzuschaffen, die einen systemimmanenten Fehler oder andere Schwachstellen jedoch auch nicht finden kann.

Bereits die Planung einer regelmäßigen Prüfung durch einen neutralen Dritten hebt in der Regel schon das Sicherheitsniveau im Unternehmen. Der neutrale Blick von außen hat zudem den Vorteil, dass nicht derjenige, der die Sicherheit entwickelt hat, die Prüfung auf Wirksamkeit vornimmt. Ein möglicher Rollenkonflikt wird so zugunsten einer objektiven Prüfung vermieden.Daher ist es grundsätzlich sinnvoll, Penetrationstests gezielt und von Experten mit der entsprechenden Erfahrung durchführen zu lassen.

„Zunächst kostet ein professionell durchgeführter Penetrationstest natürlich Geld. Als Investition in die Sicherheit der Unternehmensdaten ist er jedoch unbezahlbar. Schließlich kann eine Vernachlässigung der Sicherheit nicht nur zu einem wesentlichen Vertrauensverlust bei Kunden führen, sondern auch enormen monetären Schaden nach sich ziehen. Empfehlenswert ist die Auswahl eines seriösen und erfahrenen externen Anbieters. Denn nur er kann dabei helfen, die richtigen Schwerpunkte hinsichtlich der zu testenden Systeme zu setzen und gleichzeitig die Tests mit der gebotenen Professionalität durchzuführen“, sagt Bernhard Weber, Experte für Information Security bei msg.

Tests sind wichtiger Bestandteil der IT-Compliance

Das Bundesamt für Sicherheit in der Informationstechnik stellt klar: die Etablierung von Sicherheitssystemen allein gewährleistet keine Erfüllung gesetzlicher Vorgaben. Diese sind mannigfaltig und reichen von der Vorgabe interner Kontrollsysteme im Handelsgesetzbuch (HGB §238) über verpflichtende Frühwarnsysteme zur Gefahrenabwehr (§99 Absatz 2 Aktiengesetz) bis hin zu den strengen Richtlinien bei der Speicherung und Verarbeitung personenbezogener Daten im Telekommunikationsgesetz.

Penetrationstests helfen dabei, die technischen Aspekte auf ihre Wirksamkeit zu überprüfen. Für die Prüfung nicht-technischer Anforderungen können Audits sinnvoll sein.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43812535 / Security-Testing)