Pentests zur effektiven Abwehr von Angreifern 5 Gründe warum Unternehmen auf Pentests setzen sollten

Autor / Redakteur: Till Oberbeckmann / Peter Schmitz

Mit dem täglich größer werdenden Datentraffic steigt auch das Risiko von Angriffen durch Hacker. Mithilfe von Penetrationstests können Unternehmen ihre wertvollen Daten schützen, noch bevor ein Angriff im System oder Netzwerk ankommt. Anhand von fünf Gründen erklärt Ihnen Till Oberbeckmann, warum Pentests für optimalen Schutz sorgen.

Firmen zum Thema

Mit einem Penetrationstest werden Hacker-Angriffe simuliert, um zu ermitteln, wie sicher Infrastrukturen, Netzwerke, Apps und Webanwendungen sind.
Mit einem Penetrationstest werden Hacker-Angriffe simuliert, um zu ermitteln, wie sicher Infrastrukturen, Netzwerke, Apps und Webanwendungen sind.
(Bild: Nmedia – stock.adobe.com)

Prognose zum Volumen der jährlich generierten digitalen Datenmenge weltweit in den Jahren 2018 und 2025.
Prognose zum Volumen der jährlich generierten digitalen Datenmenge weltweit in den Jahren 2018 und 2025.
(Bild: Statista)

Immer mehr Menschen „leben“ im Internet: Das hat sich vor allem in der Corona-Pandemie gezeigt, als durch den ersten Lockdown Unternehmen ihre Mitarbeiter von einem Tag auf den anderen ins Homeoffice schickten, Kinder per Homeschooling unterrichtet wurden, die Menschen ihre Einkäufe öfter denn je online tätigten und private wie professionelle Kontakte fast ausschließlich per Videokonferenz gepflegt werden mussten. Und das Datenvolumen wird weiter steigen: Lag es 2018 noch bei ca. 33 Zettabyte, wird für 2025 eine Datennutzung von ca. 175 Zettabyte prognostiziert – ein Anstieg um etwa 530 Prozent innerhalb von weniger als 10 Jahren.

Laut SoSafe bietet der damit verbundene erhöhte Datentraffic eine deutlich breitere Angriffsfläche für „Bösewichte“, die in Systeme und Netzwerke eindringen und Daten stehlen oder beschädigen.

Mehr Traffic erhöht das Angriffsrisiko

Wie gefährlich das für eine Organisation werden kann, hat sich an dem massiven Angriff auf die Technische Universität (TU) Berlin gezeigt, bei dem Ende April 2021 Windows-Teilbereiche der Computersysteme lahmgelegt wurden. In der Konsequenz mussten laut tagesspiegel alle Server heruntergefahren werden. Selbst nach mehreren Tagen waren weder Studierende noch Mitarbeiter in der Lage, ihre E-Mails zu nutzen, und die Verwaltung musste weiterhin erhebliche Einschränkungen mit langfristigen Auswirkungen in Kauf nehmen, weil das gesamte SAP-System immer noch abgeschaltet war.

Pentests bieten präventiven Schutz

Mit einem Penetrationstest oder Pentest werden solche Hacker-Angriffe simuliert. Damit kann ermittelt werden, wie sicher Infrastrukturen, Netzwerke, Apps und Webanwendungen sind. Gleichzeitig lassen sich Schwachstellen aufdecken und Lücken schließen, lange bevor ein Hacker in die Systeme einer Organisation eindringen kann. Welche Vorteile sich durch einen Pentest für Unternehmen ergeben, lässt sich in diesen fünf überzeugenden Gründen zusammenfassen:

1. Versteckte Schwachstellen erkennen, bevor ein Hacker sie findet

Bei einem Pentests werden die möglichen Aktionen eines Hackers modelliert. Der Tester startet also quasi einen Hacker-Angriff auf die Systeme der Organisation, um sie auf ihre Widerstandsfähigkeit zu prüfen. Dabei werden allerdings keine Daten kompromittiert, denn im Unterschied zum böswilligen, echten Angriff wird der Pentest auf kontrollierte und sichere Art und Weise durchgeführt. Außerdem legt das Unternehmen Zeitpunkt und Umfang dieses simulierten Angriffs selber fest und ist über die Ausnutzung der Schwachstellen informiert. Doch indem der Pentest einen echten Angriff nachbildet, werden Sicherheitslücken durch unsichere Einstellungen, Konfigurationsfehler, Codefehler oder Softwarefehler zuverlässig aufgedeckt.

2. Sanierungskosten sparen und Netzwerkausfallzeiten reduzieren

Natürlich kostet ein Pentest Geld. Aber es handelt sich um eine Ausgabe, mit der Unternehmen wiederum sehr viel Geld sparen können. Der Pentest dient dank der Schwachstellenerkennung als eine Art Orientierungshilfe dafür, an welchen Stellen in die Sicherheit investiert werden muss. Die Kosten für einen möglichen Netzwerkausfall, wie am Beispiel der TU Berlin, eine Betriebsstörung und die Wiederherstellung der Daten nach einem Angriff können sich auf mehrere Tausend oder gar Millionen Euro belaufen. Ein Pentest amortisiert sich also fast schneller, als er bezahlt ist.

3. Sicherheitsvorschriften zuverlässig einhalten

Ein Unternehmen, das Penetrationstests durchführt, hat der Datenschutzbehörde gegenüber einen Nachweis zur Einhaltung der DSGVO. So spart das Unternehmen nicht nur die Kosten für unnötige Sicherheitsmaßnahmen, weil es sich auf den Schutz der tatsächlichen Schwachstellen konzentrieren kann. Langfristig vermeidet es hohe Bußgelder, die bei Verstößen und Datenverlust laut DSGVO (Datenschutz-Grundverordnung) an die Behörden gezahlt werden müssen. Sollte also doch einmal ein Angriff stattfinden, erfüllt das Unternehmen alle Vorgaben der Richtlinie und reduziert extrem hohe Ausgaben für die Wiederherstellung von Kundendaten.

4. Kundentreue und Unternehmensimage sichern

Werden sensible Daten durch einen Sicherheitsangriff gefährdet, verliert das betroffene Unternehmen sehr schnell das Vertrauen seiner Kunden und das Image des Unternehmens steht auf dem Spiel. Pentests können die Datensicherheit eines Unternehmens realistisch analysieren und aufdecken, ob ein potenzieller Angriff Erfolg haben wird. Damit wissen auch die Kunden, dass sie in guten Händen sind, und können darauf vertrauen, mit einem sicheren und vorausschauenden Partner zusammenarbeiten. Diesen Ruf sollte kein Unternehmen aufs Spiel setzen.

5. Gezielte Investitionen in effizienten Schutz in den richtigen Bereichen tätigen

Die Ergebnisse eines Penetrationstests werden der Geschäftsleitung in der Regel als Bericht vorgelegt. Damit können Sicherheitsexperten genau erkennen, in welchen Bereichen Lücken vorhanden sind, um in genau diesen Bereichen gezielt in den Schutz zu investieren. Gleichzeitig können erfahrene Penetrationstester Empfehlungen für die frühzeitige Behebung von Schwachstellen und die Einrichtung zuverlässiger Sicherheitssysteme aussprechen.

Ethisches Hacking stellt IT-Sicherheit auf die Probe

Würden Sie ein Auto kaufen, ohne eine Probefahrt durchzuführen? Oder laden Sie Gäste zu einem selbst zubereiteten 5-Gänge-Menü ein, ohne dies selbst vorher ausprobiert zu haben? Bei diesen und vielen anderen Beispielen des Alltages gehen Sie auf Nummer sicher, indem Sie konkrete Situation vorab nachstellen. So sollten Sie auch die wertvollen Systeme und Daten Ihres Unternehmens in umfassenden Pentests auf die Probe stellen, um sie schützen, bevor eine Katastrophe geschieht, die viel Geld kostet.

Über den Autor: Der studierte Wirtschaftsinformatiker und IT-Sicherheitsexperte Till Oberbeckmann entschloss sich dank seiner langjährigen IT-Branchenerfahrungen im Mai 2019 als Co-Founder und Managing Partner den IT-Sicherheitsberater und -dienstleister Turingpoint zu gründen. Seit Juni 2020 bietet er mit turingsecure außerdem einen modernen Ansatz zur Maximierung der Anwendungssicherheit mit automatisierten Sicherheitsanalysen.

(ID:47533240)