:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/c6/2a/c62ad7d4c50022b64fe4a5178545098f/0111500770.jpeg "Mit moderner Datensicherheit können Unternehmen auch nach einem Ransomware-Angriff die Geschäftskontinuität aufrechterhalten. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/76/e1/76e1334fe3b40ca0d4148a8eb166b4b0/0111183876.jpeg "Geeignet für geheime Botschaften mit 2x 40 Gbit/s IPsec und <20 μs Latenz: Die VPN-Appliance von der Genua GmbH (Bild: frei lizenziert: Tayeb MEZAHDIA )")
:quality(80)/p7i.vogel.de/wcms/ac/90/ac909e6e2800db299da86bd1add1f12b/0111445793.jpeg "Sophos ereweitert sein internationales Managed Detection and Response (MDR) Team um ein zusätzliches Team in Deutschland. (Bild: Sven - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/c3/46c3dd30da0f71d1dcbaaf2d8a8de7db/0111445470.jpeg "DevOps-Teams benötigen eine gewisse Flexibilität, um unabhängig von der jeweiligen Umgebung den passenden Schutz bereitzustellen. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>akitada31</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/8d/ec8d48043c61c55c45e1184eb47dc4ee/0111445864.jpeg "Lookout kündigt Mobile Endpoint Security für MSSPs an. (Bild: Wesley JvR/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8f/f6/8ff67f37275779fb9e5b52248146b4d0/0111493119.jpeg "Backups sind ein hoch komplexes Thema – angefangen bei der Auswahl der richtigen Backup-Lösung, über die pasende Methode, bis hin zur Planung und zum Test der Wiederhestellung der gesicherten Daten gibt es viel zu beachten. (Bild: momius - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Pentests zur effektiven Abwehr von Angreifern 5 Gründe warum Unternehmen auf Pentests setzen sollten
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Mit dem täglich größer werdenden Datentraffic steigt auch das Risiko von Angriffen durch Hacker. Mithilfe von Penetrationstests können Unternehmen ihre wertvollen Daten schützen, noch bevor ein Angriff im System oder Netzwerk ankommt. Anhand von fünf Gründen erklärt Ihnen Till Oberbeckmann, warum Pentests für optimalen Schutz sorgen.
Immer mehr Menschen „leben“ im Internet: Das hat sich vor allem in der Corona-Pandemie gezeigt, als durch den ersten Lockdown Unternehmen ihre Mitarbeiter von einem Tag auf den anderen ins Homeoffice schickten, Kinder per Homeschooling unterrichtet wurden, die Menschen ihre Einkäufe öfter denn je online tätigten und private wie professionelle Kontakte fast ausschließlich per Videokonferenz gepflegt werden mussten. Und das Datenvolumen wird weiter steigen: Lag es 2018 noch bei ca. 33 Zettabyte, wird für 2025 eine Datennutzung von ca. 175 Zettabyte prognostiziert – ein Anstieg um etwa 530 Prozent innerhalb von weniger als 10 Jahren.
Laut SoSafe bietet der damit verbundene erhöhte Datentraffic eine deutlich breitere Angriffsfläche für „Bösewichte“, die in Systeme und Netzwerke eindringen und Daten stehlen oder beschädigen.
Mehr Traffic erhöht das Angriffsrisiko
Wie gefährlich das für eine Organisation werden kann, hat sich an dem massiven Angriff auf die Technische Universität (TU) Berlin gezeigt, bei dem Ende April 2021 Windows-Teilbereiche der Computersysteme lahmgelegt wurden. In der Konsequenz mussten laut tagesspiegel alle Server heruntergefahren werden. Selbst nach mehreren Tagen waren weder Studierende noch Mitarbeiter in der Lage, ihre E-Mails zu nutzen, und die Verwaltung musste weiterhin erhebliche Einschränkungen mit langfristigen Auswirkungen in Kauf nehmen, weil das gesamte SAP-System immer noch abgeschaltet war.
Pentests bieten präventiven Schutz
Mit einem Penetrationstest oder Pentest werden solche Hacker-Angriffe simuliert. Damit kann ermittelt werden, wie sicher Infrastrukturen, Netzwerke, Apps und Webanwendungen sind. Gleichzeitig lassen sich Schwachstellen aufdecken und Lücken schließen, lange bevor ein Hacker in die Systeme einer Organisation eindringen kann. Welche Vorteile sich durch einen Pentest für Unternehmen ergeben, lässt sich in diesen fünf überzeugenden Gründen zusammenfassen:
1. Versteckte Schwachstellen erkennen, bevor ein Hacker sie findet
Bei einem Pentests werden die möglichen Aktionen eines Hackers modelliert. Der Tester startet also quasi einen Hacker-Angriff auf die Systeme der Organisation, um sie auf ihre Widerstandsfähigkeit zu prüfen. Dabei werden allerdings keine Daten kompromittiert, denn im Unterschied zum böswilligen, echten Angriff wird der Pentest auf kontrollierte und sichere Art und Weise durchgeführt. Außerdem legt das Unternehmen Zeitpunkt und Umfang dieses simulierten Angriffs selber fest und ist über die Ausnutzung der Schwachstellen informiert. Doch indem der Pentest einen echten Angriff nachbildet, werden Sicherheitslücken durch unsichere Einstellungen, Konfigurationsfehler, Codefehler oder Softwarefehler zuverlässig aufgedeckt.
2. Sanierungskosten sparen und Netzwerkausfallzeiten reduzieren
Natürlich kostet ein Pentest Geld. Aber es handelt sich um eine Ausgabe, mit der Unternehmen wiederum sehr viel Geld sparen können. Der Pentest dient dank der Schwachstellenerkennung als eine Art Orientierungshilfe dafür, an welchen Stellen in die Sicherheit investiert werden muss. Die Kosten für einen möglichen Netzwerkausfall, wie am Beispiel der TU Berlin, eine Betriebsstörung und die Wiederherstellung der Daten nach einem Angriff können sich auf mehrere Tausend oder gar Millionen Euro belaufen. Ein Pentest amortisiert sich also fast schneller, als er bezahlt ist.
3. Sicherheitsvorschriften zuverlässig einhalten
Ein Unternehmen, das Penetrationstests durchführt, hat der Datenschutzbehörde gegenüber einen Nachweis zur Einhaltung der DSGVO. So spart das Unternehmen nicht nur die Kosten für unnötige Sicherheitsmaßnahmen, weil es sich auf den Schutz der tatsächlichen Schwachstellen konzentrieren kann. Langfristig vermeidet es hohe Bußgelder, die bei Verstößen und Datenverlust laut DSGVO (Datenschutz-Grundverordnung) an die Behörden gezahlt werden müssen. Sollte also doch einmal ein Angriff stattfinden, erfüllt das Unternehmen alle Vorgaben der Richtlinie und reduziert extrem hohe Ausgaben für die Wiederherstellung von Kundendaten.
4. Kundentreue und Unternehmensimage sichern
Werden sensible Daten durch einen Sicherheitsangriff gefährdet, verliert das betroffene Unternehmen sehr schnell das Vertrauen seiner Kunden und das Image des Unternehmens steht auf dem Spiel. Pentests können die Datensicherheit eines Unternehmens realistisch analysieren und aufdecken, ob ein potenzieller Angriff Erfolg haben wird. Damit wissen auch die Kunden, dass sie in guten Händen sind, und können darauf vertrauen, mit einem sicheren und vorausschauenden Partner zusammenarbeiten. Diesen Ruf sollte kein Unternehmen aufs Spiel setzen.
5. Gezielte Investitionen in effizienten Schutz in den richtigen Bereichen tätigen
Die Ergebnisse eines Penetrationstests werden der Geschäftsleitung in der Regel als Bericht vorgelegt. Damit können Sicherheitsexperten genau erkennen, in welchen Bereichen Lücken vorhanden sind, um in genau diesen Bereichen gezielt in den Schutz zu investieren. Gleichzeitig können erfahrene Penetrationstester Empfehlungen für die frühzeitige Behebung von Schwachstellen und die Einrichtung zuverlässiger Sicherheitssysteme aussprechen.
:quality(80)/images.vogel.de/vogelonline/bdb/1782800/1782826/original.jpg "(Ex-)Hacker Schraml gibt konkrete Tipps für KMU und den IT-Nachwuchs. (Vogel IT-Medien)")
Security-Insider Podcast – Folge 30
Ein Cheater mit besten Absichten
Ethisches Hacking stellt IT-Sicherheit auf die Probe
Würden Sie ein Auto kaufen, ohne eine Probefahrt durchzuführen? Oder laden Sie Gäste zu einem selbst zubereiteten 5-Gänge-Menü ein, ohne dies selbst vorher ausprobiert zu haben? Bei diesen und vielen anderen Beispielen des Alltages gehen Sie auf Nummer sicher, indem Sie konkrete Situation vorab nachstellen. So sollten Sie auch die wertvollen Systeme und Daten Ihres Unternehmens in umfassenden Pentests auf die Probe stellen, um sie schützen, bevor eine Katastrophe geschieht, die viel Geld kostet.
Über den Autor: Der studierte Wirtschaftsinformatiker und IT-Sicherheitsexperte Till Oberbeckmann entschloss sich dank seiner langjährigen IT-Branchenerfahrungen im Mai 2019 als Co-Founder und Managing Partner den IT-Sicherheitsberater und -dienstleister Turingpoint zu gründen. Seit Juni 2020 bietet er mit turingsecure außerdem einen modernen Ansatz zur Maximierung der Anwendungssicherheit mit automatisierten Sicherheitsanalysen.
(ID:47533240)
:quality(80)/images.vogel.de/vogelonline/bdb/1935600/1935688/original.jpg "Der Zero-Trust-Ansatz kann auch in ICS-Umgebungen helfen die Sicherheit drastisch zu verbessern. (wladimir1804 - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1940900/1940949/original.jpg "Die Sicherheit in einer Windows-basierten Infrastruktur beginnt mit der Sicherung des Active Directory. (Weissblick - stock.adobe.com)")