:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/30/3030b66cc91bdc748d53ddfa98603890/0114242796.jpeg "Der sichere Betrieb von SAP-Systemen erfordert die individuelle Absicherung des Systems und auch den sicheren Betrieb der gesamten SAP-Landschaft. (Bild: yingyaipumi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/9b/4b9b0e03c93f35253e7bdc638d8c1985/0114368367.jpeg ""Sichere Digitalisierung im Maschinenbau", ein Interview von Oliver Schonschek, Insider Research, mit Christoph Schambach von secunet Security Networks AG. (Bild: Vogel IT-Medien / secunet Security Networks AG / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/12/c212e1f2d8d9ec50fa8c1c40f8aecb22/0114324694.jpeg "Oft totgesagt und trotzdem quicklebendig: Passwörter sind trotz Alternativen noch immer allgegenwärtig und ein willkommenes Ziel für Cyberkriminelle. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/f1/6b/f16b94ff7c9056c68539d3beb864080f/0114259975.jpeg "CISOs verstehen menschenzentrierte Sicherheit in erster Linie als das, was man dazu auf dem Markt einkaufen kann: nämlich Awareness- und Phishing-Simulationen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Automatisierung ist die Zukunft Automatisiertes Pentesting?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Cyberkriminelle entwickeln stetig neue Methoden um IT-Netzwerke zu hacken und Daten abzugreifen. Damit Schritt zu halten, ist für IT-Admins nicht einfach. Automatisierte Security Validation ist eine Lösung, die genau das kann.
Im Bereich Cyberkriminalität hat sich in den letzten Jahren einiges verändert. Äußere Faktoren wie z. B. die pandemiebedingte Ankurbelung der Digitalisierung oder der Ukraine-Krieg haben viel dazu beigetragen. Die stetig steigende Anzahl der Cyberangriffe auf Unternehmen, Organisationen sowie auf Betriebe der Kritischen Infrastruktur (KRITIS) ist besorgniserregend. Gleiches gilt für den daraus entstandenen Schaden, der immens hoch ist. Laut einer Bitkom-Studie stieg branchenübergreifend die Zahl freier Stellen für IT-Fachkräfte im Jahr 2021 auf 96.000. Dieser Fachkräftemangel setzt IT-Abteilungen von Unternehmen somit zusätzlich stark unter Druck. Viele Sicherheitsteams haben es nämlich tagtäglich mit langen Listen priorisierter Schwachstellen zu tun, mit denen sie von Vulnerability-Management-Tools überflutet werden. Fehlende Kapazitäten können zur Überarbeitung führen, was wiederum vermehrte Fehler im IT-Betrieb zur Folge haben kann. Wie in vielen Bereichen, in denen Fachkräfte mit einem enormen Arbeitsaufwand konfrontiert sind, bietet Automatisierung durch Effizienz und Zeitersparnis die nötige Abhilfe. Im Bereich der IT-Security sind diese Faktoren in Automatisierte Security Validation (ASV), auch automatisierte Pentesting-Lösungen genannt, vereint.
Automatisiertes Pentesting: So funktioniert’s
Für die Durchführung eines automatisierten Pentests wird im Prinzip nicht viel benötigt. Zum Einsatz kommt ein performantes Endgerät oder ein Server, auf dem die Software installiert werden kann. Außerdem ist eine NVIDIA Grafikkarte mit hoher Leistung notwendig, um Passwort-Hashes in Echtzeit cracken zu können. Im nächsten Schritt muss für den Scan mit Bedacht ein guter Scope ausgesucht werden. Es muss also bekannt sein, welche IP-Kreise welche Systeme umfassen. Das ist wichtig, um einen erfolgreichen Test ohne Betriebsunterbrechungen zu ermöglichen. Außerdem muss im Vorfeld definiert werden, welche Systeme getestet werden sollen und wie weit dabei vorgegangen werden darf. Sobald diese Einstellungen definiert sind, kann der Test losgehen. Dabei setzt die Software die gleichen Methoden und Taktiken ein, die Hacker auch anwenden würden – und das in Echtzeit.
Nicht nur simulieren: Reales Hacken
Wichtig ist, dass eine Security Validation Software nicht nur simuliert, sondern das IT-Netzwerk tatsächlich infiltriert und Exploits angewendet werden. Das sollte komplett On-Premise und ohne Internet-Verbindung geschehen. Nur wenn das System wirklich angegriffen wird, kann vollumfänglich ermittelt werden, welche Einfallstore den meisten Schaden anrichten können. Wer lediglich eine Schwachstelle erkennt, ohne weiter vorzudringen, kann das gesamte Ausmaß nicht ermessen. Mittels der sicheren Echtzeit-Angriffe kann exakt nachvollzogen werden, wie sich Cyberkriminelle Zugang zum Netzwerk verschaffen könnten, das getestet wird. Die Einteilung der gefundenen Schwachstellen erfolgt in Prioritäten. Vorschläge inklusive der Lösungsvorschläge wie beispielsweise Group Policy Object-Konfiguration (GPO) werden mitgeliefert. Auf diese Weise wird ein guter Überblick geliefert, der in einem nachfolgenden Reporting ersichtlich wird. Durch den Report können im Anschluss an den Test alle durchgeführten Angriffsoperationen nachvollzogen werden.
Vorteile der Automatisierung
Ein nicht zu unterschätzendes Argument für eine automatisierte Pentesting-Lösung ist die Tatsache, dass Cyberkriminelle ebenfalls automatisieren. Wer dementsprechend lediglich einmal im Jahr einen manuellen Pentest machen lässt, gerät damit in eine riskante Ausgangslage. Automatisierte Pentests können dagegen wöchentlich durchgeführt werden, ohne den laufenden Betrieb des Unternehmens zu beeinträchtigen. Wenn die Tests regelmäßig laufen gelassen werden, kann sichergestellt werden, dass das Netzwerk den neuesten komplexen Angriffen standhalten kann. Das ist besonders wichtig, denn: Die Übernahme eines IT-Netzwerkes kann schon innerhalb von 10 Minuten vollzogen werden. Ein weiterer Vorteil von automatisierten Lösungen ist die leichte Bedienung, für die keine besonderen Skills von Nöten sind. Im Vergleich dazu wird bei einem manuellen Pentest z. B. eine hochqualifizierte IT-Fachkraft benötigt, welche selten zu finden und dementsprechend kostenintensiv sind.
Eine wichtige Komponente für 360-Grad-IT-Security
Ein 360-Grad-Ansatz bedeutet, dass die Infrastruktur der IT-Security ganzheitlich gedacht werden muss. Demnach sind für ein sicheres Netzwerk verschiedene Komponenten und Ansätze eine Notwendigkeit. Das bedeutet unter anderem, dass Pentesting allein nicht ausreicht. Erst wenn ein solides Patchmanagement sowie ein langfristiges Schwachstellenmanagement im Einsatz sind, ist es sinnvoll, automatisiertes Pentesting als dritte Komponente hinzuzufügen. Denn erst wenn Unternehmen ihre Schwachstellen im Netzwerk unter Kontrolle haben, können die komplexeren Schwachstellen beim Pentest ausfindig gemacht werden. Patch- und Schwachstellenmanagement sind fundamentale Bestandteile einer soliden IT-Security-Strategie. Da beim Patchmanagement jedoch lediglich diejenigen Sicherheitslücken gepatcht werden können, die schon bekannt sind, bleiben dementsprechend Lücken in der Security offen. Beim Schwachstellenmanagement wiederum liefern die Scans häufig eine so große Anzahl an Sicherheitslücken, dass sich IT-Administratoren nicht auf die wirklich kritischen fokussieren können. Das kann durch die automatisierte Pentesting-Lösung übernommen werden, die ca. 30 von vielleicht mehreren Tausend Schwachstellen identifiziert, über die sich eine Ransomware im Netzwerk ausbreiten und Daten verschlüsseln kann. Erst wenn die drei Komponenten in einer umfassenden IT-Security-Strategie zusammenkommen, können sie sich aufgrund ihrer verschiedenen Ansätze ergänzen und für einen soliden Schutz sorgen. Letztendlich kann man sich jedoch nie zu 100 Prozent absichern.
Im Hinblick auf die sich verschärfende Lage im Bereich Cybersecurity und den Fachkräftemangel in der IT-Branche ist die Schlussfolgerung zulässig, dass die Zukunft in automatisierten Lösungen steckt. Dieser Umstand wird besonders beim Thema Pentesting deutlich. Diese Komponente ist vor allem aufgrund der Tatsache von großer Bedeutung, dass sich die Methoden krimineller Hacker zur Infiltrierung von Unternehmensnetzwerken und Verschlüsselung von Daten stetig weiterentwickeln. IT-Sicherheitsteams müssen deshalb im Ernstfall schnell und agil handeln können. Im Bestfall wurden die möglichen Einfallstore im Netzwerk schon bereinigt.
Über den Autor: Sebastian Brabetz ist in der Geschäftsleitung bei der mod IT Services GmbH für die Professional Security Solutions verantwortlich. Er ist als „Offensive Security Certified Professional“ sowie als „Tenable Certified Security Engineer“ zertifiziert und hat darüber hinaus zwei Bücher zum Thema „Penetration Testing“ veröffentlicht.
(ID:48796769)
:quality(80)/p7i.vogel.de/wcms/cc/35/cc35d451329be8f392d7a7b05f90de61/0106128114.jpeg "Automatisiertes Pentesting ermöglicht es Unternehmen, Sicherheitsüberprüfungen kostengünstig als regelmäßigen Prozess in die Cybersecurity-Strategie zu integrieren. (Bild: Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a8/af/a8af4f33d9dab26c87edf64ebf5eb624/0107549825.jpeg "Unabhängige Pentest-Partner imitieren böswillige Hacker und suchen unvoreingenommen nach Schwachstellen. (Bild: Urupong - stock.adobe.com)")