:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/f9/2ff9f5fe75125e324259e4c4cb0470b7/0115708231.jpeg "Cyberangriffe sind nicht immer technischer Natur. Wir geben eine Übersicht der gängigsten nicht-technischen Angriffe sowie passende Schutzmaßnahmen für Unternehmen. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/f5/03f599e672c719f18dc14be45afbd440/0115706811.jpeg "Digitale Identitäten mit höheren Berechtigungen stehen im Mittelpunkt aktueller Angriffswellen durch Hacker. (Bild: robsonphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/28/8728890c1d5094d564bd8a91bb11a1a0/0115706486.jpeg "Eine besonders effektive Methode zur Erzeugung von DNS-Query-Flood-DDoS-Angriffen sind DNS-Water-Torture-Angriffe. (Bild: kmiragaya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/2a/412a1b77c5fcca8d70bdfb5066d48488/0114968713.jpeg "CNP+ nutzt die Stärke von Wi-Fi-6-/7-Access-Points zur Durchführung von Sicherheitsprüfungen, die traditionell von Security-Gateways übernommen werden. (Bild: Zyxel)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Managed Services unterstützen Unternehmen bei der IT-Security Mit Security Testing die IT-Sicherheit verbessern
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
:fill(fff,0)/p7i.vogel.de/companies/63/f7/63f7704ca91c1/3a-logo-mailing-250x100.png "3a-logo-mailing-250x100 (Eye Security)"){kind=logo}
IT-Security gehört zum Pflichtprogramm eines jeden Unternehmens. Schließlich können Cyberangriffe ganze Unternehmen lahmlegen und zu hohen Schäden führen. Um Schwachstellen zu beheben und Cyberangriffe zu verhindern, sollten Unternehmen ihre IT- sowie die physische Security stets im Blick behalten. Dafür eignen sich verschiedene Security-Testing-Verfahren.
Immer wieder kommt es vor: Hacker verschaffen sich unberechtigten Zugang zu IT-Systemen von Unternehmen, installieren eine Schadsoftware, und schon ist es geschehen: Innerhalb kurzer Zeit haben sie wichtige Daten gestohlen, IT-Systeme verschlüsselt oder spionieren das Unternehmen aus. Können Angreifer sich sogar Zugang zum Firmengebäude verschaffen, stehen ihnen weitere Türen offen – für Hardware-Diebstahl oder Datenklau direkt vor Ort. Der Schaden ist in allen Fällen hoch, sowohl in personeller Hinsicht – da persönliche Daten von Unbefugten verarbeitet wurden – als auch in finanzieller Hinsicht, wenn in neue Geräte investiert werden muss.
Vermehrte Cyberattacken haben in den letzten Jahren dazu beigetragen, dass die IT-Security in Unternehmen zunehmende Aufmerksamkeit bekommt. Um zu testen, wie sicher das IT-System eines Unternehmens ist, werden verschiedene Testing-Methoden durchgeführt: Automated Testing, Penetration Testing, Red Teaming und Purple Teaming.
:quality(80)/images.vogel.de/vogelonline/bdb/1733700/1733780/original.jpg "Automatisiertes Security-Testing lässt sich auf verschiedene Weise realisieren und verspricht bessere Ergebnisse, als beispielsweise manuelles Pen Testing. (alan9187)")
Die Vorteile automatisierter Software-Tests
Security-Testing-Methoden im Vergleich
Automated Testing als Grundvoraussetzung
Zuerst sollte ein Unternehmen automatisiertes Testing durchführen. Hierbei katalogisieren automatische Scans die Internetverbindungen sowie die internen Assets eines Unternehmens und identifizieren mögliche Schwachstellen. Diese Scans können zu jeder Zeit durchgeführt werden, ohne dass die Arbeit dafür unterbrochen werden muss.
Automated Testing ist eine Voraussetzung für Penetrationstests und andere, fortschrittliche Verfahren. Mit diesen Tests lassen sich Sicherheitsstandards etablieren und ein Maßstab für die weitere Entwicklung festlegen. Je nach Ressourcen, Auslastung und Know-how kann ein Unternehmen diese Tests selbst durchführen oder ein externes Team von Experten beauftragen, um die Tests remote oder vor Ort in Zusammenarbeit mit der IT-Abteilung umzusetzen.
Pen Testing – den Ernstfall simulieren
Auch das Penetration Testing beinhaltet ein gewisses Maß an automatisierten Verfahren. Doch den richtigen Mehrwert bringt diese Vorgehensweise erst, wenn Sicherheitsexperten diese Automatisierung mit fortschrittlichen Tools, manuellen Taktiken und mit ihrem eigenen Fachwissen kombinieren, um herauszufinden, welche Wege ein Angreifer wählen kann, um seine Zielumgebung zu kompromittieren.
Während einfachere, automatisierte Tests meist potenzielle Schwachstellen identifizieren, zeigen Pen Tests, wie diese Schwachstellen zu Kompromittierungen führen können. Dazu kommen verschiedene Techniken zum Einsatz, wie elektronisches Social Engineering, Passwort-Brute-Forcing, systemspezifische Sicherheitslücken, detaillierte Anwendungsanalysen auf Netzwerkebene sowie Angriffe auf veraltete Protokolle.
Da durch dieses Verfahren auch in der Vergangenheit bereits viele Angriffe hätten verhindert werden können, sollten Unternehmen regelmäßig Penetrationstests durchführen, um frühzeitig mögliche Schwachstellen zu entdecken und Gegenmaßnahmen umsetzen zu können.
:quality(80)/images.vogel.de/vogelonline/bdb/1757100/1757163/original.jpg "Die Red Teams decken Lücken mit Charme, gefälschten Keycards und technischer Expertise auf. (Vogel IT-Medien)")
Security-Insider Podcast – Folge 24
So funktioniert Red Teaming
Red Teaming: Ein gezielter Angriff prüft die Verteidigung
Zu den eher spektakulär anmutenden Testverfahren, wie sie beispielsweise oftmals im Fernsehen zu sehen sind, gehört das Red Teaming. Hierbei starten Security-Experten als Red Team einen gezielten Angriff, um eine IT-Infrastruktur zu kompromittieren. Im Gegensatz zu Pen Tests, die oftmals noch weitgehend automatisiert sind, nutzen die Experten beim Red Teaming die ganze Bandbreite von Tricks, die reale Angreifer anwenden. Dazu gehören:
- Open-Source-Intelligence (OSINT), bei der offen verfügbare Informationen über ein Unternehmen und dessen Mitarbeiter gesammelt werden; OSINT kann aus unerwarteten Quellen, wie LinkedIn, Facebook, Twitter oder anderen Social Media-Kanälen, stammen, da Mitarbeiter an solch scheinbar harmlosen Stellen manchmal mehr preisgeben, als ihnen bewusst ist;
- Phishing- und Business E-Mail Compromise (BEC)-Nachrichten, die auf bestimmte Empfänger zugeschnitten sind und dazu Informationen aus OSINT und anderen Quellen verwenden;
- Online und Offline Social Engineering, um eine fehlende Awareness der Mitarbeiter auszunutzen und die physische Infrastruktur des Unternehmens zu testen;
- Nutzung der Fehlkonfigurationen und bestehenden Sicherheitslücken, die vorhandene Security-Produkte nicht geschlossen haben, sowie Einsatz taktischer Techniken und Verfahren, die von realen Angreifern verwendet werden.
Bei diesen Testverfahren muss das Blue Team, bestehend aus Security-Mitarbeitern des Unternehmens, den Angriff des Red Team erkennen und stoppen. Blue Teams arbeiten in der Regel mit begrenzten Informationen – wie sie es auch bei einem echten Angriff tun würden. Sie wissen nicht, wann der Angriff stattfindet und auf welche Systeme er abzielt, oder auch manchmal nicht, dass es sich lediglich um eine Übung des Red Team handelt. Aus diesem Grund eignet sich diese Vorgehensweise nur für Unternehmen, die dazu in der Lage sind, selbst eine effektive Verteidigung aufzubauen. In anderen Fällen können Security-Experten mit Unternehmen zusammenarbeiten, um deren Stärken auszubauen und dadurch ein Red Teaming zu ermöglichen.
Purple Teaming: Konzentration auf spezifische Schwachstellen
Viele, die sich mit IT-Security beschäftigen, sind mit Red Teams vertraut; nur wenige kennen Purple Teams. Purple Teams kombinieren die Funktionen der Red und Blue Teams und greifen spezifische Systeme auf vorab festgelegte Weise an, sodass die Verantwortlichen in Unternehmen ihre Verteidigungsansätze verbessern können. Im Gegensatz zum Red Teaming wissen die Verantwortlichen beim Purple Teaming, wann der Angriff stattfindet und auf welche Systeme die Purple Teams abzielen werden.
Purple Teaming kann dann sinnvoll sein, wenn sich ein Unternehmen darauf konzentrieren will, den für sich besten Weg zur Behebung von Schwachstellen zu finden. Der Informationsaustausch vor und während des Purple Teaming vermittelt den Security-Verantwortlichen spezifische Fähigkeiten. Diese basieren auf der Kenntnis der Tools und Techniken, die Angreifer anwenden, sowie auf den möglichen Erwartungen der Cyberkriminellen.
Fazit
Vermehrte Cyberangriffe in den letzten Jahren zeigen, wie wichtig in Unternehmen die IT- und physische Security ist. Um diese zu gewährleisten, sollten regelmäßig auf die Anforderungen des Unternehmens abgestimmte Security Testings durchgeführt werden; eine komplexe Aufgabe, der viele Unternehmen aufgrund mangelnder Ressourcen meist nicht gewachsen sind. An diesem Punkt unterstützen Managed Security Services Provider (MSSP). Sie bieten verschiedene Testverfahren an und garantieren die Verfügbarkeit entsprechender Tools sowie Wissensdatenbanken. Auch der Mangel an erfahrenen IT-Sicherheitsexperten wird durch das gebündelte Know-how eines externen Managed Services-Anbieters kompensiert.
Über den Autor: Fred Tavas ist Country Manager DACH & CEE bei Trustwave.
(ID:47412312)
:quality(80)/p7i.vogel.de/wcms/e8/dd/e8dd9cd92a19a52f7c87ed0d08991525/0109794094.jpeg "Die proaktive Arbeit der ethischen Hacker trägt dazu bei, die Sicherheitslage eines Unternehmens zu optimieren. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/58/59583df567d1868aaa0fdf7f739d85bd/0114836679.jpeg "Ein neues Kali-Projekt „Purple“ für die Netzwerk-Verteidigung vereint Tools für Red-Teams und Blue-Teams. (Bild: Tierney - stock.adobe.com)")