:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Simulation von Hacker-Angriffen Pentests ja, aber bitte richtig!
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Penetrationstests sind wichtig, aber tun sie das auch, was sie tun sollen? Ohne eine gründliche Planung und professionelle Realisierung führen minderwertige Pentests zu unentdeckten Schwachstellen und setzen Unternehmen unnötigen Angriffsmöglichkeiten aus.
Eine der effektivsten Methoden, um Schwachstellen in einem Sicherheitskonzept aufzudecken, ist die Durchführung von geplanten Hacker-Angriffen auf das System durch Dritte. Bei Penetrationstests, auch Pentests genannt, geht es also darum, Lücken in der IT-Security aufzudecken, damit sie geschlossen werden können, bevor jemand mit böswilligen Absichten daraus Nutzen ziehen kann. Es gibt verschiedene Arten von Pentests, die auf unterschiedliche Aspekte eines Unternehmens abzielen.
Von der Netzwerk-Infrastruktur über Anwendungen und Geräte bis hin zu den Mitarbeitern gibt es viele potenzielle Angriffsmöglichkeiten für einen Hacker, der es auf ein Unternehmen abgesehen hat. Der Vorteil eines erfahrenen unabhängigen Pentest-Partners liegt darin, dass er unvoreingenommen an das Problem herangeht und versucht, einen böswilligen Hacker nachzuahmen, indem er nach Schwachstellen sucht und verschiedene Techniken und Tools ausprobiert, um in ein Netzwerk einzudringen.
In der Folge sind häufige Fehler und hilfreiche Tipps aufgeführt, die den Anwender dabei unterstützen können, Bedrohungen zu vermeiden:
Unzureichendes Risk-Management
Eines der ersten Dinge, die der Anwender tun kann, um die Sicherheitslage zu verbessern, ist, die möglichen Risiken zu bewerten. Dadurch weiß das Unternehmen, wo die größten Risiken schlummern. Diese Informationen müssen als Grundlage für die Ziele der Pentests dienen. Das heißt, eine solche Priorisierung von Risiken hilft dem Anwender dabei, die Sicherheitsanstrengungen auf die Bereiche zu konzentrieren, in denen sie den größten Nutzen bringen können.
Tipp: Die Pentests sollten stets an das schlimmstmögliche Szenario für das Unternehmen ausgerichtet werden. Es ist sicher einfach, kleinere potenzielle Probleme aufzudecken, aber eine große Ablenkung bedeuten, wenn es um die Bedrohungen geht, die essenziell gefährlich sind.
Falsche Tools im Einsatz
Es gibt eine Vielzahl von Pentest-Tools, aber es erfordert erhebliches Fachwissen, um zu wissen, welche Tools wo eingesetzt und wie sie richtig konfiguriert werden müssen. Wer glaubt, er könnte Pentest-Tools von der Stange kaufen und sie von der internen IT-Abteilung ausführen lassen, wird womöglich ein böses Erwachen erleben. Ohne erfahrene Experten im Haus, ist gut beraten, einen Dritten mit echtem Fachwissen zu engagieren. Das BSI stellt dafür zum Beispiel eine Liste zertifizierter IT-Sicherheitsdienstleister in den Geltungsbereichen IS-Revision und IS-Penetrationstests zur Verfügung.
Pentester können zwar teuer sein, aber sie werden wahrscheinlich nur für einen kurzen Zeitraum benötigt, so dass sich Automatisierungstools lohnen. Eine automatisierte Pentesting-Plattform kann eine gute Möglichkeit sein, Schutzmaßnahmen zu validieren und einen gewissen kontinuierlichen Schutz zu erhalten. Diese sollten jedoch sorgfältig ausgewählt werden. Pentest-Partner bieten dazu Beratungen an.
Unklare Evaluierungen
Die externen Pentester müssen im Anschluss verständliche Berichte erstellen, damit die entdeckten Schwachstellen und ihre potenziellen Auswirkungen auf das Unternehmen richtig eingeordnet werden können. Dafür sind leicht verdauliche Informationen notwendig, die gut erklären, worum es sich bei dem einen oder anderen Sicherheitsproblem handelt, welche Folgen es haben kann, wenn es nicht behoben wird, und wie genau die Behebung erfolgen soll.
Ohne klare Ziele kann der Bericht auch nicht zielführend dem Unternehmen eine klare Richtung weisen, da es dann schwierig sein könnte, die wirklich kritischen Angriffsvektoren zu erkennen, die strategische Werte bedrohen. Daher sind Drittanbieter oder automatisierte Tools zu vernachlässigen, die einfach nur Tausende von Schwachstellen aufzeigen, ohne eine Richtung vorzugeben. Gute Berichte filtern das Rauschen und die Fehlalarme heraus und heben hervor, was für das Unternehmen wichtig ist.
Vorsicht vor Checklisten!
Wenn Drittanbieter beim Pentesting fast ausschließlich nur mit Checklisten hantieren, dann läuft der Anwender Gefahr, etwas zu übersehen. Die Einhaltung von Vorschriften ist zwar wichtig und richtig, aber nicht der einzige Grund, warum Pentests durchgeführt werden sollen. Wenn der Fokus auf dem Abhaken von Punkten liegt, erhält der Anwender das falsche Gefühl von Sicherheit. Nicht zuletzt, weil Cyberkriminelle nicht nach Checklisten arbeiten.
Unterbrechung des Geschäftsbetriebs
Pentests müssen richtig geplant werden, um die möglichen Auswirkungen auf wichtige Geschäftssysteme berücksichtigt zu können. Erfolgreiche Hacker nutzen oft Schwachstellen aus, ohne den Betrieb zu unterbrechen, und das sollten auch die beauftragten Pentester tun. Für Drittanbieter muss also vorab klar sein, dass die Tests in einer Produktionsumgebung stattfinden. In einem Blackbox-Szenario, in dem der Pentester keinen Überblick über die Infrastruktur hat, ist das Risiko einer Unterbrechung natürlich ungleich größer.
Veraltete Technik vermeiden
Jeder Pentest-Plan, der sich nicht weiterentwickelt, ist im Grunde wertlos. Ständig werden neue Techniken, neue Tools und neue Schwachstellen entwickelt. Ein guter Pentesting-Partner hat die neuesten Hacking-Techniken in seiner Strategie integriert.
Unregelmäßige Pentests
Jährliche Pentests mögen zwar üblich sein, geben jedoch wenig Gewissheit. Das heißt, unregelmäßige Tests leisten nur eine Momentaufnahme des Schutzes zum Zeitpunkt der Durchführung des Tests. Besser ist es, die Verteidigungsmaßnahmen kontinuierlich zu überprüfen und erneut zu testen, um zu gewährleisten, dass die Schwachstellen ordnungsgemäß behoben wurden. Dies ist ein weiteres Argument für automatisierte und geeignete Pentest-Plattformen.
Versäumnisse des Managements
Es ist sicherzustellen, dass jemand für die Reaktion auf die Pentest-Ergebnisse und der automatisierten Tools verantwortlich ist. Diese Personalie muss den gefundenen Problemen Priorität einräumen und sie zeitnah beheben. Denn kostspielige Datendiebstähle sind oft das Ergebnis bekannter Schwachstellen, die Unternehmen nicht behoben haben. Tests, die sicherstellen, dass erkannte Schwachstellen ordnungsgemäß beseitigt wurden, sollten Teil der laufenden Pentests sein. Unzureichend geplante und durchgeführte Pentests bergen dagegen mitunter hohe Gefahren für Unternehmen.
(ID:48652203)
:quality(80)/p7i.vogel.de/wcms/37/48/3748c9e0693d76edea5c70f969410905/0113877146.jpeg "Die Open Source Pentest-Tools Legion, sqlmap, Zed Attack Proxy, OpenSCAP, Karkinos und Scapy helfen Admins bei der Schwachstellensuche. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/23/722374ad2a9aa910665a73fb88fd0168/0112503351.jpeg "Simulationen mit Red-Blue-Teams sind mehr als Penetrationstests! (Bild: Witthaya - stock.adobe.com)")