Suchen

Penetration Testing und Sicherheitsberatung Schwachstellen beim Netzwerk-Zugriff aufdecken

| Autor / Redakteur: Peter Bilicki, MTI Technology / Stephan Augsten

IT-Abteilungen sollen geschäftliche Daten heutzutage etlichen Gerätetypen zugänglich machen und gleichzeitig Sicherheit garantieren. Doch wenn mobile Devices über das Internet auf ein Netzwerk zugreifen, steigt die Komplexität der notwendigen Sicherheitsmaßnahmen. Das Penetration Testing deckt Schwachstellen auf.

Firmen zum Thema

Mittels Penetration Testing lassen sich möhliche Schlupflöcher ins Netzwerk aufdecken.
Mittels Penetration Testing lassen sich möhliche Schlupflöcher ins Netzwerk aufdecken.

Nur 35 Prozent der Angriffe auf Firmennetzwerke werden durch die bewährten klassischen Mittel wie Antivirus oder Firewalls abgewehrt – Tendenz fallend! Der Grund dafür ist die Veränderung des Profils der Angreifer in den letzten drei Jahren.

Statt Hacker trifft man aktuell vermehrt auf professionell organisierte kriminelle Organisationen. Die Firmen werden gezielt mit individuell erstellten Tools angegriffen. Gegen diese spezifischen Angriffe bieten die klassischen Lösungen keinen Schutz mehr.

Als ob das nicht genug wäre, stehen CIOs vor einem weiteren Problem: In Security-Projekte werden oft weniger als 10 Prozent des IT-Budgets investiert. Wenn man das mit z.B. Backup-Projekten vergleicht, wird die Diskrepanz sichtbar.

Die Verteilung der IT-Budgets zeigt wie schwer es ist, Security-Projekte intern durchzusetzen – es gibt nur eine Ausnahme: Den Schadensfall. Erst im Nachhinein wird vielen Unternehmen klar, dass es dann schon zu spät ist.

Heutzutage ist es wichtig, Werkzeuge wie Security Consulting und Penetration Testing zu nutzen, um optimale Sicherheit zu gewährleisten. Speziell auf den letzteren Bereich werden wir uns im Folgenden konzentrieren.

Penetration Testing

Ein Firmennetzwerk lässt sich auf verschiedensten Wegen angreifen. Grob kann man zwischen externen und internen Angriffen unterscheiden. Die Angriffe können mit oder ohne Kenntnisse über die Firma und die Netzwerk-Topologie erfolgen. Ein Angreifer, der nur den Namen der Firma kennt und Industriespionage betreibt, wird anders vorgehen als ein Mitarbeiter der Firma, der z.B. eine Erpressung plant.

Um die Sicherheitsqualitäten eines Systems in verschiedenen Fällen zu prüfen wurden mehrere Penetrationstests entwickelt, die unterschiedliche Schwachstellen aufdecken und beheben. MTI setzt auf individuell geplante Tests. Hier wird die „Open Source Security Testing Methodology“ (OSSTM) verfolgt. Eine Voraussetzung dafür ist – neben der Nutzung der Tools – der Einsatz erfahrener Berater.

Im Gegensatz dazu berücksichtigen automatische Tests nicht die Eigenheiten des Kundennetzwerks und können so weder die Qualität noch die Sicherheit eines individuellen Tests garantieren. Die Testmanager sind mit den aktuellsten Datenschutzgesetzen vertraut und können die Programme auf verschiedenste Besonderheiten einstellen.

(ID:33395940)