Penetration Testing und Sicherheitsberatung

Schwachstellen beim Netzwerk-Zugriff aufdecken

Seite: 4/4

Firma zum Thema

Wirtschaftliche Aspekte für Penetrationstests

Die Gründe für ein Penetration Testing sind vielfältig. Die Entscheidung für das Testen unterliegt allgemeinen Regeln, die man sonst im Bereich Risikomanagement einsetzt. Letztlich muss zwischen den Kosten des Tests, der Wahrscheinlichkeit eines Angriffs und den Kosten eines Schadens abgewogen werden.

Im Falle eines Angriffs ist die Wahrscheinlichkeit, dass Inhouse-Spionage bei einem großen Konzern wie beispielsweise einer Bank betrieben wird, um ein vielfaches größer, als bei einem mittelständischen Handwerksbetrieb. Die typischen Gründe, das Sicherheitssystem einem Test zu unterziehen sind:

  • Einhaltung der Gesetze und Finanz-Bestimmungen
  • Bewahren der Vertraulichkeit der verwalteten Daten und der eigenen Reputation
  • Bestätigung der Einhaltung von „Security Best Practices“ für die vertretene Branche
  • Identifizierung der vermuteten Schwachstellen
  • Entdeckung von menschlichen Fehlern in der Konfiguration
  • Erfüllung der Sorgfaltspflicht oder schlicht, um „ruhig zu schlafen“
  • Firmenübernahmen, wenn zwei unterschiedliche Netzwerke zu einem verschmelzen

Die Gewichtung der Gründe jedoch ist branchenspezifisch. Sie würde für die private Wirtschaft, für Regierungsorganisationen und z.B. Kommunen unterschiedlich ausfallen. Auch die Kosten lassen sich nur schwer abschätzen. Der Grund besteht darin, dass der Kunde selbst vor dem ersten Test nicht so viele Details über das eigene Netz geben kann.

Um hier eine Möglichkeit der Kostenübersicht zu erhalten, hat MTI eine Methodik entwickelt, nach der man sich zunächst auf einen ersten Scan einigt. Auf dessen Basis kann dann eine Einschätzung der Kosten erfolgen, da erste Lücken und somit die Dauer der Bearbeitung beurteilt werden können. Die Abrechnung erfolgt auf Tagesbasis, sie wird genau im schriftlichen Angebot angegeben.

Was Penetration Testing konkret für das Geschäft der einzelnen Unternehmen beitragen kann, ist ebenso schwer zu bewerten wie der Kauf einer Versicherung. Aber nur ein starkes Sicherheitssystem kann vor Eingriffen in das eigene Firmennetzwerk schützen.

Peter Bilicki ist Technical Account Manager bei der MTI Technology GmbH. Für kommenden Montagmittag hat Security-Insider.de ein Interview mit Herrn Bilicki geplant.

(ID:33395940)