Um die Sicherheit des eigenen IT-Netzwerkes zu verbessern, holen sich immer mehr Unternehmen externe Unterstützung. Das Angebot an verschiedenen Dienstleistungen ist breit – doch wo sollten IT-Verantwortliche anfangen? Es kommt dabei vor allem darauf an, taktisch klug vorzugehen.
Schwachstellen aufzudecken, die am leichtesten auszunutzen sind und die großen Schaden verursachen können, steht bei einem Security Assessment im Fokus.
(Bild: James Thew - stock.adobe.com)
Es gibt verschiedene Ansätze, wenn es um die Auswahl eines Dienstleisters oder eine Dienstleistung geht. Von Security Assessment bis Penetrationstest ist alles verfügbar. Die meisten Dienstleistungen haben ihre Daseinsberechtigung, denn sie alle können einen wertvollen Beitrag zur IT-Sicherheit leisten. Vor einigen Stolperfallen sollten sich Unternehmen jedoch in Acht nehmen, wenn sie das Optimum aus einer Dienstleistung für sich herausholen wollen.
Begrifflichkeiten und Missverständnisse
Um ein passendes Angebot auszuwählen, muss zunächst feststehen, wie der Stand der IT-Sicherheit im Unternehmen ist. Es geht hier ganz grundsätzlich darum, ob es bereits Bemühungen in Richtung eines Sicherheitskonzeptes gegeben hat. Abhängig davon lässt sich zumindest schon einmal die Auswahl eingrenzen. Der Erkenntnisgewinn etwa aus einem Penetrationstest ist nicht besonders hoch, wenn eine Verteidigung praktisch nicht existent ist. Ebenso könnte man versuchen, die Stabilität eines Kartenhauses zu testen, indem man es anzündet. Man wird erfahren, was vorher schon klar ist: dass ein schlecht gesichertes Netzwerk mit trivialen Mitteln angreifbar ist. Dafür braucht es keinen besonders tiefen Griff in die virtuelle Werkzeugkiste. Sinnvoller ist es, die Verteidigungsfähigkeit und Resilienz des Netzwerkes zu testen.
In einigen Ausnahmefällen kann ein Penetrationstest jedoch durchaus der initiale Schritt sein. Gerade, wenn in der Vergangenheit Wünsche, Bedenken und Empfehlungen hinsichtlich der Sicherheit ungehört verhallt sind, wird ein Penetrationstest zum unsanften Weckruf für die Chefetage. Wenn ein externer Berater Sicherheitslücken aufdeckt, hat das oft eine andere Qualität und Strahlkraft als die Mahnungen von Mitarbeitenden.
Probates Mittel
Ein Penetrationstest sollte also nicht unbedingt an erster Stelle stehen, wenn es darum geht, ein neues Sicherheitskonzept von Grund auf neu aufzubauen. Doch auch für IT-Verantwortliche, die gerade erst am Anfang des Projektes stehen, gibt es Angebote, die durchaus gewinnbringend sind.
Ein guter Anfang ist ein Security Assessment – hier geht es um eine Bestandsaufnahme, die in erster Linie eine wert- und wertungsfreie Übersicht über bestehende Sicherheitsmaßnahmen gibt. Der Aspekt „wertungsfrei“ ist dabei wichtig – denn es geht ausdrücklich nicht darum, Verantwortliche an den Pranger zu stellen. Dabei gibt es zwei wesentliche Bereiche: den technischen Bereich und den prozessbasierten Teil. Fragebögen können hier ebenso zum Einsatz kommen wie automatisierte Tools. Am Ende steht eine Gegenüberstellung des aktuellen Ist-Zustandes und Empfehlungen für Maßnahmen zur Behebung eventueller Schwachstellen. Dabei finden sowohl bestehende technische Maßnahmen als auch Prozesse Beachtung: das Vorhandensein und die Aktualität von Notfallplänen, Off- und Onboarding-Prozessen spielt eine Rolle, ebenso wie technische Gegebenheiten wie etwa Datensicherungen, Redundanz bestimmter Systeme, Updates und Patches sowie die Erreichbarkeit einzelner Maschinen über das Internet.
Die „Low Hanging Fruits“ für Angreifer zu identifizieren - also Schwachstellen aufzudecken, die am leichtesten auszunutzen sind und die großen Schaden verursachen können - steht bei einem Security Assessment im Fokus. Sind die hier identifizierten Kernpunkte abgearbeitet, kann ein nächster Schritt ein Penetrationstest sein.
Nächste Schritte
Schon ein Security Assessment kann das Lastenheft einer Unternehmens-IT-Abteilung schnell füllen. Alleine das Entwerfen und Umsetzen von Prozessen kann je nach Unternehmensgröße und Ausgangsbasis mehrere Monate in Anspruch nehmen. Sind diese Aufgaben jedoch abgearbeitet, kann ein Penetrationstest ein sinnvoller nächster Schritt sein. Der Umfang ist variabel und lässt sich auch auf einzelne Teilbereiche der IT-Infrastruktur zuschneiden. So kann ein Unternehmen etwa speziell exponierte Systeme wie Webseiten testen und deren Härtung gegen Angriffe auf die Probe stellen lassen. Auch ein Test des internen Netzwerks ist möglich. Ziel ist es, diejenigen Lücken in der IT-Sicherheit zu finden, die nicht komplett trivial sind. Auch hier schließt der Test mit einem Katalog an Empfehlungen für die Optimierung der Verteidigungsmaßnahmen ab.
Ein prüfender Blick
Weder Security Assessments, noch das Konzept der Penetrationstests sind einheitlich geregelt. Insofern ist die Palette der Leistungen, die unter diesen Begriffen angeboten werden, recht breit. Daher ist es wichtig, sich im Vorfeld genau über den Umfang und Inhalt einer Dienstleistung zu informieren. Ein guter und qualifizierter Dienstleister bietet zwar ein breites Spektrum an und kann viele relevante Szenarien abbilden, aber dennoch einen Test maßschneidern. Hier trennt sich dann schnell die Spreu vom Weizen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Von rein automatisierten Scans bis hin zu komplett manuellen Vorgehensweisen ist alles erhältlich. Das Leistungsspektrum zu kennen, ist gerade bei Penetrationstests wichtig, denn diese sollen Angriffsmethoden simulieren. Hat ein Dienstleistungsunternehmen seine Hausaufgaben gemacht, kommen auch nur die für das getestete Unternehmen relevanten Angriffsmodelle zum Einsatz.
Über den Autor: Tim Berghoff ist Security Evangelist bei G DATA CyberDefense.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/3f/dd/3fddd4805628b3317e11b06b82a318a6/0124884620v2.jpeg "Wer seine IT-Infrastruktur 24x7 aus eigener Kraft überwachen möchte, muss viel Geld in den Aufbau von Fachpersonal stecken. Ein MDR-Service kann eine kosteneffiziente Alternative sein. (Bild: © Pixel Matrix - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/1f/6f1f76285f80f8046e8469e426a17c24/0126287616v2.jpeg "Verschlüsseln Unternehmen ihre Daten selbst, behalten sie Hoheit über ihre Daten. Dann können auch Cloud-Anbieter oder staatliche Stellen die Daten nicht ohne weiteres lesen. (Bild: ITK Engineering)")