:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Vom Security Assessment zum Penetrationstest Wann ein Pentest sinnvoll ist
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/47/644794f95e7d3/g-data-cyberdefense-logo-sq.jpeg "g-data-cyberdefense-logo-sq (G Data)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Um die Sicherheit des eigenen IT-Netzwerkes zu verbessern, holen sich immer mehr Unternehmen externe Unterstützung. Das Angebot an verschiedenen Dienstleistungen ist breit – doch wo sollten IT-Verantwortliche anfangen? Es kommt dabei vor allem darauf an, taktisch klug vorzugehen.
Es gibt verschiedene Ansätze, wenn es um die Auswahl eines Dienstleisters oder eine Dienstleistung geht. Von Security Assessment bis Penetrationstest ist alles verfügbar. Die meisten Dienstleistungen haben ihre Daseinsberechtigung, denn sie alle können einen wertvollen Beitrag zur IT-Sicherheit leisten. Vor einigen Stolperfallen sollten sich Unternehmen jedoch in Acht nehmen, wenn sie das Optimum aus einer Dienstleistung für sich herausholen wollen.
Begrifflichkeiten und Missverständnisse
Um ein passendes Angebot auszuwählen, muss zunächst feststehen, wie der Stand der IT-Sicherheit im Unternehmen ist. Es geht hier ganz grundsätzlich darum, ob es bereits Bemühungen in Richtung eines Sicherheitskonzeptes gegeben hat. Abhängig davon lässt sich zumindest schon einmal die Auswahl eingrenzen. Der Erkenntnisgewinn etwa aus einem Penetrationstest ist nicht besonders hoch, wenn eine Verteidigung praktisch nicht existent ist. Ebenso könnte man versuchen, die Stabilität eines Kartenhauses zu testen, indem man es anzündet. Man wird erfahren, was vorher schon klar ist: dass ein schlecht gesichertes Netzwerk mit trivialen Mitteln angreifbar ist. Dafür braucht es keinen besonders tiefen Griff in die virtuelle Werkzeugkiste. Sinnvoller ist es, die Verteidigungsfähigkeit und Resilienz des Netzwerkes zu testen.
In einigen Ausnahmefällen kann ein Penetrationstest jedoch durchaus der initiale Schritt sein. Gerade, wenn in der Vergangenheit Wünsche, Bedenken und Empfehlungen hinsichtlich der Sicherheit ungehört verhallt sind, wird ein Penetrationstest zum unsanften Weckruf für die Chefetage. Wenn ein externer Berater Sicherheitslücken aufdeckt, hat das oft eine andere Qualität und Strahlkraft als die Mahnungen von Mitarbeitenden.
Probates Mittel
Ein Penetrationstest sollte also nicht unbedingt an erster Stelle stehen, wenn es darum geht, ein neues Sicherheitskonzept von Grund auf neu aufzubauen. Doch auch für IT-Verantwortliche, die gerade erst am Anfang des Projektes stehen, gibt es Angebote, die durchaus gewinnbringend sind.
Ein guter Anfang ist ein Security Assessment – hier geht es um eine Bestandsaufnahme, die in erster Linie eine wert- und wertungsfreie Übersicht über bestehende Sicherheitsmaßnahmen gibt. Der Aspekt „wertungsfrei“ ist dabei wichtig – denn es geht ausdrücklich nicht darum, Verantwortliche an den Pranger zu stellen. Dabei gibt es zwei wesentliche Bereiche: den technischen Bereich und den prozessbasierten Teil. Fragebögen können hier ebenso zum Einsatz kommen wie automatisierte Tools. Am Ende steht eine Gegenüberstellung des aktuellen Ist-Zustandes und Empfehlungen für Maßnahmen zur Behebung eventueller Schwachstellen. Dabei finden sowohl bestehende technische Maßnahmen als auch Prozesse Beachtung: das Vorhandensein und die Aktualität von Notfallplänen, Off- und Onboarding-Prozessen spielt eine Rolle, ebenso wie technische Gegebenheiten wie etwa Datensicherungen, Redundanz bestimmter Systeme, Updates und Patches sowie die Erreichbarkeit einzelner Maschinen über das Internet.
Die „Low Hanging Fruits“ für Angreifer zu identifizieren - also Schwachstellen aufzudecken, die am leichtesten auszunutzen sind und die großen Schaden verursachen können - steht bei einem Security Assessment im Fokus. Sind die hier identifizierten Kernpunkte abgearbeitet, kann ein nächster Schritt ein Penetrationstest sein.
Nächste Schritte
Schon ein Security Assessment kann das Lastenheft einer Unternehmens-IT-Abteilung schnell füllen. Alleine das Entwerfen und Umsetzen von Prozessen kann je nach Unternehmensgröße und Ausgangsbasis mehrere Monate in Anspruch nehmen. Sind diese Aufgaben jedoch abgearbeitet, kann ein Penetrationstest ein sinnvoller nächster Schritt sein. Der Umfang ist variabel und lässt sich auch auf einzelne Teilbereiche der IT-Infrastruktur zuschneiden. So kann ein Unternehmen etwa speziell exponierte Systeme wie Webseiten testen und deren Härtung gegen Angriffe auf die Probe stellen lassen. Auch ein Test des internen Netzwerks ist möglich. Ziel ist es, diejenigen Lücken in der IT-Sicherheit zu finden, die nicht komplett trivial sind. Auch hier schließt der Test mit einem Katalog an Empfehlungen für die Optimierung der Verteidigungsmaßnahmen ab.
Ein prüfender Blick
Weder Security Assessments, noch das Konzept der Penetrationstests sind einheitlich geregelt. Insofern ist die Palette der Leistungen, die unter diesen Begriffen angeboten werden, recht breit. Daher ist es wichtig, sich im Vorfeld genau über den Umfang und Inhalt einer Dienstleistung zu informieren. Ein guter und qualifizierter Dienstleister bietet zwar ein breites Spektrum an und kann viele relevante Szenarien abbilden, aber dennoch einen Test maßschneidern. Hier trennt sich dann schnell die Spreu vom Weizen.
Von rein automatisierten Scans bis hin zu komplett manuellen Vorgehensweisen ist alles erhältlich. Das Leistungsspektrum zu kennen, ist gerade bei Penetrationstests wichtig, denn diese sollen Angriffsmethoden simulieren. Hat ein Dienstleistungsunternehmen seine Hausaufgaben gemacht, kommen auch nur die für das getestete Unternehmen relevanten Angriffsmodelle zum Einsatz.
Über den Autor: Tim Berghoff ist Security Evangelist bei G DATA CyberDefense.
(ID:49725950)
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/dd/e8dd9cd92a19a52f7c87ed0d08991525/0109794094.jpeg "Die proaktive Arbeit der ethischen Hacker trägt dazu bei, die Sicherheitslage eines Unternehmens zu optimieren. (Bild: Kittiphat - stock.adobe.com)")