IT-Sicherheitslücken finden, bevor es andere tun
Selbst vermeintlich sichere IT-Systeme wie im Bundeskanzleramt konnten Hacker mit vergleichsweise einfachen Mitteln ausspionieren. Der Grund: Effektiver Schutz setzt voraus, dass man sich in die Rolle der Angreifer hineinversetzen kann. Unternehmen und Organisationen beauftragen noch zu selten Spezialisten, um ihre Netze mit den Methoden der Angreifer auf Schwachstellen zu prüfen, so eine Einschätzung der Unternehmensberatung Steria Mummert Consulting.
Bei diesen so genannten Penetrationstests versuchen IT-Sicherheitsspezialisten kontrolliert von außen in Computersysteme und -netzwerke einzudringen, um Sicherheitslücken zu identifizieren. Hierbei werden die gleichen Techniken wie bei einem realen Angriff verwendet – zum Nutzen des betroffenen Unternehmens. „Sie stellen quasi das Äquivalent zu einem Simulator in der Industrie dar. Penetrationstests sind ein unverzichtbares Messinstrument für das tatsächliche IT-Sicherheitsniveau.“, so Wolfgang Nickel, Leiter des Competence Center IT-Security bei Steria Mummert Consulting.
Professionelle Sicherheitstests überprüfen sämtliche IT-Kommunikationsschnittstellen eines Unternehmens. Im Fokus stehen auch häufig vernachlässigte Schnittstellen wie Telekommunikationsleitungen und Funknetze. Auch das so genannte „Social Engineering“, das Ausnutzen „menschlicher Schwachstellen“, ist Teil der Penetrationstests. Das individuelle Expertenwissen und die Erfahrungswerte der IT-Spezialisten sind hierbei nach wie vor unverzichtbar und nicht durch automatisierte Tools zu ersetzen. Dieser Ansatz führt fast immer zur Aufdeckung von Sicherheitslücken, über die Angreifer auf Unternehmensnetze zugreifen können. Vor allem die große Angriffsfläche von Unternehmen ist ihre Schwachstelle. Häufig reicht eine Sicherheitslücke in einem System oder in einer Softwareanwendung, um erheblichen Schaden im gesamten Firmennetzwerk zu verursachen.
Mit Penetrationstests können Unternehmen zudem Lücken im konzernweiten IT-Sicherheitsmanagement erkennen. Der Abgleich, ob die Sicherheitsrichtlinien greifen, gestaltet sich häufig schwierig. Unternehmen müssen beispielsweise Angaben von Herstellern und Dienstleistern über Sicherheitsmerkmale zumeist blind vertrauen, das selbständige Prüfen einer IT-Sicherheitsrichtlinie lässt sich mit vertretbarem Aufwand kaum realisieren. Dieses Problem wird durch Penetrationstest sichtbar. Bei einer regelmäßigen Prüfung führt dies daher zwangsläufig zu einer Angleichung zwischen Anspruch und Wirklichkeit der IT-Sicherheit in Unternehmen. Im Rahmen des IT-Sicherheitsmanagements sind Penetrationstests daher ein unverzichtbares, regelmäßig einzusetzendes Instrument.
Kontakt:
Jörg Forthmann
Faktenkontor
Tel.: +49 (0) 40 22703-7787
E-Mail: joerg.forthmann@faktenkontor.de
Bei diesen so genannten Penetrationstests versuchen IT-Sicherheitsspezialisten kontrolliert von außen in Computersysteme und -netzwerke einzudringen, um Sicherheitslücken zu identifizieren. Hierbei werden die gleichen Techniken wie bei einem realen Angriff verwendet – zum Nutzen des betroffenen Unternehmens. „Sie stellen quasi das Äquivalent zu einem Simulator in der Industrie dar. Penetrationstests sind ein unverzichtbares Messinstrument für das tatsächliche IT-Sicherheitsniveau.“, so Wolfgang Nickel, Leiter des Competence Center IT-Security bei Steria Mummert Consulting.
Professionelle Sicherheitstests überprüfen sämtliche IT-Kommunikationsschnittstellen eines Unternehmens. Im Fokus stehen auch häufig vernachlässigte Schnittstellen wie Telekommunikationsleitungen und Funknetze. Auch das so genannte „Social Engineering“, das Ausnutzen „menschlicher Schwachstellen“, ist Teil der Penetrationstests. Das individuelle Expertenwissen und die Erfahrungswerte der IT-Spezialisten sind hierbei nach wie vor unverzichtbar und nicht durch automatisierte Tools zu ersetzen. Dieser Ansatz führt fast immer zur Aufdeckung von Sicherheitslücken, über die Angreifer auf Unternehmensnetze zugreifen können. Vor allem die große Angriffsfläche von Unternehmen ist ihre Schwachstelle. Häufig reicht eine Sicherheitslücke in einem System oder in einer Softwareanwendung, um erheblichen Schaden im gesamten Firmennetzwerk zu verursachen.
Mit Penetrationstests können Unternehmen zudem Lücken im konzernweiten IT-Sicherheitsmanagement erkennen. Der Abgleich, ob die Sicherheitsrichtlinien greifen, gestaltet sich häufig schwierig. Unternehmen müssen beispielsweise Angaben von Herstellern und Dienstleistern über Sicherheitsmerkmale zumeist blind vertrauen, das selbständige Prüfen einer IT-Sicherheitsrichtlinie lässt sich mit vertretbarem Aufwand kaum realisieren. Dieses Problem wird durch Penetrationstest sichtbar. Bei einer regelmäßigen Prüfung führt dies daher zwangsläufig zu einer Angleichung zwischen Anspruch und Wirklichkeit der IT-Sicherheit in Unternehmen. Im Rahmen des IT-Sicherheitsmanagements sind Penetrationstests daher ein unverzichtbares, regelmäßig einzusetzendes Instrument.
Kontakt:
Jörg Forthmann
Faktenkontor
Tel.: +49 (0) 40 22703-7787
E-Mail: joerg.forthmann@faktenkontor.de