Penetrationstests: So erhöhen sie die IT-Sicherheit

Unternehmen, die erst jetzt beginnen, sich mit der IT-Sicherheit auseinanderzusetzen, haben die Möglichkeit, sich durch Penetrationstests ein Lagebild zur firmeneigenen IT-Infrastruktur und deren Verwundbarkeit zu verschaffen. Eine solche Analyse hilft bei dem Ausbau einer sicheren IT-Infrastruktur.

Penetrationstests sammeln wertvolle Daten

Im nächsten Schritt kann ein kontrollierter Angriff auf die bestehende Infrastruktur stattfinden. Mithilfe solcher simulierter Cyberangriffe können Belastbarkeitstests durchgeführt werden. Dabei nehmen Cybersecurity-Experten die Rolle eines Angreifers ein und versuchen mit gezielten Attacken auf die IT-Infrastruktur, in die Systeme eines Unternehmens einzudringen. Bei diesen Penetrationstests sammeln Spezialisten alle angriffsrelevanten Informationen, analysieren das Zielobjekt aus externer Sicht und suchen nach Schwachstellen in Netzwerken, Geräten und Anwendungen. Schließlich versuchen die legalen Angreifer, sich einen Zugang zum Firmennetzwerk zu verschaffen und dokumentieren dabei alle gefundenen Sicherheitslücken und den potenziellen Schaden, den Angreifer verursachen können.

Umfrage offenbart Wissenslücken

„Haben Sie in Ihrem Unternehmen schon einmal einen IT-Sicherheitstest (Penetrationstest) durchführen lassen?“ lautet die Frage einer Erhebung des Marktforschungsinstituts Civey im Auftrag von TÜV Rheinland. Rund 39 Prozent der 1.000 Befragten antworten mit „Ja“, fast ebenso viele mit „Nein“, sieben Prozent konnten dazu keine Auskunft geben. „Das unserer Ansicht erschreckend sind aber die knapp 17 Prozent, die einen Penetrationstest überhaupt nicht kennen“, erklärt Dr. Benedikt Westermann, Experte für Cybersecurity-Testing bei TÜV Rheinland. Denn bei den Befragten handelt es sich um IT-Sicherheitsexperten in Unternehmen.

Die Umfrage zeigt, dass sich auch heute noch viele Firmen nicht bewusst sind, wie groß die Gefahr eines Hackerangriffs auf das eigene Netzwerk ist und welchen wirtschaftlichen Schaden dies nach sich ziehen kann. Dabei können Wochen oder sogar Monate vergehen, bis das Unternehmen bemerkt, dass es Opfer einer Cyberattacke geworden ist.

Was hinter Penetrationstests steckt

Ein Penetrationstest soll helfen, sich genau davor zu schützen. Nämlich dass man Opfer einer Cyberattacke geworden ist und es im schlimmsten Fall nicht mal weiß. Diverse Studien zeigen, dass es im Durchschnitt etwa 200 Tage dauert, bis ein Unternehmen bemerkt, dass es angegriffen worden ist. Solche unentdeckten Attacken geben den Angreifern ausreichend Zeit, Server zu kapern und Erpressersoftware aufzuspielen oder im Rahmen von Industriespionage Daten abzuschöpfen.

In Zeiten von Corona, in denen Mitarbeiter verstärkt von zu Hause arbeiten und auf das Firmennetzwerk zugreifen, ist das Bewusstsein um die Schwachstellen in der eigenen IT umso wichtiger. Oftmals fehlt bei der Remote-Arbeit eine abgesicherte IT-Umgebung. Hacker nutzen diesen Umstand aus, um Cyberangriffe durchzuführen. Um festzustellen, was für ein Schutzniveau die IT-Infrastruktur eines Unternehmens benötigt, auch im Hinblick auf die gewachsene Anzahl von Zugriffen aus dem Homeoffice, sollten nach Abschluss einer Testreihe die Ergebnisse mit den Verantwortlichen besprochen werden, um Schutzmaßnahmen zu ergreifen.

Mini-Computer für Tests aus der Ferne

Damit Unternehmen ihre IT-Sicherheit nicht aus den Augen verlieren, gibt es die Möglichkeit, eine sogenannte Hack-Box zu nutzen. Hierbei handelt es sich um einen speziell konfigurierten Computer. Ist die Hack-Box einmal installiert, wählen sich die Cybersecurity-Experten in das Firmennetzwerk ein und starten einen simulierten Hackerangriff. Die Ergebnisse werden nach Abschluss der Tests in Form eines Berichts digital übermittelt. „Regelmäßig werden sensible Daten gestohlen, verschlüsselt oder manipuliert. Oft werden auch ganze Systeme lahmgelegt. Für eine Analyse von IT-Infra­strukturen war es bisher nötig, dass ein Experte vor Ort ist. Mit dem kleinen Computer ist jetzt möglich, auf Reisen zu den Unternehmen zu verzichten“, so Dr. Westermann. Die Box wird an Unternehmen geschickt und dort mit wenigen Schritten an das Netzwerk angeschlossen. „Wir können somit eine präzise Sicherheitsanalyse aus der Ferne durchführen und anschließend nächste Schritte veranlassen, um Lücken zu schließen.“

Nicht auf Cybersecurity verzichten

Ob mit Hack-Box oder persönlicher Betreuung: Entscheidend ist, auf vertrauenswürdige und erfahrene Testing-Experten zurückzugreifen. Ein Testing-Team sollte dabei immer unterschiedliche Spezialisierungen innehaben und die gesamte IT des Unternehmens im Blick haben: von Applikationen über Infrastrukturen bis hin zu eingebetteten Systemen. Ein günstiges Angebot ist nicht immer zielführend, da hier oft nur stichprobenartig und oberflächlich getestet wird.

„So ist der Kunde hinterher nicht wirklich schlauer, wenn ein Unternehmen anbietet, mit nur einer Handvoll Mitarbeiter sämtliche IT-Bereiche abzudecken. Dies ist nach meiner Erfahrung nicht möglich und als Angebot zumindest fragwürdig“, rät Dr. Westermann. Grundsätzlich gilt: Kein Unternehmen ist zu klein oder zu unbedeutend für einen potenziellen Angriff. Dabei muss man insbesondere die Gefahr im Auge behalten, die von einem Angreifer ausgeht, der möglicherweise bereits länger Zugriff auf das interne Netzwerk hat.

Fragen und Antworten: Penetrationstest und IT-Sicherheitsanalyse

Sie möchten mehr zum Thema Penetrationstest und Sicherheitsanalyse erfahren? Hier finden Sie die wichtigsten Antworten.

Was ist ein Penetrationstest und eine Sicherheitsanalyse?

Bei einem Penetrationstest und einer IT-Sicherheitsanalyse wird eine realistische Cyberattacke auf die IT-Infrastruktur von Unternehmen aus der Sicht eines Hackers durchgeführt. Dadurch spüren Experten vorhandene oder mögliche Sicherheitslücken in der IT auf.

Welche Vorteile bieten ein Penetrationstest und ein IT-Sicherheitskonzept?

Unternehmen erhalten einen Überblick über die Sicherheitslücken und Schwachstellen in ihrem Netzwerk, ihren IT-Systemen, Anwendungen und mobilen Geräten. IT-Sicherheitsexperten können Wege aufzeigen, um sich dauerhaft vor Netzwerkangriffen zu schützen. So können Wirtschaftsspionage und schädliche Fremdzugriffe verhindert werden. So können die Vertraulichkeit und Unversehrtheit von Daten gewährleistet werden. Außerdem kann ein Unternehmen das eigene Haftungsrisiko verringern.

Wie sollte man bei der Erstellung eines IT-Sicherheitskonzepts vorgehen?

Ein Testing-Team sammelt alle für den Angriff relevanten Informationen und betrachtet das jeweilige Unternehmen aus der Sicht eines Angreifers. Nach der Identifikation von Sicherheitslücken versucht das Team, diese Sicherheitslücken auszunutzen. Dabei wird jeder Schritt dokumentiert. Gefundene Schwachstellen werden besprochen, sodass man geeignete Gegenmaßnahmen erarbeiten kann.

Welche Bereiche umfassen die Bestandteile einer Sicherheitsanalyse?

Eine Sicherheitsanalyse umfasst Infrastrukturen, Anwendungen im Internet, mobile Anwendungen, W-LAN, zentrale Komponenten, Web-Applikationen, Rich-/Fat-Clients und sonstige Anwendungen.

Benötigen auch kleinere Unternehmen Schutz vor Netzwerkangriffen?

Ja. Kein Unternehmen ist zu klein oder zu unbedeutend für einen Angriff. Erfahrene Testing-Teams kennen sowohl große als auch kleine Betriebe aus unterschiedlichen Branchen.

Würde man einen Netzwerkangriff nicht bemerken?

Nicht unbedingt. Viele Unterhemen sind bereits Opfer von kriminellen Hackern geworden, ohne dass sie es bemerkt haben.

Reicht eine einmalige Sicherheitsanalyse aus?

Eine Sicherheitsüberprüfung der eigenen IT-Infrastruktur ist immer eine Momentaufnahme. Sowohl die getestete und gehärtete Infrastruktur also auch die Angriffe entwickeln sich weiter. Die Ergebnisse des Penetration-Tests verlieren mit der Zeit an Wert. Experten empfehlen daher, solche Tests spätestens nach zwei Jahren zu wiederholen.

Der Autor Norman Hübner ist Cybersecurity-Experte bei TÜV Rheinland.

Lesen Sie auch: IT-Sicherheit: IoT in der Produktion? Aber bitte sicher!