Die Bedrohungslage für Unternehmen hat sich in den letzten Jahren rasant verändert. Um dieser Bedrohung entgegenzuwirken wurde viel in die Sicherung der externen Perimeter investiert. Gleichzeitig haben Angreifer ihre Techniken angepasst um auf neue Sicherheitsmaßnahmen zu regieren.
Dabei sind sich die wenigsten Organisationen sicher, ob ihre ergriffenen Maßnahmen einen gezielten Angriff erfolgreich abhalten. Eines der wichtigsten Werkzeuge um die Sicherheit der Systeme sicherzustellen ist der Pentest. Während eines Pentests (Abkürzung für Penetrationstest/Penetration Test), bedient sich ein Team aus Informationssicherheitsspezialisten Angriffstechniken und -werkzeugen die so auch in „realen“ Angriffen gegen Computersysteme und Organisationen eingesetzt werden. Dies reicht vom Knacken von Passwörtern, dem Ausnutzen von Schwachstellen im System bis hin zu Social-Engineering-Angriffen.
Sie sind sich nicht sicher ob Pentests für ihre Organisation von Bedeutung sind? Hier sind fünf Gründe warum Sie in Pentests investieren sollten.
Fünf Gründe für einen Pentest
1. Ein Pentest zeigt Schwachstellen bevor sie für reale Angriffe ausgenutzt werden
Der bedeutendste Punkt der für einen Pentest spricht ist, dass Ihre Systeme und implementierten Sicherheitsmaßnahmen den gleichen Belastungen ausgesetzt werden wie bei einem realen Angriff. Während des Pentests werden Angriffe gegen ihre Organisation unter kontrollierten Bedingungen von Experten simuliert. So werden im Vorfeld eines Angriffs bereits Schwachstellen erkannt die daraufhin beseitigt werden können.
Wichtige Informationen auf die ein Pentester Zugriff hat werden nicht, wie bei einem echten Angriff, gestohlen. Es wird Ihnen lediglich der Weg aufgezeigt wie der Pentester an diese Informationen gelangen konnte und Empfehlungen gegeben, wie Sie diese Sicherheitslücken schließen. Jede Organisation kann aus einem Angriff auf ihre Infrastruktur lernen, besser ist es dieser Angriff wird kontrolliert simuliert.
2. Ein Pentest macht deutlich in welche Teilbereiche der Informationssicherheit investiert werden sollte
Durch das enorme Maß an Professionalisierung, sowohl auf Angreifer- als auch Verteidigerseite, reicht es heute nicht länger aus, einfach eine Firewall und Antivirensoftware zu installieren. Guter Schadcode wird nicht länger von herkömmlicher Antivirensoftware erkannt und Angriffswege verändern sich kontinuierlich. Um hier entgegenzuwirken bieten Hersteller von Sicherheitssoftware neue Werkzeuge an, um Angriffe zu erkennen und einzudämmen. Der Markt für Informationssicherheitslösungen ist regelrecht explodiert. Entscheider stehen vor der Herausforderung für ihr Unternehmen die richtige Lösung zu finden.
Wissen Sie genau welche Investitionen Sie tätigen müssen um Ihre Systeme zu sichern? Ist ein ausgewachsenes Security Information and Event Management (SIEM) Tool die richtige Lösung für Ihr Unternehmen? Mit Hilfe eines Pentest werden Ihnen die Schwachstellen im System aufgezeigt und Sie können Ihre Ressourcen gezielt einsetzen um in diesen Bereichen nachzubessern.
So kann beispielsweise während eines Tests festgestellt werden, dass die Maßnahmen zum Schutz Ihres Netzwerks und Ihrer Server vollkommen ausreichend sind und funktionieren. Allerdings wurde festgestellt, dass Ihre Mitarbeiter anfällig für Phishing E-Mails sind.
Wenn Sie sich darüber bewusst sind können Sie weitere Investitionen in die Systemsicherheit hintenanstellen und sich vermehrt auf Schulungsmaßnahmen für Ihre Mitarbeiter konzentrieren.
3. Ein Pentest gibt eine Bewertung der eingesetzten Schutzmaßnahmen
Wir treffen während unserer Arbeit auf die unterschiedlichsten Systemlandschaften. Jedes System ist anders aufgebaut und wird auch auf verschiedene Arten verwaltet. Entweder werden die eigenen Systeme von der hausinternen IT betreut, es wird komplett auf externe Dienstleister zurückgegriffen oder es werden nur Teilbereiche an Externe vergeben.
Je nach Systemlandschaft möchte entweder die hausinterne IT einen zweiten Blick auf die eingeführten Maßnahmen und ob diese auch ausreichenden Schutz bieten, die Geschäftsführung möchte eine zweite Meinung zum Zustand der Systeme und ihren Schutzmaßnahmen oder beide möchten die Implementierung von externeren Dienstleistern überprüfen lassen.
Wie auch immer sich die Situation gestaltet von Bedeutung für unsere Kunden ist immer die Meinung eines unabhängigen Experten.
4. Ein Pentest spart Kosten
Wie soll ein Pentest kostensparen, wenn Sie diesen bezahlen müssen? Wie bereits zuvor beschrieben Hilft der Pentest die richtigen Maßnahmen zu bestimmen und Lücken aufzuzeigen die vorher nicht auf dem Schirm waren. So müssen Sie ihr Informationsicherheitsbudget nicht zwangsläufig auf alle Bereiche ausweiten, sondern können gezielt planen und priorisieren.
5. Ein Pentest dient als Nachweis für Audits
Sie erhalten nach der Durchführung eines Pentests immer einen Bericht mit den gefundenen Schwachstellen, den durchgeführten Tests und entsprechenden Maßnahmen zur Behebung von Schwachstellen. Dieser Bericht dient gleichzeitig als Nachweis, dass Sie ihre technischen und organisatorischen Maßnahmen zum Schutz wichtiger und personenbezogener Daten wahrnehmen.
Dies ist insbesondere von Bedeutung, wenn Sie eine Versicherung zum Schutz vor Angriffen aus dem Internet abschließen wollen, wenn es um die Zertifizierung entsprechender Informationssicherheitsstandard geht oder Sie Ihre technischen Maßnahmen zur DSGVO-Konformität nachweisen müssen. Zusätzlich verlangen, je nach Branche, Geschäftspartner den Nachweis das Produkte und Informationen innerhalb der Lieferkette geschützt sind.