fbpx

Warum Unternehmen in einen Penetrationstest investieren sollten

Penetrationtest vs. Schwachstellenanalyse

Vor einigen Jahren selten notwendig, heute ist es fast zur Pflicht geworden. Seien es etablierte Unternehmen oder gerade euer frisch gegründetes Startup: Alles ist mit dem Internet verbunden. Termin, Bankdaten, sensible Kundendaten…

Sowohl für die Unternehmen als auch die Kunden wäre es ein Super-GAU, wenn diese Daten in falsche Hände geraten. In der Gründungsphase zwar noch nicht relevant, aber in den ersten Jahren, sobald das Unternehmen sich etabliert hat, ist solch ein Test definitiv sinnvoll.

Hier erfährst du, was genau ein Penetrationtest ist, warum dieser so wichtig ist und wie er sich von simplen Schwachstellenanalysen differenziert.

Der Ablauf beim Penetrationstest

Bei einem Penetrationstest (kurz: Pentest), wird ein Unternehmen einen Hackerangriff von außen simulieren, um Sicherheitslücken des Zielunternehmens aufzudecken. Dabei wird u. a. geprüft, ob die eigene Firewall ausreichend ist, ob in euren Computern veraltete Software am Laufen ist, die Sicherheitslücken aufweisen und z. B. ob Kundendaten unzureichend gesichert sind und somit durch CSS ausgelesen werden können.

Bevor dein Unternehmen letztendlich auf Sicherheitslücken getestet werden kann, bedarf es einer entsprechenden Vorbereitung.

Methodik, Ansprechpartner sowie unzulässige Objektive müssen im Vorhinein definiert werden. Nach der Durchführung des Tests wird vom Penetration Unternehmen eine Dokumentation, eine Art Handbuch, erstellt. 

In dieser Dokumentation sind nicht nur die Sicherheitslücken aufgeführt, sondern zu jeder risikobehafteten Schwachstelle werden Handlungsempfehlungen gegeben, wie die IT-Sicherheit zukünftig verbessert werden kann.

Die verschiedenen Ansätze

Hast du dich dazu entschieden dein Unternehmen einem Penetrationstest zu unterziehen, muss mit einem passenden Dienstleister, wie z. B. Prosec-Networks, festgelegt werden, welcher Ansatz verfolgt werden soll.

Die Ansätze sind bekannt aus dem Bereich der Programmierung. Dabei kann entscheiden werden, zwischen der Black Box, Grey Box und White Box Methode.

White Box

Beim White Box Verfahren wird dem Penetrationsunternehmen vollen Einblick in die Infrastruktur und sämtlichen Quellcode. Dabei wird der komplette Quellcode analysiert und auf Fehler untersucht. Entsprechend gibt es im Nachgang ein vollständiges Reporting.

Grey Box

Bei diesem Verfahren werden lediglich die relevantesten Informationen bereitgestellt über das Zielsystem, wie z. B. die Anmeldeinformationen. Diese Methode ist die geeignetste, da sie eine perfekte Mischung aus der White und Black Box Methode darstellt. Die nötigsten Informationen werden bereitgestellt, sodass sich das Unternehmen voll und ganz auf die Analyse der Sicherheitslücken konzentrieren kann.

Black Box

Bei der Black Box Methode versucht das Unternehmen einen realen Hackerangriff zu simulieren und erhält somit keinerlei Informationen über das Zielsystem. Entsprechend dauert diese Methode aber auch um einiges länger und ist aufwendiger umzusetzen.

Der Unterschied zur Schwachstellenanalyse

Bei einer Schwachstellenanalyse wird ein Unternehmen hinsichtlich seiner Prozesse und Abläufe auf Schwachstellen analysiert. Generell wird zuerst eine IST Analyse durchgeführt und diese mit dem aktuellen SOLL Zustand verglichen. Im Anschluss werden die Schwachstellen nach Risikoklassen klassifiziert. 

Bei der Schwachstellenanalyse werden die oberen Schichten auf Sicherheitslücken geprüft. Diese kann somit als Vorstufe zum Penetrationstest angesehen werden. Die Schwachstellenanalyse kann sämtliche spezifischeren Tests, wie den Pentest, den Sicherheitstest oder einen Vulnerability Test enthalten.

Solche Tests laufen meist automatisiert ab, wohingegen ein Penetrationstest von Hand aus ausgeführt werden muss. Die benötigten Informationen müssen manuell gesammelt, sowie analysiert werden, um im Anschluss die einzusetzenden Hacking Tools zu definieren.

Bei einem Vulnerability Test werden Systeme durch Programme geprüft, die automatisiert auf Schwachstellen überprüfen, die dir bereits selbst bekannt sind.

Rechtliche Aspekte beim Penetrationstest

Dass eine Einverständniserklärung vor der Durchführung vom jedem Unternehmer unterzeichnet werden sollte, ist eine Grundvoraussetzung. Andernfalls wäre die Durchführung einer solchen Dienstleistung nämlich illegal und stellt eine Straftat dar.

Weiterhin müssen sämtliche Objekte, die nicht unter dem Eigentum deines Unternehmens stehen, vom Test ausgeschlossen werden. Keinesfalls dürften Netzwerke, Systeme oder Daten Dritter vom Test betroffen sein.

Welche Komponenten getestet werden dürfen, muss im Vorhinein festgelegt werden.

Kommentar hinterlassen on "Warum Unternehmen in einen Penetrationstest investieren sollten"

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.