Augen-zu-Mentalität bei Schwachstellenscans und Penetrationstests
„Wenn ich nicht auf meinen Kontostand schaue, dann bin ich auch nicht im Minus.“ Diesen Satz haben Sie schon gehört, nicht? Man möchte der Tatsache nicht ins Auge blicken und mit Negativem konfrontiert werden. Darüber hinaus bedeutet es, dass man sich um das vermeintliche Problem nicht kümmern muss. Allerdings verlagert sich das Problem nur zeitlich nach hinten und wächst vermutlich noch. Die Bewältigung des Problems zu einem späten Zeitpunkt, obwohl man schon lange das Gefühl hat, dass etwas im Argen ist, scheint dann ohne externe und teure Hilfe fast unmöglich.
Genau dieses Szenario haben IT-Admins oft vor Augen: Dass Schwachstellenscans und Penetrationstest sinnvoll sind, wissen sie. Diese Tests identifizieren Sicherheitslücken, die geschlossen werden müssen. Und genau hier liegt das Problem: Wenn Schwachstellen als Einfallstore identifiziert werden, bedeutet das Schließen dieser einen erheblichen Zeit- und Ressourcenaufwand. Verantwortliche brauchen zudem das Know-how dafür.
Augen auf, Sicherheitslücken zu
Es ist essenziell, Schwachstellenscans und Pentests gemeinsam kontinuierlich einzusetzen. Anhand des Beispiels mit dem überzogenen Bankkonto scheint die Lösung ganz einfach: Waren und Dienstleistungen mit Kreditkarte einzukaufen, sicher aber nur einmal im Jahr im Onlinebanking anzumelden, um nach dem Finanzstatus zu schauen, scheint irrsinnig. Genauso irrsinnig klingt es für IT-Admins, wenn man Schwachstellenscans einmal im Monat durchführt. Es zeigt lediglich eine Momentaufnahme und kann in der nächsten Sekunde bereits veraltet sein. Um eine kontinuierliche Prüfung des Netzwerks durchzuführen, müssen intelligente Tools eingesetzt werden. Der menschliche Aufwand ist zu hoch und viel zu fehleranfällig. Unser Credo: Eine kontinuierliche Schwachstellenüberwachung, die intelligent als Software läuft, gepaart mit einem Penetrationstest, der in regelmäßigen Abständen durchgeführt wird.
Schwachstellenscan feat. Pentest
Ein Schwachstellenscan spürt regelmäßig und softwaregestützt Sicherheitslücken auf und stellt diese übersichtlich und priorisiert in einem Reporting bereit. Das Fixen der Lücken erfolgt anschließend manuell oder im Idealfall: automatisiert. Gerade weil sich Rahmenbedingungen und Angriffsvektoren ständig verändern, ist der Aspekt Regelmäßigkeit so entscheidet und so wertvoll. Regelmäßige Schwachstellenscan erhöhen das Sicherheitsniveau von Unternehmen maßgeblich. Doch auch sie erkennen nicht alle Lücken.
Ein weiteres Stück Sicherheit gelingt durch einer Penetrationstests. Er ist sozusagen ein Add-On, das gezielt tiefer prüft, ob ein Eindringen in bestimmte Systeme möglich ist. Pentester kombinieren hierbei verschiedene Tools und automatisierte sowie manuelle Methoden. In der Regel wird in Absprache mit den Auftraggebenden besprochen, welche Systeme geprüft werden sollen. Aufgrund des Umfangs ist ein Pentest aller vorhandenen Systeme in der Regel nicht umsetzbar, wobei hier die Möglichkeit besteht, rein toolgestützt vorzugehen.
Als unabhängige IT-Berater empfehlen wir für Ihnen gerne einen Pentest-Partner unseres Vertrauens. Bitte sprechen Sie uns an, wenn einen erfahrenen Pentester suchen.
Zeit ist Geld, Schaden aber erst recht. Suchen und schließen Sie Sicherheitslücken systematisch!
Security und Geld stehen sich konträr gegenüber. Sicherheitssoftware kostet zwar Geld, allerdings kosten erfolgreiche Angriffe und die dadurch entstandenen Schäden einen höheren Betrag. Diese gehen häufig auch über einen monetären Schaden hinaus.
Eine kontinuierliche Übersicht über den Status Quo der aktuellen IT-Sicherheitslücken ist der erste Schritt in Richtung Transparenz innerhalb des Unternehmens und ist somit Basis-Bestandteil eines ganzheitlichen Security-Konzepts. Firewall und Antivirus reichen als Schutzmaßnahmen schon lange nicht mehr aus. Unternehmen dürfen sich auch nicht nur auf ihre Cyberversicherung verlassen, die im Schadensfall den finanziellen Schaden übernimmt. Mittlerweile verlangen Versicherungen einen Basisschutz, um überhaupt eine Policy abzuschließen.
Ergo: Augen verschließen hilft nicht. Augen offen halten ist angesagt. Die IT-Wlet ist komplex geworden und die Angriffslage dramatisch. Bleiben Sie wachsam.
Ihr
Johannes Ulbrich
Head of Cyber Security & Services
T: +49 931 250993-10
M:
Connect auf LinkedIn
Connect auf Xing