Cyber-Sicherheit ist seit Jahren in aller Munde. Kaum ein Lebensbereich ist heute noch so analog, dass digitaler Datenschutz nicht ein Thema ist. Vor allem für Unternehmen, die Kundendaten und andere sensible Inhalte verwalten, ist Cyber-Sicherheit eine tragende Säule des dauerhaften Bestehens. Doch wie finden Unternehmen eigentlich heraus, wo ihre Systeme Schwachstellen haben? Und sind die bestehenden Optionen hierfür wirklich zielführend?
Zeige mir Deine Schwachstellen
Bevor die Sicherheit eines informationstechnischen Systems verbessert werden kann, braucht es anfangs genaue Informationen darüber, wo Verbesserungsbedarf besteht. Hierfür wird der Pentest oder das sogenannte Penetration Testing herangezogen
Im Grunde passiert bei diesem Test genau das, was bei einem Cyberangriff auch passieren würde. Allerdings handelt es sich bei den Ausführenden um Experten eines IT-Unternehmens. Diese Angriffe, werden durch das bestehende Sicherheitssystem dann abgewehrt – oder eben nicht. Dort, wo Letzteres der Fall ist, kann dann nachgebessert werden.
Sind die Testenden also Hacker?
Jein. Die Profis hinter einem solchen Test haben zwar genau dasselbe ‚Handwerkszeug‘ wie Hacker, allerdings sind ihre Absichten deutlich anders. Eigentlich ist die Absicht der IT-Experten der der Hacker entgegengesetzt. Es geht um die Verbesserung der Sicherheit. Außerdem werden die Testenden von den Unternehmen aus freien Stücken gebeten, einen solchen Test auszuführen. Es handelt sich also um Sicherheitsexperten, die zu Rate gezogen werden, weil sie genau das können, was Hacker können.
Was kann alles getestet werden?
Dr. Ewan Fleischmann beschrieb den Umfang eines Pentests in einem Gastartikel des Wirtschaftsforums einmal folgendermaßen:
„Ein Pentest lässt sich relativ flexibel einsetzen, soll heißen, er kann das gesamte Netzwerk eines Unternehmens, einer Behörde oder einer Organisation auf mögliche Schwachstellen testen oder aber auf bestimmte Bereiche beschränkt werden, etwa auf den Bereich der genutzten Cloud, die Web-Application oder andere Teilbereiche.“
Der Geschäftsführer der Redlings GmbH ist ein Spezialist auf dem Gebiet. Mit seinem Unternehmen gehört er zu den führenden Experten für die Durchführung eines Penetration Tests.
Interne und externe Pentests
Bei einem internen Penetration Test wird eine im Netzwerk befindliche Quelle genutzt, um hier mögliche Schwachstellen zu identifizieren. Das erfolgt zum Beispiel mittels einer speziellen Software auf einem USB-Stick. Ein Computer im Unternehmen wird mit dem Speichermedium verbunden. Anschließend versuchen die Testenden, mit der Software die Schutzmechanismen zu umgehen. Gelingt dies, besteht an dieser Stelle eine Sicherheitslücke.
Bei einem externen Penetration Test erfolgt der Angriff von einer Stelle außerhalb des geschlossenen Systems. Er ist ein guter Indikator für die Sicherheit vor Cyber-Angriffen wie DDoS-Attacken. Bei diesen versuchen die Angreifer mit übermäßig vielen Zugriffen das System zum Absturz zu bringen. DDoS bedeutet ‚Distributed Denial of Service‘ und steht für einen Dienst, der ausfällt, weil er durch Überlastung (zu viele Zugriffe von verschiedenen Quellen) zusammenbricht.
„Durch die nahezu ein Jahrzehnt umfassende Erfahrung auf dem Gebiet der IT-Sicherheitsüberprüfungen kennen die Tester bzw. Testteams jede Methode von Cyber-Kriminellen sowie jede Angriffsvariante, sei es die erwähnte DDoS-Attacke oder der Multi-Vektor-Angriff, bei dem zeitgleich viele verschiedene Schwachstellen ins Visier genommen und attackiert werden.“
Wann sollte getestet werden?
Die Notwendigkeit für Cyber-Sicherheit besteht immer. Im speziellen Fall eines Pentests empfiehlt es sich jedoch, eine bereits fortgeschrittene digitale Sicherheitsinfrastruktur aufgebaut zu haben. Anders gesagt: Pentests erkennen Lücken, die nicht mit bloßem Auge erkennbar sind und nicht in Gänze durch herkömmliche Sicherheitsmaßnahmen geschlossen wurden.
Für alle Unternehmen mit einer bereits bestehenden und gut funktionierenden IT-Infrastruktur empfiehlt der Mannheimer regelmäßige Kontrollen. Das ist notwendig, das sich die Welt der Technik stetig weiterentwickelt und auch die Experten mit immer fortschrittlicheren Methoden testen können. So lässt sich auch die IT-Sicherheit auf dem neuesten Stand halten.
Pentest – Und dann?
Nachdem die schützende Infrastruktur eines Unternehmens getestet wurde, kann gesagt werden, an welchen Stellen weiterer Sicherheitsbedarf besteht. Doch da hört es nicht auf. Nachdem Schwachstellen identifiziert worden sind, können die IT-Experten „durchspielen“ wie weit ein Hacker gehen könnte. Anhand des Ergebnisses dieser Überprüfung kann dann abschließend eingeschätzt werden, ob durch die undichte Stelle ein wirtschaftlicher Schaden entsteht und wie hoch dieser ausfallen könnte.
„Der IT-Testexperte kann durch die Nutzung der Schwachstelle feststellen, wie weit ein Angreifer im Ernstfall in die IT-Infrastruktur eines Unternehmens vordringen und welche Daten oder interne Systeme dadurch für ihn zugänglich wären.“
Fazit
Es ist also mit enormen Fachwissen verbunden, die Schwachstellen in der digitalen Infrastruktur eines Unternehmens zu finden. Mit dem Pentest ist es möglich, nicht nur zu sehen, wo interne Sicherheitslücken geschlossen werden können, sondern auch, ob die Cyber-Sicherheit zur Abwehr von Angriffen wie DDoS-Attacken ausreicht. Getestet wird dies von kundigen Profis, die über dasselbe Wissen verfügen wie die Angreifer selbst.