Acht Gründe für einen Penetrationstest

Es vergeht selten eine Woche, in der nicht von Angrif­fen auf sensible Sys­teme berichtet wird. Dabei ent­stehen finanzielle Schäden und das Ansehen und Vertrauen bei Kunden und Partnern bröckelt. Teil­weise machen sich Verant­wortliche wie GmbH-Geschäfts­führer auch haftbar, da sie ihre Systeme nicht ausreichend absichern. Im Schadens­fall drohen empfind­liche Buß­gelder.

Um sich also vor Angriffen aus­reichend zu schützen, müs­sen auf un­ter­­schied­­li­chen Ebe­nen ausreichende Ge­gen­­maß­­nah­men er­grif­fen wer­den. Gut ausge­bildete Mitar­beiter und Pro­zesse, die auch IT-Sicherheit mit berück­sichtigen, sind für einen wirkungs­vollen Schutz unab­dingbar. Vor allem ist aber die Sicherheits­prüfung durch einen Penetrations­test von einem unab­hängigen Dritten ein probates Mittel. Dabei wird mit den Werk­zeugen und Metho­den von bös­willigen Hackern die Ver­wundbar­keit von Sys­temen fest­gestellt, wonach entsprechende Schutz­maß­nahmen ergriffen werden können.

Warum braucht man einen Penetrationstest?

Der ehemalige FBI-Direktor Robert Mueller ist der Auffassung, dass "es zwei Arten von Unter­nehmen [gibt]: solche, die schon gehackt wurden, und solche, die es noch werden". Um sich vor Hacker-Angriffen wirksam zu schützen, können Pene­trations­tests ein klares Bild der Sicherheits­lage eines Sys­tems geben. Wir geben acht weitere Gründe, warum Orga­nisationen regel­mäßige Pen­tests brauchen.

1. Schutz von Daten und geistigem Eigentum

Ein Penetrationstest deckt Schwach­stellen auf und prüft, wie ver­wund­bar ein Sys­tem ist. Gemein­sam mit dem Kunden werden anschlie­ßend Absicherungs­maß­nahmen getrof­fen, die bei einem tat­sächli­chen Angriff von bös­willigen Hackern Daten schützen.

2. Schutz vor Ansehensverlust

Die Folge von erfolgreichen Angriffen auf Unter­nehmen sind häufig pein­liche Auf­tritte in der Presse, bei denen sich das Unter­nehmen für den Daten­klau recht­fertigen muss. Eine aus­reichende Ab­sicherung, die durch einen Pene­trations­test von einem unab­hängigen Dritten geprüft wurde, reduziert das Risiko für einen Angriff und schützt damit vor einem möglichen Reputations­verlust.

3. Gesetzliche Pflichten erfüllen

Sensible Daten erfordern besonderen Schutz. Im Rahmen der IT-Gover­nance gibt es zahl­reiche recht­liche Anfor­derungen aus BDSG, HGB, TMG und TKG, die die Ein­führung und das Betrei­ben eines Informations­sicherheits­management­systems erfor­dern. Wer einen soge­nannten 42a-Fall erleidet, ist nach dem BDSG dazu verpflichtet den Vorfall "unver­züglich der zuständi­gen Aufsichts­be­hörde sowie den Be­trof­fenen mit­zu­teilen". Wer gegen diese Infor­mations­pflichten ver­stößt, begeht eine Ordnungs­widrigkeit oder unter Um­ständen sogar eine Straf­tat. In der Reali­tät ist es jedoch nicht trivial fest­zu­stellen, ob ein erfolg­reicher An­griff statt­ge­funden hat. Nicht zuletzt ist es des­halb not­wendig aus­reichende Schutz­maß­nahmen zu ergrei­fen und Sys­teme durch Pentests prüfen zu lassen.

4. Aktuelle Bedrohungslage

Durch immer komplexer werdende IT-Systeme ist es eine Heraus­forderung ge­worden diese voll­um­fäng­lich zu kontrol­lieren und die Sicher­heit zu gewähr­leisten. Dies haben auch Krimi­nelle ent­deckt, die regel­mäßig nach Schwach­stellen in Syste­men suchen. Neben geziel­ten Angrif­fen auf ein konkre­tes Sys­tem sind auto­matisierte Tests durch sogenannte Bots an der Tages­ordnung. Diese durch­forsten das welt­weite Netz auf Schwach­stellen und nutzen Opfer für weitere krimi­nelle Handlungen aus. Lassen Sie deshalb durch einen Pentest Schwach­stellen finden und schließen, bevor Sie von Krimi­nellen gefunden werden.

5. Empfehlungen für Absicherungsmaßnahmen

Wer einen Penetrationstest durch­führen lässt, erhält einen detail­lierten Bericht, der sowohl dem Manage­ment eine Ein­schätzung der aktu­ellen Lage ermöglicht als auch IT-Fach­kräften Empfeh­lungen für kon­krete Absicherungs­maß­nahmen gibt.

6. Zertifizierungen und Compliance

Für gewisse Branchen und Prozesse ist es notwen­dig Standards zu erfül­len. Beispiels­weise müssen Unter­nehmen, die Kredit­karten­trans­aktionen durch­führen, den PCI-Daten­sicherheits­standard erfüllen. Zum Errei­chen der Com­pliance ist es erfor­derlich Sys­teme aus­reichend durch einen unab­hängi­gen Drit­ten prüfen zu lassen. Doch nicht nur offi­zielle Stellen ver­langen Pen­tests. Vor Vertrags­schluss lassen sich Unter­nehmen im B2B-Geschäft gerne versichern, dass der Partner über gut aufge­stellte IT-Systeme verfügt. Ein durch Pene­trations­test nach­gew­iesenes Sicher­heits­niveau ist hier ein klarer Wettbewerbs­vorteil.

7. Qualitätsmanagement

Viele Unternehmen bauen interne QM-Systeme auf, wodurch die Qualität der Dienst­leistungen und Pro­dukte gewähr­leistet werden soll. Neben Code Reviews bei Software­pro­dukten kann durch Penetration Testing die Zuver­lässig­keit der Informations­techno­logie über­prüft und ge­messen werden.

8. Günstigere Prämien für Cyber-Risk-Versicherungen

Wer für seine Systeme ausreichende Kontroll- und Schutz­maß­nahmen imple­men­tiert hat, redu­ziert das Risiko für einen erfolg­reichen Angriff durch Hacker. Das sehen auch Anbieter von Cyber-Risk-Ver­sicher­ungen so und berech­nen ent­sprechend ihre Ver­sicherungs­prämien. Manche Ver­sicherer bieten ihre Pro­dukte sogar nur an, wenn ein Mindest­maß an IT-Sicher­heit vor­handen ist.