Erhöhte Cyber-Sicherheit durch Penetrationstests

PrintMailRate-it

Die Gefahren lauern im Netz. Die regelmäßige Überprüfung der faktischen IT-Sicherheit gehört heute mindestens genauso zum Pflichtprogramm eines Unternehmers wie die Beherrschung aller anderen „bekannten” Risiken. Um die IT-Sicherheit gezielt zu erhöhen, muss man technische Lücken (er-)kennen. Bei Penetrations­tests werden mögliche Sicherheits­lücken technischer und menschlicher Natur aufgedeckt und Maßnahmen zur Verbesserung der IT-Sicherheit abgeleitet.


 

 

Wo machen Penetrationstests Sinn?

Es gibt eine Vielzahl von Bereichen, in denen Penetrations­tests hilfreich sind. Für einen sinnvollen und effektiven Einstieg sind folgende Fokusbereiche empfehlenswert:
  • Alle Zugangspunkte ins öffentliche Netz (Zentrale, Niederlassungen);
  • WLAN-Zugangspunkte des Unternehmens an allen Standorten:
  • Web-Auftritte, Webshops und Austauschplattformen;
  • Interne Netzinfrastruktur (Switches, Router, Firewalls etc.);
  • Server und Serverdienste (File-, Datenbank-, Exchangeserver etc.).


 

Nach diesen grundlegenden Tests lässt sich der Fokusbereich auf Absicherung z.B. der Mobile Devices, Wirksamkeit von Spam- und Virenschutz, Wirksamkeit von Intrusion Detection/-pre­vention­systemen, Wirksamkeit von Endpoint-Protectionsystemen sowie z.B. der Absicherung von Steuerungsanlagen der Produktion etc. ausdehnen.

 

Wie funktioniert ein solcher Test?

Meist ist ein Penetrations­test eine Mischung aus White- und Black-Box-Tests. Bei einem White-Box-Test stehen dem Tester alle benötigten Informationen seitens Ihrer IT zur Verfügung. Bei einem Black-Box-Test geht der Tester wie ein realer Angreifer vor, ohne Informationen über Systeme, Personen und Räumlichkeiten zu besitzen.


 

Generell kann ein White-Box-Test als effektiver angesehen werden, da bei dieser Variante ein geringerer Informationsbeschaffungsaufwand betrieben werden muss. Ein Black-Box-Test hingegen gibt ein realistischeres Bild über das Vorgehen von Angreifern. Um die Vorteile aus beiden Varianten zu nutzen, wird häufig eine Mischung aus beiden Testvarianten gebildet und eingesetzt (sog. „Gray-Box”).

 

Eine sinnvolle Erweiterung

Nachdem sich viele Unternehmen in den Bereichen von Dritten (Internet-Provider, Systemhäuser zum Management der speziellen Sicherheits­technik etc.) unterstützen lassen, sollten auch die einzel­ver­traglichen Regelungen mit den Dritten verifiziert werden. Oftmals ergeben sich erhebliche Lücken in der Fragestellung, ob die Aufgaben und Verantwortlichkeiten zwischen der IT der Mandanten und dem Dienstleister klar geregelt sind. Zudem lassen sich in den Verträgen kaum Regelungen für den Notfall finden. Die Einbindung eines „IT-Sicherheits­reportings” in das interne Kontrollsystem des Unternehmens ist meist eher eine Seltenheit.

 

Interdisziplinarität von Vorteil

Auch bei Penetrationstests arbeiten wir interdisziplinär. Die Durchführung ist bei Rödl & Partner in der Wirtschaftsprüfung angesiedelt, da sie durch die Prüfung der Jahresabschlüsse immer auch die IT und die aus ihr entstehenden Risiken prüfen müssen, die zunehmend aus der Vernetzung der Unternehmen kommen. Die technische Realisierung findet in Zusammenarbeit mit der SRC Security Research & Consulting GmbH statt.

 

Interdisziplinär aber auch deshalb, weil wir viele IT-technische Sachverhalte mit unserer eigenen IT-Consulting klären. Und zu guter Letzt binden wir regelmäßig unsere IT-Rechtler mit ein, um den einen oder anderen Spezialfall zu diskutieren.


 

zuletzt aktualisiert am 11.01.2017

Kontakt

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

Contact Person Picture

Falk Hofmann

ISO/IEC27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu