7 Gründe, warum IT-Sicherheit von Unternehmen oft nur durch Pentests gewährleistet ist

Anzeige

Büromitarbeiterin sitzt am PC
Es gibt viele Gründe für Unternehmen und Organisationen, sich in Fragen der IT-Sicherheit kompetent beraten zu lassen. Bild: Unsplash, ThisisEngineering RAEng

Unternehmen arbeiten jeden Tag mit sensiblen Daten, die sie für ihre Geschäftsprozesse oder Produktionsabläufe benötigen. Diese unternehmenseigenen Daten müssen vor unberechtigtem Zugriff geschützt werden. Aber auch das IT-System selbst benötigt einen möglichst effizienten Schutz, um beispielsweise Terroristen davon abzuhalten, Sabotage zu betreiben. Dieser Beitrag stellt 7 Gründe vor, warum Pentests oft die einzige Möglichkeit darstellen, die IT-Sicherheit von Unternehmen zu gewährleisten.

1. Geistiges Eigentum und sensible Daten müssen geschützt werden

Anzeige

Unternehmen leben von ihrem geistigen Eigentum, denn es bildet die Basis ihres Erfolges. Ein Beispiel ist etwa das Originalrezept von Coca-Cola. Geriete es in falsche Hände, wäre der Wettbewerbsvorteil für das Unternehmen verloren. Ebenso sind sensible Daten, z. B. Personal- oder Kundendaten, eine der wichtigsten Ressourcen eines Unternehmens. Mit einem Pentest, der auf Basis von Hackerwissen durchgeführt wird und in der Lage ist, IT-Sicherheitslücken aufzudecken und die Verwundbarkeit eines IT-Systems zu prüfen, erhält ein Unternehmen entscheidende Informationen, wo und wie Sicherheitsmaßnahmen aussehen müssen, um die entdeckten Schwachstellen zu schließen.

Dr. Ewan Fleischmann, Gründer der auf IT-Sicherheitsüberprüfungen spezialisierten Redlings GmbH, sagt zu den Zielen von Pentests: „Das wichtigste Ziel eines Penetrationstests sollte nicht sein zu zeigen, dass ein Unternehmen gehackt werden kann, sondern die Sichtweisen und Techniken eines realen, fortgeschrittenen Angreifers so einzubringen, dass zielgerichtete und kosteneffiziente Gegenmaßnahmen in einem Unternehmen umgesetzt werden können.“

2. Schaden für das Image eines Unternehmens ist zu vermeiden

Wann immer es Hackern gelingt, in das IT-System eines Unternehmens einzudringen, Daten zu stehlen oder Geschäftsprozesse zu stören, dauert es in der Regel nicht lange, bis davon in den Medien berichtet wird und das Unternehmen gezwungen ist, zu erklären, wie es dazu kommen konnte. Die Folgen sind meist ein Vertrauensverlust sowie ein Imageschaden.

Mit einem Pentest, bei dem entweder das gesamte IT-System oder auch nur einzelne Bereiche wie Web Application oder Cloud getestet werden, hat das beauftragende Unternehmen die Gewissheit, dass sein System oder die vereinbarten Bereiche durch einen externen Fachexperten auf Schwachstellen überprüft wird. Durch die Testergebnisse und den daraus resultierenden Maßnahmen lässt sich langfristig das Risiko für erneute Hackerattacken verringern und entstandene Imageschäden für die Zukunft vermeiden.

Mitarbeiter arbeiten am PC
Bild: Unsplash, Sigmund

3. Bedrohungslage des Unternehmens muss bekannt sein

Die Geschäftsprozesse von Unternehmen und auch ihre IT-Systeme werden zunehmend komplexer und die verwendeten Technologien immer umfangreicher, wodurch sie sich immer schwerer effizient schützen lassen. Durch die regelmäßige Durchführung von Pentests ist das beauftragende Unternehmen laufend auf dem neuesten Stand, wo es sicherheitstechnisch befindet und in welchen Bereichen eventuell zusätzliche Schutzmaßnahmen angebracht sind.

Unternehmen wie die Redlings GmbH können durch das Wissen ihrer Sicherheitsexperten hinsichtlich der Vorgehensweisen von professionellen Hackern gezielt nach Schwachstellen suchen und Empfehlungen geben, wie sich diese am besten schließen lassen. Pentests versetzen ein Unternehmen in die Lage, Sicherheitslücken noch vor den Hackern zu finden und sie als potenzielles Einfallstor sozusagen „unbrauchbar“ zu machen. Die Tests haben den Vorteil, dass sie im Gegensatz zu genannten Schwachstellen-Scannern nicht nur signaturbasiert arbeiten und deshalb nicht nur bereits bekannte Lücken finden, sondern auch noch unbekannte.

Das Wissen hinsichtlich der neuesten Hackermethoden, über das die IT-Sicherheitsexperten, die einen Pentest durchführen, verfügen, erweist sich als überaus wertvoll. Immerhin entfällt die Frage, wie denn eine zukünftige Attacke aussehen könnte und welche Systembereiche betroffen wären, weil jedes Szenario schon durchgespielt wurde. Auf diese Weise ist man den Cyberkriminellen immer einen Schritt voraus.

4. Erfüllung gesetzlicher Vorgaben ist notwendig

Die Gesetzgebung, sowohl die nationale als auch die europäische, haben beispielsweise in der DSGVO klare Vorgaben gemacht, dass Unternehmen sensible Daten schützen sollen. Dazu dient etwa die Entwicklung eines Informationssicherheitsmanagementsystems sowie die Meldung von Hackerattacken an die jeweils zuständige Aufsichtsbehörde.

Leider lassen sich immer noch zu wenige erfolgreiche Attacken mit herkömmlichen Mitteln verifizieren. Um den vom Gesetzgeber eingeforderten Schutz zu gewährleisten, ist es unumgänglich, die unternehmenseigene IT-Infrastruktur mithilfe von Pentests zu überprüfen und Sicherheitslücken schnellstmöglich zu beseitigen.

5. Pentests sind Zeichen für gutes Qualitätsmanagement

Erstklassiges Qualitätsmanagement zeichnet sich dadurch aus, dass es sich nicht nur auf Produkte bzw. Dienstleistungen beschränkt, sondern auch die Produktionsabläufe und Geschäftsprozesse des Unternehmens mit einschließt. Immer mehr Unternehmen gehen dazu über, interne QM-Abteilungen zu installieren, mit denen sie das gesamte Unternehmen auf seine Qualität hin überwachen.

In diesem Rahmen dient der Pentest als Validierung des vorhandenen Sicherheitskonzepts und dazu, beispielsweise die gesamte Informationstechnik in regelmäßigen Zeitabständen auf mögliche Schwachstellen zu testen. Hier kann dann ein vom IT-Sicherheitsüberprüfungsunternehmen eingesetztes, sogenanntes Red Team zum Einsatz kommen. Dieses testet einzelne Bereiche oder das gesamte Netzwerk des Unternehmens und verwendet dafür aktuelles Hackerwissen. Die Besonderheit besteht hier darin, dass der Test sozusagen „live“ durchgeführt wird, was Aufschluss darüber gibt, wie effizient die IT-Abteilung des Unternehmens die gestartete Attacke abwehrt. Diese Test lassen sich angekündigt oder (was wesentlich mehr Dynamik hat) unangekündigt durchführen.

6. Erfüllen von Standards durch Zertifizierung bringt Vorteile

In Branchen, die mit hochsensiblen Daten bzw. in systemrelevanten Bereichen arbeiten, verlangen Gesetzgeber und auch Geschäftspartner die Erfüllung bestimmter Standards oder sogar eine Zertifizierung. So wird beispielsweise von Unternehmen, bei denen Kreditkartenzahlungen möglich sind, erwartet, dass sie den sogenannten PCI-Datensicherheitsstandard erfüllen oder eine Zertifizierung nach ISO 27001 vorweisen können.

Damit ein Unternehmen diese Standards erfüllt oder eine Zertifizierung erhält, ist es oft notwendig, durch ein externes Unternehmen wie die Redlings GmbH Penetrationstests durchführen zu lassen. Mithilfe der Pentests lässt sich ein erforderliches Sicherheitsniveau nachweisen, aufgrund dessen das Unternehmen einen Wettbewerbsvorteil hat.

7. Kosteneffizienz ist für Unternehmen wesentlich

Um sich gegen mögliche Schäden aufgrund von Hackerattacken abzusichern, schließen immer mehr Unternehmen sogenannte Cyber-Risk-Versicherungen ab. Die Prämien für solche Versicherungen werden auf Basis der vorhandenen Schutz- und Kontrollmaßnahmen sowie der Qualität der IT-Sicherheitssysteme berechnet. Einige Versicherungen in diesem Bereich versichern Unternehmen nur dann, wenn bestimmte Mindeststandards vorhanden sind.

Unternehmen, die ihre IT-Infrastrukturen durch Pentests überprüfen lassen und die Ergebnisse dazu nutzen, ihre Schutzsysteme zu optimieren, die werden von den Cyber-Risk-Versicherungen deutlich niedrigere Versicherungsprämien angeboten bekommen, als suboptimal geschützte Unternehmen.

Über Marvin 740 Artikel
Marvin hat seine Ausbildung zum IT-Systemkaufmann 2011 bei der Deutschen Telekom AG abgeschlossen und bloggt seit 2014 regelmäßig rund um die Themen Ausbildung, Karriere, Wirtschaft und IT auf itsystemkaufmann.de. Außerdem hat er sich seit vielen Jahren dem Online-Marketing verschrieben und ist als selbstständiger Online-Marketing-Berater unter www.web-malocher.de tätig.

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.