Penetrationstests bei IT-Systemen
Auf Nummer sicher gegen digitale Ausspähung
Ob von kriminellen Hackern attackiert oder von ausländischen Spähprogrammen ausspioniert – immer wieder alarmieren digitale Angriffe auf Unternehmensnetzwerke die Öffentlichkeit. Selbst sensibelste Kunden-, Geschäfts- und Forschungsdaten werden entwendet. In einer hochgradig vernetzten Welt geraten nicht mehr nur Großkonzerne und Innovationsführer, sondern zunehmend auch kleinere Unternehmen in das Visier von Cyberkriminellen und Geheimdiensten.
Gründe, dass Unternehmen Ziel von Hacker-Attacken werden, sind oft unzureichend geprüften Software-Updates, mangelhafte Passwortsicherheit und vernachlässigte oder gar unbekannte Sicherheitslücken. Bei Spionage, Viren und Trojanern wird digitale Selbstverteidigung immer wichtiger. Penetrationstests sind dabei ein sinnvolles Hilfsmittel.
Die Bedrohung durch Cyberkriminalität ist für Unternehmen, Staaten, aber auch für Einzelpersonen in den vergangenen Jahren enorm gestiegen. Täglich entwickeln Kriminelle neue Angriffstechnologien und versuchen systematisch, die herkömmlichen Schutzsysteme – Firewalls, Anti-Virenscanner, Proxy Server etc. – zu umgehen. Dem Einzelnen können missbräuchlich verwendete Daten beispielsweise seine Karriere kosten und verhindern, dass er einen Kredit bekommt. Unternehmen entstehen infolge eines Datenlecks schwere wirtschaftliche Schäden, hinzu kommt ein monetär kaum zu beziffernder Vertrauens- und Imageverlust. Das Thema Sicherheit digitaler Infrastrukturen liegt damit im ureigenen Interesse von Unternehmen.
Professionelle Einbrüche in die Datenbanken von Unternehmen
Vor allem Datensätze mit personenbezogenen Daten wie Adressen, Kontoinformationen und Kreditkartennummern sind für cyberkriminelle Gruppierungen von großem Interesse, sind es doch hochwertige Datensätze, die sich gezielt verkaufen lassen. Sobald Portale und Datenbanken hinter den Websites stehen, wird es für die Kriminellen interessant. „In mehr als 80 Prozent der Unternehmenswebseiten, die wir geprüft haben, kommt man rein“, sagt Götz Schartner von 8com. Die Sicherheitsexperten werden von Firmen engagiert, um in deren IT-Infrastruktur nach Sicherheitslücken zu suchen. „Selbst wenn man nicht in das interne Netzwerk kommt, erlangt man häufig Zugang zu geschützten Kundendaten. Es ist fatal, was da passieren kann“, so Schartner. Firewalls, Anti-Virenscanner und selbst ein Proxy-Server bieten dabei mitnichten ausreichend Schutz, sondern sind lediglich Komponenten für eine digitale Sicherheitsverteidigungsstrategie. „Es würde auch niemand behaupten, sein Auto habe Bremsen, Lenkung und ausreichend Profil auf den Reifen und deswegen sei damit ein Unfall ausgeschlossen“, verdeutlicht Schartner. Zu den obersten Geboten der IT-Sicherheit gehören deshalb:
- Die Pflege eines regulären IT-Betriebs
- Die Installation von sorgfältig auf das Unternehmen abgestimmter Sicherheitsprodukten
- Der Ausarbeitung eines Zonenmodells, welches sensible Daten nach Sicherheitseinstufung und -bereichen trennt. Dies kann zum Beispiel durch eine Netzwerksegmentierung erfolgen.
- Eine Schwachstellen-Management-Lösung, welche Sicherheitsvorfälle und -lücken fortlaufend erfasst und deren Risiko für das Unternehmen bewertet
Insbesondere Letzteres wird nach Expertenmeinung vielerorts noch sträflich vernachlässigt, obwohl den Betrieben potentielle Sicherheitslücken bekannt sein sollten. Immerhin sind mittlerweile viele Unternehmen dabei, ein Schwachstellen-Management aufzubauen, das in ein übergeordnetes Sicherheitsmanagement eingebettet ist.
- Auf Nummer sicher gegen digitale Ausspähung
- "Berufshacker" decken Sicherheitslücken auf
Lesen Sie mehr zum Thema
