Startseite > Security > Belastungs-EKG der IT-Sicherheit

Penetrationstests

Belastungs-EKG der IT-Sicherheit

22. Dezember 2020, 12:30 Uhr | Autor: Norman Hübner / Redaktion: Diana Künstler

Gefahren, die von IT-Angriffen ausgehen, sind Unternehmen oft nicht bewusst. Dabei ist es möglich, Security-Stressstests durchzuführen. Solche simulierten Hackerangriffe decken Schwachstellen auf und helfen dabei, Sicherheitslücken zu identifizieren und zu schließen.

Firmen, die gerade erst beginnen, sich mit IT-Sicherheit auseinanderzusetzen, haben die Möglichkeit, sich ein Lagebild der hauseigenen IT-Infrastruktur und deren Verwundbarkeit einzuholen. Eine solche Analyse hilft bei einem zielgerichteten Ausbau einer sicheren IT-Infrastruktur. Im nächsten Schritt kann ein kontrollierter Angriff auf die bestehende Infrastruktur stattfinden. Mithilfe solcher simulierter Cyberangriffe können entsprechende Belastbarkeitstests durchgeführt werden. Dabei nehmen Cyber-Security-Experten die Rolle eines Angreifers ein und versuchen mit gezielten Cyberattacken auf die IT-Infrastruktur, in die Systeme eines Unternehmens einzudringen. Bei diesen Penetrationstests sammeln Spezialisten alle angriffsrelevanten Informationen, analysieren das Zielobjekt aus externer Sicht und suchen nach Schwachstellen in Netzwerken, Geräten und Anwendungen. Schließlich versuchen die legalen Hacker, sich Zugang zum Firmennetzwerk zu verschaffen und dokumentieren dabei alle gefundenen Sicherheitslücken sowie den potenziellen Schaden, den Angreifer verursachen können.

Umfrage offenbart Wissenslücken

„Haben Sie in Ihrem Unternehmen schon einmal einen IT-Sicherheitstest (Penetrationstest) durchführen lassen?“ lautet die Frage einer Erhebung des Marktforschungsinstituts Civey im Auftrag von TÜV Rheinland. Rund 39 Prozent der 1.000 Befragten antworten mit „Ja“, fast ebenso viele mit „Nein“, sieben Prozent konnten dazu keine Auskunft geben. Besonders erschreckend sind jedoch die knapp 17 Prozent, die einen Penetrationstest überhaupt nicht kennen. Denn bei den Befragten handelt es sich um IT-Sicherheitsexperten in Unternehmen. Die Umfrage zeigt, dass sich auch heute noch viele Firmen nicht bewusst sind, wie groß die Gefahr eines Hackerangriffs auf das eigene Netzwerk ist und welchen wirtschaftlichen Schaden dies nach sich ziehen kann – zumal meist Wochen oder sogar Monate vergehen, bis Unternehmen bemerken, dass sie bereits Opfer einer Cyberattacke geworden sind.

Was genau steckt hinter Penetrationstests?

Ein Penetrationstest soll helfen, sich genau davor zu schützen: nämlich, dass man Opfer einer Cyberattacke geworden ist und es im schlimmsten Fall nicht mal weiß. Diverse internationale Studien zeigen, dass es im Schnitt etwa 200 Tage dauert, bis ein Unternehmen bemerkt, dass es angegriffen worden ist. Diese unentdeckte Cyberattacke gibt Angreifern ausreichend Zeit, Server zu kapern, Erpressersoftware – sogenannte Ransomware – aufzuspielen oder im Rahmen von Industriespionage Daten und Informationen abzuschöpfen.

In Zeiten von Corona, in denen Mitarbeiter verstärkt von zu Hause aus arbeiten und auf das Firmennetzwerk zugreifen, ist das Bewusstsein um die Risiken und Schwachstellen in der eigenen IT umso wichtiger. Oftmals fehlt beim Arbeiten am heimischen Laptop eine abgesicherte IT-Umgebung. Hacker nutzen diesen Umstand aus, um umfangreiche Cyberangriffe durchzuführen. Um festzustellen, was für ein Schutzniveau die jeweilige IT-Infrastruktur eines Unternehmens benötigt, auch mit Blick auf eine enorm gewachsene Anzahl von externen Zugriffen aus den Homeoffices, sollten nach Abschluss einer Testreihe die Ergebnisse ausführlich mit den Verantwortlichen besprochen werden, sodass schützende Maßnahmen ergriffen werden können.