Anzeige
Anzeige
Beitrag drucken

Penetration Testing

Härtetest für Netzwerk-Sicherheit

Im Wettlauf zwischen Angreifern, die sich durch illegalen Zugriff auf Unternehmensnetzwerke bereichern wollen, und Sicherheitsverantwortlichen befinden sich die Angreifer häufig im Vorteil. Denn ihre Methoden werden zunehmend ausgefeilter, während die Abwehrstrategien bislang nicht im notwendigen Umfang Schritt halten. Hinzu kommt, dass die meisten Unternehmen keine validen Kenntnisse darüber besitzen, wo sich kritische Schwachstellen in ihrer IT befinden. Um hier gegenzusteuern empfiehlt sich die methodische Suche nach Sicherheitslücken mittels sogenannter Penetrationstests, um Risiken anschließend systematisch beseitigen zu können.

Bild: Fotolia/alphaspirit

Vor einigen Jahren galten Unternehmen bereits als geschützt gegen Schadsoftware und Know-how-Diebstahl, wenn sie Firewalls und Virenscanner implementiert hatten. Diese Annahme verliert mittlerweile ihre Gültigkeit: So erklärte unlängst RSA-Vorstand Art Corviello anlässlich seiner Rede auf der Sicherheitstagung ‚RSA Conference Europe‘, dass, falls er die Position eines ‚Chief Information Security Officer‘ (CISO) innehätte, seine Einsparungsmaßnahmen in erster Linie den Bereich ‚Antiviren‘ betreffen würden. Denn diese spürten durchschnittlich nur noch 30 bis 40 Prozent der Gefahren im Netz auf.

ANZEIGE

Diese Quote lässt sich leicht erklären, denn Angriffe werden – wenn sie wirtschaftlich motiviert sind – mit speziell auf die jeweilige Umgebung individualisierten Tools durchgeführt und nicht mittels wahlloser Viren-Attacken. Hinzu kommt, dass selbst im Hinblick auf Routine-Angriffe die Wirksamkeit der Standard-Maßnahmen als relativ begrenzt zu bezeichnen ist, weil sie in der Regel mittels retrograd basierter Überprüfungen nur jene schadhaften Codes detektieren können, die bereits bekannt sind. Da jedoch ständig neue Viren geschrieben werden, werden die Systeme durch diesen Ansatz nicht gegen unmittelbar aufgetretene Bedrohungen geschützt.

Methodische Durchleuchtung des Unternehmensnetzwerks

Gleichzeitig fristet die IT-Sicherheit in Industrieunternehmen vielfach noch ein Schattendasein und wird tendenziell eher ausgeklammert, weil sie – aus Managementsicht – nicht besonders attraktiv ist. Denn Sicherheitsmaßnahmen und -personal verursachen Kosten, ohne dass ein rechnerisch nachweisbarer Beitrag zur Wertschöpfung geleistet wird. Folglich sind die Maßnahmen im Vergleich zu anderen IT-Projekten, etwa im Bereich Backup, aufgrund der ohnehin knappen Budgets meist unterdimensioniert. Um diese Diskrepanz auszugleichen, empfiehlt sich eine methodische Durchleuchtung der Unternehmensnetzwerke. Auf diese Weise kann aufgedeckt werden, in welche Bereiche gezielt investiert werden muss, um die Unternehmens-IT wirkungsvoll zu schützen und so einen kontinuierlichen Geschäftsbetrieb zu unterstützen.

Organisation kommt vor technischen Maßnahmen

In Umkehrung dazu ist es jedoch – vor allem in komplexen Organisationen – nicht sinnvoll einen Penetrationstest durchzuführen, wenn im Unternehmen keinerlei durchgängige Konzepte inklusive der dazugehörenden Richtlinien bezüglich der IT-Sicherheit vorliegen. Von daher sollte diese Methodik nicht eingesetzt werden, um eine Sicherheitsstrategie zu entwickeln, sondern erst dann, wenn diese – zumindest rudimentär und hinterlegt mit entsprechenden Maßnahmen – vorhanden ist. Eine grundsätzliche Vorgehensweise bezüglich Penetrationstests ist definiert, unter anderem in der Studie ‚Durchführung von Penetrationstests‘, herausgegeben vom BSI. Der tatsächliche Umfang der Überprüfung ist jedoch im Einzelfall davon abhängig, wie exponiert das Unternehmen in der Öffentlichkeit steht – also wie hoch die Angriffswahrscheinlichkeit und wie groß der mögliche Schaden, der daraus resultiert, ausfallen. Prinzipiell können Penetrationstests entweder automatisiert mittels Schwachstellen-Scanner oder individualisiert durch Beauftragung eines externen Dienstleisters durchgeführt werden.


Das könnte Sie auch interessieren:

Individuelle Kundenwünsche beeinflussen zunehmend die Produktion. Mit der Verbindung von Verkaufs- und Produktionskonfiguration lässt sich die Komplexität einer variantenreichen Fertigung in den Griff bekommen.‣ weiterlesen

52 Prozent der Unternehmen wollen ihre Ausgaben bezüglich der digitalen Transformation erhöhen. Dies hat der Business-Software-Anbieter IFS in einer Studie ermittelt für die weltweit mehr als 3.032 Führungskräfte befragt wurden.‣ weiterlesen

Die Bekuplast-Unternehmensgruppe produziert Mehrweg-Transportverpackungen aus Kunststoff. Seit 2019 dient ein Enterprise-Content-Management-System (ECM) von ELO als Grundlage, zentrale Geschäftsprozesse zu automatisieren und mit den IT-Systemen zu verzahnen.‣ weiterlesen

Bosch Rexroth gibt einige Veränderungen in der Geschäftsführung bekannt. Unter anderem tritt Filiz Albrecht die Nachfolge von Christoph Kübel an, der zum Jahresende in den Ruhestand geht.‣ weiterlesen

Der Solution Manager von SAP stand lange im Ruf, nicht das Organisationsgenie unter den Business-Anwendungen zu sein. Doch der Hersteller hat in Version 7.2 viel am Werkzeug verbessert. Der Produzent von Lebensmittelzutaten Döhler hat daher den SolMan von SAP mit dem BPM-Tool Aeneus verknüpft, um die Gestaltung von mehr als 2000 Geschäftsprozessen zentral und nachhaltig zu strukturieren.‣ weiterlesen

In einer weltweiten Studie haben TÜV Rheinland und das Marktforschungsinstitut Ponemon untersucht, wie es um die Cybersicherheit von Industrieanlagen bestellt ist. Demnach ist die Operational Technology besonders gefährdet.‣ weiterlesen

Mit dem stärksten jemals gemessenen Anstieg hat sich der Ifo-Geschäftsklimaindex im Juni im Vergleich zum Vormonat etwas erholt. Er liegt nun bei 86,2 Punkten.‣ weiterlesen

Unternehmenswachstum sorgte bei der Penn GmbH für ein Umdenken in der Unternehmensstrategie. Mit der Implementierung eines Manufacturing Execution Systems wollte man etwa Excel-Listen in der Produktionsplanung ablösen. Mit der MES-Lösung von Proxia gelang es sogar, die Anlagenverfügbarkeit auf fast 100 Prozent zu steigern.‣ weiterlesen

Im vergangenen Jahr haben 76 Prozent der Unternehmen Rechenleistung aus der Cloud in Anspruch genommen. Dies geht aus einer Studie von Bitkom Research im Auftrag von KPMG hervor.‣ weiterlesen

Schneider Electric möchte seine gruppeninternen Kompetenzzentren für Schlüsseltechnologien stärken. Mit einem weiteren Ausbau des Standortes Marktheidenfeld wird dieser Weg nun fortgesetzt.‣ weiterlesen

Die überwiegende Zahl der Maschinenbauer ist zuversichtlich, mittelfristig auf das nominale Umsatzniveau von 2019 zurückzukehren. So lautet die Kernbotschaft der sechsten VDMA-Blitzumfrage zur Corona-Pandemie, an der 658 Unternehmen teilnahmen.‣ weiterlesen

Anzeige
Anzeige
Anzeige