Anzeige
Anzeige
Beitrag drucken

Penetration Testing

Härtetest für Netzwerk-Sicherheit

Im Wettlauf zwischen Angreifern, die sich durch illegalen Zugriff auf Unternehmensnetzwerke bereichern wollen, und Sicherheitsverantwortlichen befinden sich die Angreifer häufig im Vorteil. Denn ihre Methoden werden zunehmend ausgefeilter, während die Abwehrstrategien bislang nicht im notwendigen Umfang Schritt halten. Hinzu kommt, dass die meisten Unternehmen keine validen Kenntnisse darüber besitzen, wo sich kritische Schwachstellen in ihrer IT befinden. Um hier gegenzusteuern empfiehlt sich die methodische Suche nach Sicherheitslücken mittels sogenannter Penetrationstests, um Risiken anschließend systematisch beseitigen zu können.

Bild: Fotolia/alphaspirit

Vor einigen Jahren galten Unternehmen bereits als geschützt gegen Schadsoftware und Know-how-Diebstahl, wenn sie Firewalls und Virenscanner implementiert hatten. Diese Annahme verliert mittlerweile ihre Gültigkeit: So erklärte unlängst RSA-Vorstand Art Corviello anlässlich seiner Rede auf der Sicherheitstagung ‚RSA Conference Europe‘, dass, falls er die Position eines ‚Chief Information Security Officer‘ (CISO) innehätte, seine Einsparungsmaßnahmen in erster Linie den Bereich ‚Antiviren‘ betreffen würden. Denn diese spürten durchschnittlich nur noch 30 bis 40 Prozent der Gefahren im Netz auf.

Diese Quote lässt sich leicht erklären, denn Angriffe werden – wenn sie wirtschaftlich motiviert sind – mit speziell auf die jeweilige Umgebung individualisierten Tools durchgeführt und nicht mittels wahlloser Viren-Attacken. Hinzu kommt, dass selbst im Hinblick auf Routine-Angriffe die Wirksamkeit der Standard-Maßnahmen als relativ begrenzt zu bezeichnen ist, weil sie in der Regel mittels retrograd basierter Überprüfungen nur jene schadhaften Codes detektieren können, die bereits bekannt sind. Da jedoch ständig neue Viren geschrieben werden, werden die Systeme durch diesen Ansatz nicht gegen unmittelbar aufgetretene Bedrohungen geschützt.

Methodische Durchleuchtung des Unternehmensnetzwerks

Gleichzeitig fristet die IT-Sicherheit in Industrieunternehmen vielfach noch ein Schattendasein und wird tendenziell eher ausgeklammert, weil sie – aus Managementsicht – nicht besonders attraktiv ist. Denn Sicherheitsmaßnahmen und -personal verursachen Kosten, ohne dass ein rechnerisch nachweisbarer Beitrag zur Wertschöpfung geleistet wird. Folglich sind die Maßnahmen im Vergleich zu anderen IT-Projekten, etwa im Bereich Backup, aufgrund der ohnehin knappen Budgets meist unterdimensioniert. Um diese Diskrepanz auszugleichen, empfiehlt sich eine methodische Durchleuchtung der Unternehmensnetzwerke. Auf diese Weise kann aufgedeckt werden, in welche Bereiche gezielt investiert werden muss, um die Unternehmens-IT wirkungsvoll zu schützen und so einen kontinuierlichen Geschäftsbetrieb zu unterstützen.

Organisation kommt vor technischen Maßnahmen

In Umkehrung dazu ist es jedoch – vor allem in komplexen Organisationen – nicht sinnvoll einen Penetrationstest durchzuführen, wenn im Unternehmen keinerlei durchgängige Konzepte inklusive der dazugehörenden Richtlinien bezüglich der IT-Sicherheit vorliegen. Von daher sollte diese Methodik nicht eingesetzt werden, um eine Sicherheitsstrategie zu entwickeln, sondern erst dann, wenn diese – zumindest rudimentär und hinterlegt mit entsprechenden Maßnahmen – vorhanden ist. Eine grundsätzliche Vorgehensweise bezüglich Penetrationstests ist definiert, unter anderem in der Studie ‚Durchführung von Penetrationstests‘, herausgegeben vom BSI. Der tatsächliche Umfang der Überprüfung ist jedoch im Einzelfall davon abhängig, wie exponiert das Unternehmen in der Öffentlichkeit steht – also wie hoch die Angriffswahrscheinlichkeit und wie groß der mögliche Schaden, der daraus resultiert, ausfallen. Prinzipiell können Penetrationstests entweder automatisiert mittels Schwachstellen-Scanner oder individualisiert durch Beauftragung eines externen Dienstleisters durchgeführt werden.


Das könnte Sie auch interessieren:

Zum 1. November hat Dr. Clemens Weis die operative Geschäftsführung von Cideon übernommen. Er folgt auf Clemens Voegele, der den Posten des Chief Digital Officers der Friedhelm Loh Group übernommen hat. Als Vorsitzender der Geschäftsführung bleibt er jedoch Teil von Cideon.‣ weiterlesen

Gemeinsam wollen MHP und IFS verbesserte Lösungen für ein durchgängiges Service Lifecycle Management anbieten.‣ weiterlesen

25 Prozent der Unternehmen in Deutschland rechnen damit, dass in den kommenden fünf Jahren mehr Produktionsprozesse ausgelagert werden. Damit beschäftigen sich vor allem kleinere Unternehmen (bis 50Mio.€ Jahresumsatz). Etwa jede zweite Firma erhofft sich dadurch mehr Flexibilität.‣ weiterlesen

Lange liefen die Drucker im Weidmüller-Werk in Wutha-Farnroda morgens an ihrer Leistungsgrenze, wenn sie das ganze Papier zu den Fertigungsaufträgen ausgaben. Nach dem Rollout der Digital Manufacturing Suite von SAP änderte sich das. Heute sind die meisten Informationen digitalisiert und Werker mit mobiler IT statt Klemmbrettern unterwegs.‣ weiterlesen

Die Maschinenexporte aus Deutschland stabilisieren sich zunehmend. Im September verbuchten die Maschinen- und Anlagenbauer aus Deutschland beim Exportgeschäft ein Minus in Höhe von 7,6 Prozent im Vorjahresvergleich. Im Zeitraum Juli bis September sanken sie damit um 12,4 Prozent auf 39,8Mrd.€.‣ weiterlesen

Im Normalfall füllt Adelholzener jährlich rund 600 Millionen Flaschen ab, in Krisenzeiten sollen die dafür angezapften Quellen jedoch der Trinkwasserversorgung dienen. Somit sind die Anlagen des Getränkeherstellers kritische Infrastruktur, die etwa in puncto Gebäudesicherheit besonderen Auflagen unterliegt: Bucht sich ein Besucher am Empfang nicht ein, kommt er nicht weit.‣ weiterlesen

Mit Campusnetzen können Industrieunternehmen ihr eigenes 5G-Netzwerk betreiben. Ein Jahr nach Inkrafttreten der entsprechenden Vergabebedingungen sind bei der Bundesnetzagentur rund 90 Anträge eingegangen.‣ weiterlesen

Mit dem SR-12iA hat Fanuc nun den dritten und größten Scara-Roboter vorgestellt. Die Traglast beträgt bis zu zwölf Kilogramm und das mögliche Trägheitsmoment am Handgelenk 0.30kgm2. ‣ weiterlesen

Advanced Process Control (APC) wird in der Prozessindustrie bereits vereinzelt genutzt. Die unter dem Konzept erfassten regelungstechnischen Methoden reichen von erweiterten klassischen Regelungsansätzen über modellprädiktive Regelung (MPC) bis hin zum Einsatz von Fuzzy-Reglern und künstlichen neuronalen Netzen zur Prozessführung.‣ weiterlesen

Um das wirtschaftliche und gesellschaftliche Potential von künstlicher Intelligenz auszuschöpfen, müssen Menschen den Entscheidungen von KI-Systemen und den mit ihnen verbundenen Prozessen vertrauen. Dazu kann eine entsprechende Zertifizierung beitragen. Nach welchen Kriterien dies geschehen könnte, zeigt die Plattform Lernende Systeme in einem aktuellen Whitepaper.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige