Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

Penetration Testing

Härtetest für Netzwerk-Sicherheit

Im Wettlauf zwischen Angreifern, die sich durch illegalen Zugriff auf Unternehmensnetzwerke bereichern wollen, und Sicherheitsverantwortlichen befinden sich die Angreifer häufig im Vorteil. Denn ihre Methoden werden zunehmend ausgefeilter, während die Abwehrstrategien bislang nicht im notwendigen Umfang Schritt halten. Hinzu kommt, dass die meisten Unternehmen keine validen Kenntnisse darüber besitzen, wo sich kritische Schwachstellen in ihrer IT befinden. Um hier gegenzusteuern empfiehlt sich die methodische Suche nach Sicherheitslücken mittels sogenannter Penetrationstests, um Risiken anschließend systematisch beseitigen zu können.

Bild: Fotolia/alphaspirit

Vor einigen Jahren galten Unternehmen bereits als geschützt gegen Schadsoftware und Know-how-Diebstahl, wenn sie Firewalls und Virenscanner implementiert hatten. Diese Annahme verliert mittlerweile ihre Gültigkeit: So erklärte unlängst RSA-Vorstand Art Corviello anlässlich seiner Rede auf der Sicherheitstagung ‚RSA Conference Europe‘, dass, falls er die Position eines ‚Chief Information Security Officer‘ (CISO) innehätte, seine Einsparungsmaßnahmen in erster Linie den Bereich ‚Antiviren‘ betreffen würden. Denn diese spürten durchschnittlich nur noch 30 bis 40 Prozent der Gefahren im Netz auf.

Diese Quote lässt sich leicht erklären, denn Angriffe werden – wenn sie wirtschaftlich motiviert sind – mit speziell auf die jeweilige Umgebung individualisierten Tools durchgeführt und nicht mittels wahlloser Viren-Attacken. Hinzu kommt, dass selbst im Hinblick auf Routine-Angriffe die Wirksamkeit der Standard-Maßnahmen als relativ begrenzt zu bezeichnen ist, weil sie in der Regel mittels retrograd basierter Überprüfungen nur jene schadhaften Codes detektieren können, die bereits bekannt sind. Da jedoch ständig neue Viren geschrieben werden, werden die Systeme durch diesen Ansatz nicht gegen unmittelbar aufgetretene Bedrohungen geschützt.

Methodische Durchleuchtung des Unternehmensnetzwerks

Gleichzeitig fristet die IT-Sicherheit in Industrieunternehmen vielfach noch ein Schattendasein und wird tendenziell eher ausgeklammert, weil sie – aus Managementsicht – nicht besonders attraktiv ist. Denn Sicherheitsmaßnahmen und -personal verursachen Kosten, ohne dass ein rechnerisch nachweisbarer Beitrag zur Wertschöpfung geleistet wird. Folglich sind die Maßnahmen im Vergleich zu anderen IT-Projekten, etwa im Bereich Backup, aufgrund der ohnehin knappen Budgets meist unterdimensioniert. Um diese Diskrepanz auszugleichen, empfiehlt sich eine methodische Durchleuchtung der Unternehmensnetzwerke. Auf diese Weise kann aufgedeckt werden, in welche Bereiche gezielt investiert werden muss, um die Unternehmens-IT wirkungsvoll zu schützen und so einen kontinuierlichen Geschäftsbetrieb zu unterstützen.

Organisation kommt vor technischen Maßnahmen

In Umkehrung dazu ist es jedoch – vor allem in komplexen Organisationen – nicht sinnvoll einen Penetrationstest durchzuführen, wenn im Unternehmen keinerlei durchgängige Konzepte inklusive der dazugehörenden Richtlinien bezüglich der IT-Sicherheit vorliegen. Von daher sollte diese Methodik nicht eingesetzt werden, um eine Sicherheitsstrategie zu entwickeln, sondern erst dann, wenn diese – zumindest rudimentär und hinterlegt mit entsprechenden Maßnahmen – vorhanden ist. Eine grundsätzliche Vorgehensweise bezüglich Penetrationstests ist definiert, unter anderem in der Studie ‚Durchführung von Penetrationstests‘, herausgegeben vom BSI. Der tatsächliche Umfang der Überprüfung ist jedoch im Einzelfall davon abhängig, wie exponiert das Unternehmen in der Öffentlichkeit steht – also wie hoch die Angriffswahrscheinlichkeit und wie groß der mögliche Schaden, der daraus resultiert, ausfallen. Prinzipiell können Penetrationstests entweder automatisiert mittels Schwachstellen-Scanner oder individualisiert durch Beauftragung eines externen Dienstleisters durchgeführt werden.


Das könnte Sie auch interessieren:

Lieferengpässe drücken die Stimmung der deutschen Wirtschaft. So gehen die Indexwerte von Industrie, Handel und Dienstleistungen im Oktober zurück. Lediglich aus dem Bauhauptgewerbe kommen positive Signale.‣ weiterlesen

Produktionsabläufe und Wartungsmodelle werden schon länger auf der Basis von Daten optimiert. Doch gut integrierte IIoT-Plattformen ermöglichen heute Prozesse, die zu deutlich besseren Ergebnissen und einer neuen Form der Zusammenarbeit führen können.‣ weiterlesen

Die EU soll bis 2050 klimaneutral werden – über den European Green Deal und eine Abgabe auf CO2-Emissionen. Fraunhofer-Forschende unterstützen Unternehmen bei der Reduktion ihrer Emissionen mittels Net-Zero-Technologien.‣ weiterlesen

Universal Robots (UR) baut sein Vertriebsnetz in Deutschland aus. Mit SCS Robotik, JDT Robotics, PTS Automation sowie der Somack sind vier neue Partner hinzugekommen.‣ weiterlesen

Im seinem neuen Lagebericht zur IT-Sicherheit in Deutschland fordert das Bundesamt für Sicherheit in der Informationstechnik der Cybersicherheit eine stärkere Bedeutung beizumessen. Die Gefährdungslage sei hoch, so Bundesinnenminister Horst Seehofer.‣ weiterlesen

In der Produktion lassen sich per Datenwissenschaft Muster erkennen, die etwa zum Ausfall von Anlagen führen oder Prognosen für einzelne Assets generieren. Nicht nur ausgebildete Datenwissenschaftler können solche Projekte umsetzen. Passende Software vorausgesetzt, können viele der eigenen Mitarbeiter wie Data Scientists arbeiten.‣ weiterlesen

Der 3D-Druck-Spezialist Materialise vergrößert seinen Bremer Standort und hat ein Metall-Kompetenzzentrum für 3D-Druck eröffnet, das künftig 120 Mitarbeitern Platz bieten soll.‣ weiterlesen

Zwei Komponenten tragen maßgeblich zum Schutz der industriellen IT bei: Zuerst die Visualisierung und Überwachung der OT-Netzwerke, etwa mit einem Network Intrusion Detection System (IDS). Noch weiter können Firmen mit dem Betrieb einer Plattform gehen, die auf Basis aktueller Standards laufend Risiken in den Netzen bewertet.‣ weiterlesen

Mit der Asset Tracking-Lösung Infsoft Lead Time Tracking können Anwender den Standort von verfolgten Objekten zu jeder Zeit nachverfolgen. Auf Basis der Positionsdaten können die Durchlaufzeiten erfasst und Prozesse evaluiert und optimiert werden.‣ weiterlesen

Christoph Stoica verantwortet als neuer Geschäftsführer zukünftig die Landesgesellschaften in Zentraleuropa von Sage. Er übernimmt das Amt zum 1. November.‣ weiterlesen

Auch Konstrukteure mussten in der Pandemie ihre Abläufe auf remote umstellen. Doch bei der Anlagenplanung stehen ihnen mehr Möglichkeiten zur Verfügung, als nur im Video-Anruf miteinander zu sprechen. Mit der Software Rooms können sie in einem virtuellen Abbild eines CAD-Modells umherlaufen, um Fehler auszuspüren und Änderungen anzustoßen. Mit diesem Ansatz konnte die SMS Group in einem Projekt 80.000€ sparen.‣ weiterlesen

Anzeige
Anzeige
Anzeige