Anzeige
Anzeige
Beitrag drucken

Penetration Testing

Härtetest für Netzwerk-Sicherheit

Im Wettlauf zwischen Angreifern, die sich durch illegalen Zugriff auf Unternehmensnetzwerke bereichern wollen, und Sicherheitsverantwortlichen befinden sich die Angreifer häufig im Vorteil. Denn ihre Methoden werden zunehmend ausgefeilter, während die Abwehrstrategien bislang nicht im notwendigen Umfang Schritt halten. Hinzu kommt, dass die meisten Unternehmen keine validen Kenntnisse darüber besitzen, wo sich kritische Schwachstellen in ihrer IT befinden. Um hier gegenzusteuern empfiehlt sich die methodische Suche nach Sicherheitslücken mittels sogenannter Penetrationstests, um Risiken anschließend systematisch beseitigen zu können.

Bild: Fotolia/alphaspirit

Vor einigen Jahren galten Unternehmen bereits als geschützt gegen Schadsoftware und Know-how-Diebstahl, wenn sie Firewalls und Virenscanner implementiert hatten. Diese Annahme verliert mittlerweile ihre Gültigkeit: So erklärte unlängst RSA-Vorstand Art Corviello anlässlich seiner Rede auf der Sicherheitstagung ‚RSA Conference Europe‘, dass, falls er die Position eines ‚Chief Information Security Officer‘ (CISO) innehätte, seine Einsparungsmaßnahmen in erster Linie den Bereich ‚Antiviren‘ betreffen würden. Denn diese spürten durchschnittlich nur noch 30 bis 40 Prozent der Gefahren im Netz auf.

ANZEIGE

Kunststoff in Form bringen

Bild: KEB Automation KG

Bild: KEB Automation KG

Sie begegnen uns in vielen Bereichen: Kunststoffprodukte. Hinter ihnen stehen Maschinen, die zuverlässig sein müssen. Ob es sich um Extrusions- oder Spritzgießtechnik handelt – KEB Automation bietet die passende Automatisierungs- und Antriebstechnik.

Diese Quote lässt sich leicht erklären, denn Angriffe werden – wenn sie wirtschaftlich motiviert sind – mit speziell auf die jeweilige Umgebung individualisierten Tools durchgeführt und nicht mittels wahlloser Viren-Attacken. Hinzu kommt, dass selbst im Hinblick auf Routine-Angriffe die Wirksamkeit der Standard-Maßnahmen als relativ begrenzt zu bezeichnen ist, weil sie in der Regel mittels retrograd basierter Überprüfungen nur jene schadhaften Codes detektieren können, die bereits bekannt sind. Da jedoch ständig neue Viren geschrieben werden, werden die Systeme durch diesen Ansatz nicht gegen unmittelbar aufgetretene Bedrohungen geschützt.

Methodische Durchleuchtung des Unternehmensnetzwerks

Gleichzeitig fristet die IT-Sicherheit in Industrieunternehmen vielfach noch ein Schattendasein und wird tendenziell eher ausgeklammert, weil sie – aus Managementsicht – nicht besonders attraktiv ist. Denn Sicherheitsmaßnahmen und -personal verursachen Kosten, ohne dass ein rechnerisch nachweisbarer Beitrag zur Wertschöpfung geleistet wird. Folglich sind die Maßnahmen im Vergleich zu anderen IT-Projekten, etwa im Bereich Backup, aufgrund der ohnehin knappen Budgets meist unterdimensioniert. Um diese Diskrepanz auszugleichen, empfiehlt sich eine methodische Durchleuchtung der Unternehmensnetzwerke. Auf diese Weise kann aufgedeckt werden, in welche Bereiche gezielt investiert werden muss, um die Unternehmens-IT wirkungsvoll zu schützen und so einen kontinuierlichen Geschäftsbetrieb zu unterstützen.

ANZEIGE

Organisation kommt vor technischen Maßnahmen

In Umkehrung dazu ist es jedoch – vor allem in komplexen Organisationen – nicht sinnvoll einen Penetrationstest durchzuführen, wenn im Unternehmen keinerlei durchgängige Konzepte inklusive der dazugehörenden Richtlinien bezüglich der IT-Sicherheit vorliegen. Von daher sollte diese Methodik nicht eingesetzt werden, um eine Sicherheitsstrategie zu entwickeln, sondern erst dann, wenn diese – zumindest rudimentär und hinterlegt mit entsprechenden Maßnahmen – vorhanden ist. Eine grundsätzliche Vorgehensweise bezüglich Penetrationstests ist definiert, unter anderem in der Studie ‚Durchführung von Penetrationstests‘, herausgegeben vom BSI. Der tatsächliche Umfang der Überprüfung ist jedoch im Einzelfall davon abhängig, wie exponiert das Unternehmen in der Öffentlichkeit steht – also wie hoch die Angriffswahrscheinlichkeit und wie groß der mögliche Schaden, der daraus resultiert, ausfallen. Prinzipiell können Penetrationstests entweder automatisiert mittels Schwachstellen-Scanner oder individualisiert durch Beauftragung eines externen Dienstleisters durchgeführt werden.


Das könnte Sie auch interessieren:

Mit mobilem Arbeiten verbindet die Mehrheit der Beschäftigten eine bessere Work-Life-Balance. So zumindest lautet das Ergebnis einer SD-Works-Umfrage zum Thema. Mehr als 50 Prozent der Befragten halten demnach zwei bis drei Tage pro Woche für optimal.‣ weiterlesen

Nachhaltige Produkte und nachhaltiger produzieren ist gesellschaftlicher, politischer und unternehmerischer Konsens. Strukturierte Workshops und ein Process-Mining-Bild können helfen, den Weg dorthin zu strukturieren.‣ weiterlesen

Die Nachfrage nach IoT-Lösungen wächst. Und eine Reihe von offenen Technologien wandert in den Standard-Werkzeugkasten produzierender Betriebe. Ein Überblick, der bei dem MQTT-Protokoll beginnt.‣ weiterlesen

Anhand eines Traktors beschrieb Michael E. Porter, wie Digitalisierung funktioniert - vom konventionellen Produkt hin zum Ökosystem. In einem aktuellen Whitepaper zeigt der VDMA, warum solche Ökosysteme auch für den Maschinen- und Anlagenbau relevant sind.‣ weiterlesen

Mit dem Ziel Startups zu unterstützen hat Dassault Systèmes ein 3DExperience Lab in München eröffnet. Es ist das vierte Startup-Hub des Unternehmens weltweit.‣ weiterlesen

Energiedatenmanagementsysteme sollen dabei helfen, Nachhaltigkeitsziele zu erreichen. Die Sektkellereien von Rotkäppchen-Mumm setzen seit 2014 auf ein solches System. Bis dato wurden Energiedaten noch manuell erfasst. Per Software gelang es, Energiedaten aus verschiedenen Quellen zu konsolidieren.‣ weiterlesen

Brauchen Firmen noch ein Manufacturing Execution System, wenn sie ihre Maschinen und Anlagen im Sinne eines Industrial Internet of Things vernetzt haben? Auf den zweiten Blick wird klar: Ja, denn um aus Daten Information zu machen, braucht es Spezial-Software. Veteranen könnte dieser Diskurs an die 90er Jahre erinnern, als Business Intelligence-Systeme ihren Siegeszug feierten.‣ weiterlesen

Beim Mittelstand-Digital Zentrum Klima.Neutral.Digital sollen Unternehmen Hilfestellung auf dem Weg zur Klimaneutralität erhalten. Unternehmen erhalten dort neben Informationen auch Unterstützung bei konkreten Projekten.‣ weiterlesen

Trotz der aktuellen Krisen rechnet das Institut für Arbeitsmarkt- und Berufsforschung in seiner Prognose nicht mit einem Einbruch am Arbeitsmarkt. Für die Industrie prognostizieren die Forscher jedoch stagnierende Zahlen.‣ weiterlesen

Eine gemeinsame Lösung für sicherheitsorientierte Unternehmen und Behörden ist das Ergebnis einer Zusammenarbeit zwischen Mendix und Stackit. Mendix Low-Code-Anwendungen können so auf der souveränen Stackit-Cloud betrieben werden.‣ weiterlesen

Effizienz und Cybersicherheit sind zwei wichtige Aspekte in der Softwareentwicklung. GitOps ist ein Ansatz, um beides zu verbessern. Zugleich wird die Handlungsfähigkeit von Entwicklungsteams gesteigert.‣ weiterlesen