Anzeige
Anzeige
Anzeige

Penetration Testing

Härtetest für Netzwerk-Sicherheit

Beitrag drucken

Qualitätsmerkmale für Penetration Tests

Die Qualität und der daraus resultierende Nutzen sind jedoch stark davon abhängig, wie dediziert auf die jeweilige Situation des zu überprüfenden Unternehmens eingegangen wird. Hierbei entscheidend sind unter anderem, wie viel Zeit und Ressourcen der Auftraggeber dem Dienstleister zur Ermittlung der Schwachstellen bewilligt – aber auch, wie produktiv und effizient dieser letztendlich dabei vorgeht. Zusätzlich ist zu beachten, dass ein automatisierter Penetrationstest unter Einsatz von Tools nicht so effizient und detailliert vorgetragen werden kann wie individuell gestaltete Test-Szenarien. Vom Prinzip her sind alle Schwachstellen, die in der Unternehmens-IT aufgedeckt werden, nichts anderes als von Menschen verursachte Fehler. Gemäß dieser Logik kann deren Aufdeckung keinesfalls mittels standardisierter Vorgehensweisen, sondern nur in einem kreativen Prozess erfolgen. Somit ist das individualisierte Assessment als das entscheidende Qualitätsmerkmal zu benennen.

Menschliche ‚Gegenspieler‘ für komplexe IT-Angriffe

Denn eine Maschine kann nicht nachvollziehen, was in den Köpfen der – in der Regel sehr motivierten und auch durchaus intelligenten – Angreifer vorgeht, wo sie welche Schwachstellen suchen und wie diese am besten ausnutzbar sind. Automatisierte Tools können hilfreich sein, wenn es darum geht, allseits bekannte und gut dokumentierte Verwundbarkeiten – wie veraltete Softwareversionen oder falsch konfigurierte Serverdienste – aufzudecken. Doch die dann noch angreifbare Lücke, die zwar in der Theorie als geschlossen gilt, aber in der Praxis noch Angriffspunkte bietet, entgeht Software-Werkzeugen viel zu oft.

Vorteile durch standardisierte Testverfahren

Das zweite Merkmal eines guten Penetrationstests ist seine Vergleichbarkeit. Hierzu muss sichergestellt sein, dass die turnusmäßigen Tests auf den jeweiligen Systemen analoge Ergebnisse hervorbringen, auch wenn diese von unterschiedlichen Prüfern durchgeführt wurden. Dies gewährleistet der Bezug auf international anerkannte Standards. Bei Infrastrukturtests, in denen zum Beispiel Netzwerkgeräte, Server und Backbones getestet werden, hat sich das ‚Open Source Security Testing Methodology Manual‘ (OSSTMM) als De-facto-Standard der Branche durchgesetzt.

Entsprechendes gilt beim Testen von Web-Applikationen für das ‚Open Web Application Security Project‘ (OWASP). Die hier zugrundeliegende Methodik verbürgt qualitativ hochwertige Assessments und gleichzeitig die Einhaltung des wichtigsten Ziels: dem Auftraggeber durch die standardisierte Vorgehensweise vergleich- und belastbare Ergebnisse zu liefern. Ein Kennzeichen für die Auswahl des passenden Beraters ist neben der Zertifizierung die Forderung eines adäquaten Honorars. Für hoch qualifizierte Penetrationstester sind regelmäßige Weiterbildungen sowie das Trainieren neuer Angriffstechniken ein Muss. Da diese Qualifizierungsmaßnahmen einen bedeutenden Kostenfaktor darstellen, spiegeln sie sich auch in der Preisgestaltung der Leistung wider.

Sicherheit als kontinuierlicher Prozess

IT-Sicherheit ist kein Produkt, das einmal eingekauft wird und dessen Einsatz dann garantiert, dass ein Unternehmen für alle Zeit sicher ist. Für die Beibehaltung eines bestimmten Sicherheitsniveaus bedarf es eines kontinuierlichen Prozesses, der regelmäßig überprüft werden muss. Schließlich werden ständig neue Anwendungen eingesetzt, was wiederum neue Anforderungen in puncto Absicherung impliziert. Da die Bedrohungen im Bereich IT eine zunehmende Komplexität aufweisen, gilt es, den Prozess bezüglich der Absicherung gezielt voranzutreiben und nicht erst dann tätig zu werden, wenn ein Vorfall eingetreten ist. Denn neben dem entstandenen Schaden, etwa Produktionsausfall oder Imageverlust, kommt hinzu, dass in dem Fall bei der Behebung der Schwachstelle übereilt gehandelt werden muss, um den Verlust so gering wie möglich zu halten.

Eine planvolle Vorgehensweise ist dann vielfach nicht möglich. Als Folge sind die im ‚Hotfix‘-Verfahren entstehenden Kosten vergleichsweise hoch, und die Lösung stellt meist nur ein Flickwerk dar, da sie nicht in einer Sicherheitsstrategie eingebettet ist. Die Abhängigkeit der Unternehmen von der IT hat ein hohes Niveau erreicht. Von daher ist es essentiell, die methodisch richtigen Maßnahmen zu treffen, um die Funktionsfähigkeit der IT zu gewährleisten.


Das könnte Sie auch interessieren:

Recalo aus Laatzen ist auf Dienstleistungen im Bereich Asset- und Ladungsträger-Management spezialisiert. Vor allem beim Pooling von Mehrwegladungsträgern richtet sich der Anbieter mit einem sehr individualisierbaren Angebot an Fertigungsunternehmen.‣ weiterlesen

Lieferkettenschwierigkeiten verursachen rund 20 Prozent der Kosten von Fertigungsunternehmen, errechnen Fachleute. Robotergestützte Prozessautomatisierung kann viele der Stolpersteine aus dem Weg räumen, die zu diesen Ausgaben führen. Denn sie machen keine Fehler, halten sich an Regeln und arbeiten pausenlos - im Büro, Lieferantenmanagement und bei der Prozessoptimierung.‣ weiterlesen

Stimmen die Artikeldaten? Sind die Stammdaten genau und rechtskonform? Diese Fragen entscheiden über die Qualität fundamentaler Datenquellen. Wenn sich Fehler in die Stammdaten eingeschlichen haben, wirken sie womöglich quer durch alle Datenbanken und Prozesse hindurch. Diese und weitere Stolpersteine fasst folgende Checkliste zusammen.‣ weiterlesen

Viele neue Produkte und Geschäftsmodelle erfahren heutzutage Geburtshilfe durch Simulation. Mit digitalen Zwillingen verschmelzen Grenzen zwischen simulierten und realen Produktwelten. Entwicklung und Fertigung lassen sich so deutlich effizienter organisieren.‣ weiterlesen

Nach ersten Schätzungen geht das Ifo-Institut von einer Stagnation der Wirtschaftsleistung im ersten Quartal aus. Erst im zweiten Quartal gehen die Experten wieder von einem Zuwachs aus.‣ weiterlesen

Die Forschungspartner Technische Hochschule Deggendorf und die Technische Universität München sowie den beiden Unternehmen Schindler & Schill (EasyLogix) und Systema haben das BMWi-ZIM-Projekt MobiCM erfolgreich abgeschlossen. Ziel war die Entwicklung eines Systems zur Zustandsüberwachung von Produktionsmaschinen.‣ weiterlesen

Die Engineering-Plattform DesignSpark von RS Components hat die Marke von einer Million Mitglieder geknackt. Seit seiner Einführung 2010 unterstützt die Plattform Ingenieure, Techniker und Studierende mit einer Vielzahl an technischen Tools und Ressourcen.‣ weiterlesen

Die Normungsorganisationen DIN und VDE DKE haben eine Kooperationsvereinbarung mit 'Enterprise Singapore' getroffen. Die Zusammenarbeit soll unter anderem die Bereiche Industrie 4.0 sowie künstliche Intelligenz umfassen.‣ weiterlesen

Als globale Krise ist die Corona-Pandemie eine besondere Herausforderung für die Automobilindustrie. Der Absatz neuer PKW ging weltweit um 23 Prozent, in Europa sogar um 27 Prozent zurück. VDA-Geschäftsführer Dr. Kurt-Christian Scheel erläutert, wie sich die Branche gegen die Krise stemmt und dabei ihre Flexibilität unter Beweis stellt.‣ weiterlesen

Pandemien gehören im aktuellen Allianz-Risiko-Barometer zu den größten Bedrohungen für Unternehmen. Die damit einhergehenden Sorgen haben sogar den Klimawandel verdrängt, der in der aktuellen Erhebung den 9. Platz belegt.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige