Anzeige
Anzeige
Anzeige
Anzeige
Anzeige

Penetration Testing

Härtetest für Netzwerk-Sicherheit

Beitrag drucken

Qualitätsmerkmale für Penetration Tests

Die Qualität und der daraus resultierende Nutzen sind jedoch stark davon abhängig, wie dediziert auf die jeweilige Situation des zu überprüfenden Unternehmens eingegangen wird. Hierbei entscheidend sind unter anderem, wie viel Zeit und Ressourcen der Auftraggeber dem Dienstleister zur Ermittlung der Schwachstellen bewilligt – aber auch, wie produktiv und effizient dieser letztendlich dabei vorgeht. Zusätzlich ist zu beachten, dass ein automatisierter Penetrationstest unter Einsatz von Tools nicht so effizient und detailliert vorgetragen werden kann wie individuell gestaltete Test-Szenarien. Vom Prinzip her sind alle Schwachstellen, die in der Unternehmens-IT aufgedeckt werden, nichts anderes als von Menschen verursachte Fehler. Gemäß dieser Logik kann deren Aufdeckung keinesfalls mittels standardisierter Vorgehensweisen, sondern nur in einem kreativen Prozess erfolgen. Somit ist das individualisierte Assessment als das entscheidende Qualitätsmerkmal zu benennen.

Menschliche ‚Gegenspieler‘ für komplexe IT-Angriffe

Denn eine Maschine kann nicht nachvollziehen, was in den Köpfen der – in der Regel sehr motivierten und auch durchaus intelligenten – Angreifer vorgeht, wo sie welche Schwachstellen suchen und wie diese am besten ausnutzbar sind. Automatisierte Tools können hilfreich sein, wenn es darum geht, allseits bekannte und gut dokumentierte Verwundbarkeiten – wie veraltete Softwareversionen oder falsch konfigurierte Serverdienste – aufzudecken. Doch die dann noch angreifbare Lücke, die zwar in der Theorie als geschlossen gilt, aber in der Praxis noch Angriffspunkte bietet, entgeht Software-Werkzeugen viel zu oft.

Vorteile durch standardisierte Testverfahren

Das zweite Merkmal eines guten Penetrationstests ist seine Vergleichbarkeit. Hierzu muss sichergestellt sein, dass die turnusmäßigen Tests auf den jeweiligen Systemen analoge Ergebnisse hervorbringen, auch wenn diese von unterschiedlichen Prüfern durchgeführt wurden. Dies gewährleistet der Bezug auf international anerkannte Standards. Bei Infrastrukturtests, in denen zum Beispiel Netzwerkgeräte, Server und Backbones getestet werden, hat sich das ‚Open Source Security Testing Methodology Manual‘ (OSSTMM) als De-facto-Standard der Branche durchgesetzt.

Entsprechendes gilt beim Testen von Web-Applikationen für das ‚Open Web Application Security Project‘ (OWASP). Die hier zugrundeliegende Methodik verbürgt qualitativ hochwertige Assessments und gleichzeitig die Einhaltung des wichtigsten Ziels: dem Auftraggeber durch die standardisierte Vorgehensweise vergleich- und belastbare Ergebnisse zu liefern. Ein Kennzeichen für die Auswahl des passenden Beraters ist neben der Zertifizierung die Forderung eines adäquaten Honorars. Für hoch qualifizierte Penetrationstester sind regelmäßige Weiterbildungen sowie das Trainieren neuer Angriffstechniken ein Muss. Da diese Qualifizierungsmaßnahmen einen bedeutenden Kostenfaktor darstellen, spiegeln sie sich auch in der Preisgestaltung der Leistung wider.

Sicherheit als kontinuierlicher Prozess

IT-Sicherheit ist kein Produkt, das einmal eingekauft wird und dessen Einsatz dann garantiert, dass ein Unternehmen für alle Zeit sicher ist. Für die Beibehaltung eines bestimmten Sicherheitsniveaus bedarf es eines kontinuierlichen Prozesses, der regelmäßig überprüft werden muss. Schließlich werden ständig neue Anwendungen eingesetzt, was wiederum neue Anforderungen in puncto Absicherung impliziert. Da die Bedrohungen im Bereich IT eine zunehmende Komplexität aufweisen, gilt es, den Prozess bezüglich der Absicherung gezielt voranzutreiben und nicht erst dann tätig zu werden, wenn ein Vorfall eingetreten ist. Denn neben dem entstandenen Schaden, etwa Produktionsausfall oder Imageverlust, kommt hinzu, dass in dem Fall bei der Behebung der Schwachstelle übereilt gehandelt werden muss, um den Verlust so gering wie möglich zu halten.

Eine planvolle Vorgehensweise ist dann vielfach nicht möglich. Als Folge sind die im ‚Hotfix‘-Verfahren entstehenden Kosten vergleichsweise hoch, und die Lösung stellt meist nur ein Flickwerk dar, da sie nicht in einer Sicherheitsstrategie eingebettet ist. Die Abhängigkeit der Unternehmen von der IT hat ein hohes Niveau erreicht. Von daher ist es essentiell, die methodisch richtigen Maßnahmen zu treffen, um die Funktionsfähigkeit der IT zu gewährleisten.


Das könnte Sie auch interessieren:

Die Steigerung von Produktivität und Effektivität in der Industrie und eine ressourcenschonende Nachhaltigkeit stehen sich nicht unversöhnlich gegenüber. Wirtschaftliche Ziele und ökologische Verantwortung unterstützen sich gegenseitig - nur ist das noch nicht überall erkannt.‣ weiterlesen

Die 16. FMB – Zuliefermesse Maschinenbau findet vom 10. bis 12. November 2021 im Messezentrum Bad Salzuflen statt. Zu den Topthemen kürte Veranstalter Easyfairs die Oberflächentechnik und Digitalisierung.‣ weiterlesen

Produktionsunternehmen sollen mit den neuen IoTmaxx-Mobilfunk-Gateways Maschinendaten besonders schnell in die AnyViz-Cloud übertragen können.‣ weiterlesen

Self-Service-Technologie, digitale Assistenten, künstliche Intelligenz - die Digitalwerkzeuge fürs Kundenbeziehungsmanagement werden immer ausgefeilter. Sind CRM- und ERP-System gut integriert, lassen sich im Sinn des xRM-Ansatzes auch leicht die Beziehungen zu Geschäftspartnern IT-gestützt pflegen.‣ weiterlesen

Vor allem KMU befürchten häufig, bei der IT-gestützten Prozessoptimierung im Vergleich zu Großkonzernen nicht mithalten zu können. Die beiden Technologieprojekte IIP Ecosphere und FabOS, die im Rahmen des KI-Innovationswettbewerbs vom BMWi gefördert werden, wollen diesen Firmen den Zugang zu KI-Anwendungen erleichtern.‣ weiterlesen

Emerson hat die Einführung der Software Plantweb Optics Data Lake bekanntgegeben. Die Datenmanagement-Lösung identifiziert, erfasst und kontextualisiert unterschiedliche Daten in großem Maßstab entweder vor Ort in industriellen Anlagen oder mithilfe von Cloud-Technologie.‣ weiterlesen

Im September 2021 erscheint die Richtlinie VDI/VDE 2185 Blatt 2 'Funkgestützte Kommunikation in der Automatisierungstechnik - Koexistenzmanagement von Funksystemen'. Wenn unterschiedliche Funksysteme bei Automatisierungsaufgaben unterstützen, ist mit einer gegenseitigen Beeinflussung der Systeme zu rechnen.‣ weiterlesen

Klare Sicht auf das Werksgeschehen und die Rückverfolgbarkeit von Produkten und Prozessen sind zunehmend wichtige Erfolgsfaktoren. Mit dem MES Valeris will WSW Software gerade mittelständischen Fertigern helfen, diese Ziele zu erreichen. Das System soll schnell und günstig einsatzfähig sein, konfiguriert wird es in Eigenregie.‣ weiterlesen

Unternehmen verwalten heute mehr als zehn Mal so große Datenmengen wie noch vor fünf Jahren. Dabei befürchteten 62 % der Befragten in einer aktuellen Untersuchung von Dell Technologies, ihre Maßnahmen zur Datensicherung könnten nicht ausreichend vor Malware-Attacken schützen. 74 % der Umfrageteilnehmer gaben zudem an, dass mit der steigenden Anzahl an Home-Office-Mitarbeitern das Risiko von Datenverlust ansteige.‣ weiterlesen

Der MES-Anbieter Proxia Software kapselt Funktionen seiner Software, um Anwendern mehr Flexibilität beim Cloud-Betrieb ihres Produktionssteuerungssystems zu ermöglichen. Eine Datenvorverarbeitung im sogenannten Fog Layer soll durch eine geringere Anzahl an Transaktionen für mehr IT-Sicherheit und reduzierte Transaktionskosten sorgen.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige