IT & Software·
business-on.de Redaktion
business-on.de Redaktion
·
16. November 2021

Ewan Fleischmann von Redlings: Sicherheit sensibler Unternehmensdaten – Schwachstellen mit Pentests aufdecken

Finden von Sicherheitslücken in der IT-Infrastruktur

Unternehmen arbeiten heute in immer größerem Umfang mit digitalen Anwendungen und nutzen ganz selbstverständliche Softwareprogramme und das Internet. So hilfreich beides für die Vereinfachung von Geschäftsprozessen ist, so groß ist auch das Risiko, dass Hacker mithilfe falsch konfigurierter Software, über nicht ausreichend geschützte Betriebssysteme, Webanwendungen, Systemdienste oder durch schwachen Firewall- oder Passwortschutz die Möglichkeit erhalten, in das unternehmenseigene IT-System einzudringen. Dort können sie Daten stehlen oder Schadprogramme platzieren, die das System teilweise oder sogar ganz lahmlegen. Hier braucht es effiziente Methoden, für mehr IT-Sicherheit zu sorgen.

Eine Möglichkeit der Vorbeugung sind Pentests, die auch als Penetrationstests bezeichnet werden. Unternehmen für IT-Sicherheit können diese Tests auf Wunsch und nach genauer Abklärung von Umfang, Zeitraum und Ablauf mit dem beauftragenden Unternehmen ausführen. Die Besonderheit bei Pentests liegt darin, dass die IT-Experten, die diese Tests durchführen, auf Hackerwissen zurückgreifen.

Ein Pentest kann innerhalb eines begrenzten Bereichs stattfinden, beispielsweise für die IT-Segmente WLAN, Cloud, Web Application oder Mobile & API. Auch ein szenariobasierter Pentest ist möglich. Am umfangreichsten ist ein externer & interner Penetrationstest, bei dem die IT-Experten versuchen, von außen und von innen Schwachstellen ausfindig zu machen und diese zu nutzen, um in die IT-Infrastruktur des Unternehmens einzudringen.

Vorgehensweise bei Pentests

Die IT-Experten, die solche Tests anbieten, sind Spezialisten auf dem Gebiet der IT-Sicherheit und können den gesamten Prozess vom ersten Gespräch bis zur Präsentation der Pentest-Ergebnisse und der sich aus ihnen ergebenden Empfehlung geeigneter Schutzmaßnahmen übernehmen. Für die Umsetzung neuer Sicherheitsmaßnahmen ist allerdings das beauftragende Unternehmen verantwortlich.

Penetrationstest: Vorbereitung gibt Rechtssicherheit

Die detaillierte Vorbereitung eines solchen Tests ist von großer Bedeutung, denn es gilt nicht nur festzulegen, welche Bereiche der Unternehmens-IT untersucht werden sollen, welche Methoden die IT-Experten verwenden und wie tief sie ins System eindringen dürfen. Darüber hinaus muss sichergestellt sein, dass nur Komponenten (Tools, Software) kontrolliert werden, an denen das Unternehmen auch tatsächlich sämtliche Rechte besitzt. Andernfalls können rechtliche Probleme auftauchen.

Das beauftragende Unternehmen muss dem Pentest mit allen vereinbarten Details explizit zustimmen, was meist mithilfe eines Vertragswerkes geschieht. Auf diese Weise haben beide Parteien größtmögliche Rechtssicherheit.

Schwachstellen identifizieren

In einem ersten Schritt versuchen die IT-Experten möglichst viele Informationen über das von ihnen zu testende IT-System zu sammeln. Vor allem technische Details stehen dabei im Fokus. Es geht darum, herauszufinden, wie sicher interne oder auch über das Internet erreichbare Adressen bzw. Adressbereiche sind. Der Tester prüft, ob es Hinweise auf Schwachstellen gibt.

Dabei soll geklärt werden, wie weit eine externe Attacke über das Internet vordringen kann, wie effizient die Firewall ist, ob die Umgebung für Remote-Working sicher ist und welche Folgen es haben könnte, wenn ein Hacker beispielsweise einen Web-Server in der unternehmenseigenen DMZ kompromittieren könnte. Interessant ist darüber hinaus, wie groß die Gefahr bei Kompromittierung eines Benutzerclient wäre oder welche Möglichkeiten sich für einen Angreifer ergeben, falls es einem Angreifer sogar gelingt, ein mobiles Endgerät an einen internen Netzwerk-, LAN- oder VoIP-Anschluss anzuschließen.

Sicheres Ausnutzen von Schwachstellen

Ein wesentlicher Aspekt beim Pentest ist das sichere Ausnutzen entdeckter Schwachstellen. Der IT-Testexperte kann durch die Nutzung der Schwachstelle feststellen, wie weit ein Angreifer im Ernstfall in die IT-Infrastruktur eines Unternehmens vordringen und welche Daten oder interne Systeme dadurch für ihn zugänglich wären.

Das Hauptziel eines Pentests besteht also darin, eine Messung hinsichtlich der Durchführbarkeit einer Kompromittierung von Systemen oder auch Endnutzern vorzunehmen. Die Ergebnisse des Tests bilden dann die Basis, um die Folgen bzw. die wirtschaftlichen Schäden zu bewerten, die sich durch die Kompromittierung für besonders kritische Geschäftsprozesse und damit für das gesamte Unternehmen ergeben könnten.

Pentests als Grundlage einer IT-Sicherheitsstrategie
Aufgrund der sich schnell entwickelnden Technologien und weil die Akteure im Bereich der Cyber-Kriminalität immer raffiniertere Methoden anwenden, um IT-Sicherheitsmaßnahmen auszuhebeln, braucht es heute mehr, als nur starke Passwörter. Das Thema der IT-Sicherheit sollte in der Unternehmensleitung angesiedelt werden und dadurch oberste Priorität erlangen.

Die jeweils zuständigen Personen müssen eine umfassende Strategie in Sachen IT-Sicherheit entwickeln, die die verschiedenen Bereiche miteinander vernetzt und für höhere Effizienz sorgt. Regelmäßig durchgeführte Pentests können bestehende Sicherheitsrisiken aufzeigen und dadurch als Basis bei der eventuell notwendigen Neuausrichtung der IT-Sicherheit fungieren.

Aktive und passive IT-Sicherheitsvorkehrungen, z. B. zentral vergebene Passwörter, abgestufte Zugriffsberechtigungen, Firewalls und ähnliche Maßnahmen müssen wie Zahnräder ineinandergreifen und sozusagen eine Mauer bilden, die von keinem Hacker mehr durchdrungen werden kann. Pentests als Kontrolle der Effizienz der entwickelten IT-Sicherheitsstrategie sind dabei kleine, aber immens wichtige Komponenten.

Ewan Fleischmann, Geschäftsführer von Redlings GmbH aus Mannheim.

Bildquellen:
    Teilen:
    Weitere Artikel
    Künstlersozialkasse verstehen: Wer versichert ist und was die KSK leistet
    Business
    Künstlersozialkasse verstehen: Wer versichert ist und was die KSK leistet

    Die Künstlersozialkasse ist für viele Selbstständige in Musik, Kunst, Medien und Publizistik ein zentraler Baustein der sozialen Absicherung. Ihr besonderer Stellenwert liegt darin, dass sie selbstständige Künstler und Publizisten in die gesetzliche Sozialversicherung einbindet, ohne dass diese den gesamten Beitrag allein tragen müssen. Gerade für Berufsgruppen mit schwankenden Honoraren, projektbezogener Arbeit und unregelmäßigem Arbeitseinkommen macht das einen erheblichen Unterschied. Zugleich ist das Thema rechtlich anspruchsvoll. Wer in den Kreis der Versicherten fällt, entscheidet sich nicht nach Bauchgefühl oder Berufsbezeichnung, sondern nach der tatsächlichen Tätigkeit, der wirtschaftlichen Ausrichtung und den Voraussetzungen des Künstlersozialversicherungsgesetzes. Deshalb lohnt ein genauer Blick auf Aufbau, Leistungen und Systematik der Künstlersozialversicherung. Was die Künstlersozialkasse eigentlich macht

    Lesen
    Fachkräftemangel in Versicherungen: Wie die Branche gegensteuert
    Arbeitsleben
    Fachkräftemangel in Versicherungen: Wie die Branche gegensteuert

    Gegen den Fachkräftemangel setzt die Versicherungsbranche auf ein Bündel von Maßnahmen von der Ausbildungsoffensive über Employer Branding und Weiterbildung bis zur gezielten Direktansprache durch spezialisierte Personalberater. Denn erfahrene Fachkräfte gehen in Rente, während Digitalisierung und Regulatorik neue Spezialkompetenzen verlangen. Wie gravierend die Lage insgesamt ist, zeigt ein Forschungsbericht des Instituts für Arbeitsmarkt- und Berufsforschung (IAB): 40,2 Prozent aller Betriebe in Deutschland meldeten im ersten Halbjahr 2022 einen Fachkräftebedarf ein Höchststand. 61,3 Prozent erwarteten Personalprobleme in den folgenden zwei Jahren, und rund 45 Prozent aller angebotenen Fachkräftestellen konnten 2022 deutschlandweit nicht besetzt werden. Für die Assekuranz ist das mehr als eine Randnotiz. Wer heute einen Aktuar, einen erfahrenen Underwriter oder einen IT-Architekten sucht, konkurriert in einem Markt, in dem qualifizierte Kandidaten kaum aktiv auf Jobsuche sind. Genau hier setzt spezialisiertes Recruiting an: Eine Headhunter Versicherung erreicht Schlüsselkräfte, die über klassische Stellenanzeigen praktisch nicht mehr ansprechbar sind.

    3 Min. LesezeitLesen
    Leoba Liftsysteme: Wie ein Fachbetrieb von der Schwäbischen Alb das Wohnen im Alter neu denkt
    Lifestyle
    Leoba Liftsysteme: Wie ein Fachbetrieb von der Schwäbischen Alb das Wohnen im Alter neu denkt

    Die Leoba Liftsysteme GmbH aus Mössingen ist ein regionaler Spezialist für Treppenlifte, Plattformlifte und Hebebühnen und damit für Lösungen, die Menschen ein selbstständiges Leben im eigenen Zuhause ermöglichen können. Vor dem Hintergrund des demografischen Wandels, des Fachkräftemangels in der Pflege und steigender Immobilienpreise gewinnt das Thema „Wohnen im Alter" zunehmend an Bedeutung auch wirtschaftlich. Wer im vertrauten Umfeld bleiben möchte, braucht praktikable Lösungen, die Sicherheit und Selbstständigkeit erhalten. Ein Portrait über Leoba Liftsysteme, einen Fachbetrieb, der nah am Lebensalltag seiner Kundinnen und Kunden agiert. Leoba Liftsysteme: Ein Fachbetrieb mit Wurzeln auf der Schwäbischen Alb Der Sitz der Leoba Liftsysteme GmbH liegt in Mössingen, eingebettet in die Landschaft der Schwäbischen Alb. Von dort aus betreut das Unternehmen Privatkundinnen und Privatkunden in Tübingen, Reutlingen, Stuttgart und der weiteren Region ebenso werden auch hochwertige Treppenlifte in Balingen geplant und installiert. Wer das Portfolio betrachtet, erkennt schnell: Leoba Liftsysteme versteht sich nicht als reiner Produktverkäufer, sondern als Anbieter individueller Mobilitätslösungen für das Zuhause. Sitzlifte, Plattformlifte, Rollstuhllifte, Senkrechtlifte und Hebebühnen bilden ein breites Sortiment, das auf unterschiedliche Wohnsituationen, Treppenformen und körperliche Voraussetzungen zugeschnitten wird.

    4 Min. LesezeitLesen
    Zur Startseite