Bekannt aus

ANZEIGE: Home » Magazin » IT Sicherheit: Penetrationstests und Live Hacking

IT Sicherheit: Penetrationstests und Live Hacking

Bei der IT-Sicherheit vertrauen größere Unternehmen schon lange nicht mehr allein auf Virenscanner und Firewalls. Da Computerkriminalität jedoch ebenso Privatrechner wie sensible Daten von Behörden oder Gewerben jeder Größe treffen kann, sind Penetrationstests für jeden Client relevant. In der Praxis scheuen kleinere Unternehmen allerdings oft den Aufwand von Pen-Tests. Vielfach wird das allgegenwärtige Risiko eines Fremdzugriffs auf die eigenen Daten einfach nicht erkannt.


Fotolia © momius

Eigenen Sicherheitsabteilungen fehlt oft der innovative Blick von außen

In Unternehmen obliegt die Datensicherheit meist der IT-Abteilung, oft in Verbindung mit Datenschutzbeauftragten. Doch regelmäßige Vulnerability Scans und Security Scans mit manueller Verifikation werden durch Routine oft nicht mit der nötigen Aufmerksamkeit durchgeführt. Nicht jeder Administrator ist über die neuesten Sicherheitsrisiken auf dem Laufenden. Deshalb ist ein kritischer Profiblick von außen in regelmäßigen Abständen unerlässlich.

IT Security Services übernehmen die Hacker-Perspektive

Deshalb haben sich Anbieter für IT-Betreuung darauf spezialisiert, die Perspektive zu tauschen und sich in die Rolle eines virtuellen Angreifers hineinzuversetzen. Bei Pen-Tests geht es um die Identifikation von Schwachstellen in den Systemkomponenten, auch bei möglichen Intranets. Sicherheitslücken durch fehlerhafte Bedienung werden ebenso gesucht, wie technische und organisatorische Mängel. Ziel ist, die aufgedeckten potentiellen Sicherheitsmängel strukturell zu schließen und alle Beteiligten in ihrem Nutzerverhalten zu sensibilisieren, um künftige Risiken zu minimieren.

Kontrolliertes Unternehmens-Hacking nur in Absprache legal

Dies erfordert eine enge Absprache zwischen dem IT Security Service und dem zu testenden Unternehmen. Denn nicht autorisierte Angriffe auf die IT-Sicherheit gelten als Straftat. Ist festgelegt, welche Unternehmensbereiche mit welchen Methoden auf ihre Verwundbarkeit hin überprüft werden sollen, beginnt das Pen-Test Unternehmen zunächst mit der externen Analyse und technischen Vorbereitungen, die einige Zeit in Anspruch nehmen können.

Reale Angriffe, keine Schäden

Denn wie reale Hacker versucht der testende IT Security Service, möglichst verwertbare Informationen von außen zu erhalten, die bei der Infiltration des zu testenden Unternehmens gezielt genutzt werden können. Auf diese Analyse- und Konzeptionsphase folgen die realen Versuche, virtuell in die Unternehmens-IT vorzudringen. Bei den Pen-Tests werden modernste Eindringmethoden auch aus der realen Hacker Community genutzt, die solange legal sind, wie sie in gegenseitiger Absprache vorgenommen werden. Denn nur wenn der IT Security Service mit den neuesten Hacking-Entwicklungen vertraut ist, kann sich das Unternehmen gegen sie schützen. Bei Pen-Tests werden keine Daten verändert oder entwendet, meist sind Sicherheitsexperten des zu testenden Unternehmens direkt an den Überprüfungen beteiligt.

Evaluierung, um Sicherheitslücken zu schließen

Auf die Pen-Tests folgt deren analytische Auswertung und die Suche nach geeigneten Gegenmaßnahmen bei aufgefundenen Schwachstellen. Auch hier bieten externe Spezialisten ein hilfreiches Instrumentarium, über das konventionelle Systemadministratoren kaum verfügen. Oft geht es bei der IT Security nicht alleine um technische Lösungen. Auch organisatorische und strukturelle Fehlplanungen können die Ursache für Datendiebstal sein.

Risikofaktor Mensch als größte Schwachstelle

Die größte Schwachstelle für die Datensicherheit bleibt in den meisten Unternehmen ohnehin der Faktor Mensch. Fehlbedienungen, aufgeschriebene Passwörter, unbedachtes Öffnen von Dateien, Anhängen oder dubiosen Websites, infizierte USB-Sticks oder leichtfertige, frustrierte oder böswillige Mitarbeiter können ein technisch perfektes IT-Sicherheitssystem zu Fall bringen.

Live Hacking zur Sensibilisierung der Belegschaft

Um Mitarbeiter und die Führungsebene von Unternehmen für die vielfältigen Datenrisiken zu sensibilisieren, werden von IT Security Unternehmen deshalb immer wieder Live Hackings vorgeführt. Experten demonstrieren den verblüfften Beschäftigten dabei mit wenigen Klicks, wie ihre Handys aus der Distanz ausgelesen, Fotos gelöscht oder Passwörter geknackt werden können. Penetrationstests und Live Hacking befinden sich in einem ständigen Wettlauf mit den Innovationen der echten Schadsoftware. Pen-Tests können den geprüften Unternehmen zwar auch keine dauerhafte Datensicherheit bieten, doch sie erhöhen zumindest die Anforderungen für virtuelle Angreifer.