Datenklau, Hacker & Cyber-Crime: Welchen Schutz bietet ein Penetration Tester?

Es gibt für Unternehmen in unserem technisch so fortschrittlichen Zeitalter mit zunehmender Digitalisierung und Automatisierung kaum ein größeres Risiko als einen Hackerangriff, ausgeführt von professionellen Cyber-Kriminellen. Deshalb suchen die Unternehmen nach effektiven Methoden, um Datenklau zu verhindern und sich so vor Erpressung oder Sabotage zu schützen. Welchen Schutz dabei ein Penetration Tester bieten kann, erläutert dieser Beitrag.

Steigende Zahl von Hackerangriffen auf Unternehmen

Laut dem Bundesamt für Sicherheit in der Informationstechnik wächst die Zahl der Cyber-Attacken auf Unternehmen fast täglich und nicht nur große Konzerne sind das Ziel solcher Angriffe, sondern vermehrt kleine und mittlere Unternehmen. Dies ist der Tatsache geschuldet, dass diese Unternehmen erstens sehr häufig Eigentümer wichtiger Entwicklungen sind und zweitens nicht über genügend Budget verfügen, um ihre IT-Infrastruktur ausreichend zu schützen.

Ein Hackerangriff auf kleine und mittlere Unternehmen (KMUs) ist also sehr oft lohnenswert, denn der Diebstahl sensibler Daten zu geistigem Eigentum verspricht sehr hohe Gewinne. Ein ebenfalls immer häufiger verfolgtes Ziel sind Sabotageakte mittels Schadsoftware, entweder zum Zweck der Erpressung von „Lösegeld“ für die Freigabe blockierter Systeme oder sogar mit terroristischer Intention. Um solche Attacken zu verhindern, ist es notwendig, vorhandene oder potenzielle Schwachstellen in der unternehmenseigenen IT-Infrastruktur zu identifizieren. Das gelingt beispielsweise durch sogenannte Penetrationstests.

Penetration Test - Hacker-Attacke unter vereinbarten Bedingungen

Unter einem Penetrationstest versteht man, dass ein Penetration Tester und damit ein geschulter IT-Sicherheitsexperte mit umfangreichem Hacker-Wissen versucht, Schwachstellen im Unternehmensnetzwerk ausfindig zu machen und sie zu nutzen, um möglichst weit einzudringen. Die Methoden der Cyber-Kriminellen werden immer raffinierter und komplexer, sodass es selbst für IT-Experten zunehmend schwieriger wird, ihre Angriffe überhaupt frühzeitig aufzudecken. Unternehmen wie die von Dr. Ewan Fleischmann haben sich auf die Durchführung solcher Penetrationstests spezialisiert und helfen Unternehmen dabei, sich besser vor solchen Angriffen zu schützen.

Ein Penetrationstest findet in einem geschützten Rahmen statt, denn wichtige Details wie etwa der Umfang des Penetration Tests, seine Dauer, die Benennung der ausführenden Experten, die Klärung der Eigentumsrechte von verwendeten Tools oder Diensten sowie weiterer Rahmenbedingungen werden im Vorfeld zwischen dem beauftragenden und dem durchführenden Unternehmen schriftlich fixiert.

Besonderheiten beim Penetrationstest

Wer seine IT-Infrastruktur testen lassen möchte, der kann festlegen, ob er einen umfangreichen Netzwerktest wünscht oder ob nur einzelne Bereiche getestet werden sollen, z. B. die verwendete Cloud oder die API & Website-Application. Unternehmen können auch einen Penetration Test beauftragen, der testet, inwieweit Social Engineering als Taktik von den Hackern genutzt wird.

Ein Penetrationstest kann zudem angekündigt werden oder auch ohne vorheriges Wissen der IT-Verantwortlichen des Unternehmens. Wird er ohne Ankündigung durchgeführt, hat die Unternehmensleitung die Möglichkeit, die Attacke sozusagen in Echtzeit zu verfolgen und erhält wichtige Informationen, wie effizient die bisherigen Sicherheitsvorkehrungen sind und wie effektiv die IT-Experten in einer solchen Situation agieren.

Als Verantwortlicher kann man zudem bestimmen, welche Informationen der Penetration Tester vor dem Beginn des Tests bezüglich des Unternehmensnetzwerks erhält. Je nach Umfang der weitergegebenen Informationen wird der Penetration Test dann bezeichnet:

• als Black-Box-Penetration Test (ohne Informationen für den Tester)
• als Grey-Box Penetration Test (wenige Informationen werden weitergegeben)
• als White-Box Penetration Test (mit Weitergabe aller wichtigen Informationen)

Was einen kompetenten Penetration Tester ausmacht

Beim ausführenden Tester liegt eine große Verantwortung, denn er versucht, in ein fremdes System einzudringen. Dabei kann er natürlich auf sehr sensible Daten stoßen, die ihm dann bekannt sind. Da einer alten Weisheit gemäß Kontrolle besser ist als Vertrauen, sollte das beauftragende Unternehmen auf eine Verschwiegenheitserklärung bestehen, die aber meist auch vom Tester selbst angefragt wird. Durch eine solche sind beide Seiten geschützt.

Nach dem Abschluss eines Penetrationstests zeichnet sich ein kompetenter Pentester auch dadurch aus, dass er alle durch den Test entstandenen „Rückstände“ restlos beseitigt und das von ihm kompromittierte System wieder in den Zustand versetzt, in dem es vor dem Test war. Darüber hinaus wird er einen Bericht erstellen, in dem er sämtliche von ihm identifizierte Schwachstellen benennt und Hinweise gibt, wie man die entdeckten Schlupflöcher effizient schließen könnte. Allerdings gehört es nicht zu seinen Aufgaben als Tester, die Schwachstellen selbst zu beseitigen. Dafür zeichnet das beauftragende Unternehmen verantwortlich.

Pentester macht mit seinem Penetrationstest den ersten Schritt

Indem der Tester vorhandene oder potenzielle Schwachstellen identifiziert und aufzeigt, wie weit ein Hacker bei einer echten Attacken in die IT-Infrastruktur eindringen könnte, gibt er dem Unternehmen einen ersten, wichtigen Impuls, weitere Schritte zu unternehmen. Viele, vor allem kleine und mittlere Unternehmen, haben das Thema Cyber-Sicherheit aus unterschiedlichsten Gründen bisher eher nebenbei bearbeitet.

Die Ergebnisse, die der Penetration Tester durch seine Arbeit erbringt, sollten vom Unternehmen dazu genutzt werden, aktive oder passive Sicherheitsmaßnahmen zu ergreifen. Das kann eine Verstärkung der Firewalls, der Erwerb eines Password-Management-Systems oder eine Schulung der Mitarbeitenden zum Themenkomplex des Phishings sein. Wichtig ist, dass ein Gesamtkonzept für die IT-Sicherheit entwickelt und das Thema möglichst weit oben in der Unternehmenshierarchie angesiedelt wird.

Fazit: Penetration Tester als wichtige Komponente in Sachen Cyber-Sicherheit

Die Sicherung des eigenen IT-Netzwerkes sollte für jedes Unternehmen im Mittelpunkt stehen. Ein erfolgreicher Hacker-Angriff kann nicht nur hohe finanzielle Schäden verursachen, sondern das Unternehmen auch seine Reputation und damit Kunden kosten. Ein Penetration Tester zeigt Schwachstellen im System auf, die das Unternehmen dann schließen kann.