Blog

Sicherheit oder Scheinsicherheit durch Vulnerability Scans?

Das Grüne Schild rechts unten in der Taskleiste, der animierte Haken im Updateverlauf: Das gestiegene Bewusstsein in Punkto IT-Sicherheit ist längst im Mainstream angekommen – sowohl bei Konsumenten als auch im professionellen Bereich. Doch wie belastbar ist diese vermeintliche Sicherheit?

Status Grün: Penetration Testing macht den Unterschied.

Es gilt als vollkommen normal, sich auf die Statusmeldungen der eingesetzten Antivirensoftware zu verlassen. Doch vor allem im professionellen IT-Bereich ist der Trend des grünen Status besorgniserregend: Immer mehr Unternehmen vertrauen darauf, dass Updates von Herstellern zusammen mit einer namhaften Appliance sie vor der feindlichen Übernahme schützen. Auf diese Weise wird Hackern eine hohe Angriffsfläche überlassen: Denn ohne Prophylaxe behandelt man immer nur Symptome, nie die Ursache.

Unternehmenslenker, IT-Strategen und Betriebsverantwortliche scheuen Penetration Tester aus validen Gründen: Es ist unangenehm, sich wirklich genau untersuchen zu lassen. Der eigene Status Quo wird in Frage gestellt. Wenn ein Team aus jungen IT-Experten die Systeme eines Weltkonzerns in weniger als einer Stunde offenlegt – wer möchte da gegenüber seinem Vorgesetzten die Hand ins Feuer legen?

Doch die Zeiten ändern sich. Auch durch die weltweite Covid-19 Pandemie und die Entwicklung zu einer Welt, in der gegebene Sicherheiten noch am selben Tag zur Vergangenheit werden können, realisieren Unternehmen jeder Größe, dass es den sicheren Ist-Zustand nicht mehr gibt – er muss immer wieder auf die Probe gestellt werden. Genau deshalb schlägt in 2021 die Stunde des professionellen, strategischen PenTestings. Erfahrene Experten, die wissen, wie Hacker und Erpresser ticken, können jetzt den entscheidenden Unterschied machen.

Zunächst gilt es, die Art der Prüfung gemeinsam festzulegen. Es sollte nicht um das Herausfinden von Fehlern, Unzulänglichkeiten oder einem Mangel an Kompetenz gehen – sondern um ein konsequentes Lernen aus der Partnerschaft zwischen IT-Strategen und Pentestern. Dies kann auf verschiedene Art und Weise geschehen: Von der konsequenten Absicherung der eigenen Security- und Resilience Strategie bis hin zur gemeinsamen Fortbildung des eigenen Personals ist hier die Planung schon die halbe Success Story. Das Ziel sollte dabei sein, das eigene Unternehmen zu befähigen, bereits in der Planungsphase neuer IT-Systeme die unter anderem auch von gesetzlicher Seite geforderten Privacy-by-Design zu erfüllen. 

In den nächsten Schritten der Vorbereitung werden Scope, Inhalte und Zeiträume sowie das Einbeziehen von Stakeholdern und Ansprechpartnern geklärt. Bereits hier kann der Rückhalt in der eigenen Organisation gestärkt werden und die Verankerung des Wissenstransfers strukturiert gelingen. Nicht nur IT-Experten, auch Architekten und Anwendungsentwickler sind aufgerufen, zu partizipieren. Den höchsten Nutzen erreichen Unternehmen, wenn sie auch Bereiche mit einbeziehen, die bisher nicht zur IT gezählt wurden: Produktentwicklung, Fertigung, Support und Kundenservice sind heute ohne IT oft nur noch Hüllen, welche durch die Entmechanisierung von Kundenprodukten hin zu digitalen Produktportfolios einen hohen Abhängigkeitsgrad zur Informationstechnologie aufweisen.

In der Durchführung gilt es zunächst, den Business-Kontext des Unternehmens und damit den wirtschaftlichen Wert, die Stellung sowie die Lieferketten zu betrachten. Alles, was ein Hacker von außen erkennen und wahrnehmen kann, ist das erste Ziel eines Angriffs – der Webshop, das Kundenportal oder das Onlinebanking. Bereits hier sind IT-Strategen und IT-Betrieb gemeinsam gefordert: Die hohe Anzahl von Web Applikationen, Cloud Services und hybriden Netzwerkstrukturen müssen ganzheitlich untersucht und weiterentwickelt werden. Jede Schwachstelle ist eine Chance – nicht nur für die Optimierung der Technik, sondern für eine strategische Positionierung gegenüber Markt und Wettbewerb.

Es gibt nichts Gutes, außer man tut es – darum sind wir Ihr starker Partner, der nach einem PenTest gemeinsam mit anpackt. Unsere Experten haben jahrzehntelange Erfahrung in der Nachbereitung von Auditberichten, der Ableitung technischer und organisatorischer Maßnahmen sowie der Umsetzung von Anforderungen an die IT. Ganz gleich ob Rechenzentrum, Desktop Services, Web Applications oder Cloud: Wenn es um das Doing geht, bringen wir unser umfassendes Knowhow ein und helfen Unternehmen dabei, die strategische Optimierung zukünftig auch aus eigener Kraft zu erreichen. 

Bei Ventum Consulting sind wir uns sicher: Abwarten ist das höchste Risiko. Vulnerabilities wie ShellShock, BlueKeep und EternalBlue, sind der Beweis dafür, dass das Aufschieben von Sicherheitsmaßnahmen Unternehmen die Existenz kosten kann!

Unser Experte für Sie

Michael
Schobel-Thoma
Manager und Experte für Information Security & Compliance

Autor

Daniel Querzola

Ehemaliger Manager bei Ventum Consulting und Experte für Cybersecurity

Nach oben scrollen