Warum Cyber Security Ethical Hacking braucht
Externe Fachleute, sogenannte Ethical Hacker oder auch White Hats, können Penetration-Tests durchführen, um die Verwundbarkeit der IT eines Unternehmens auf den Prüfstand zu stellen und die Cyber Security zu erhöhen. Doch viele Organisationen scheuen Aufwand und Kosten. Sechs Argumente, die für das Penetration-Testing sprechen.
Viele Unternehmen haben die Relevanz von Cyber Security erkannt. Denn grundsätzlich kann heute jedes Unternehmen zum Ziel eines Cyberangriffs werden – etwa durch Ransomware, die im Rahmen eines Erpressungsversuchs Unternehmensdaten verschlüsselt. Gerade diese Form von Cyberangriffen wird in der Regel breit gestreut: Statt ein spezifisches Unternehmen ins Visier zu nehmen, warten die Angreifer einfach ab, in welcher Organisation ihre Phishing-E-Mail zum Erfolg führt. Externe Fachleute, sogenannte Ethical Hacker oder auch White Hats, können Penetration-Tests durchführen, um die Verwundbarkeit der IT eines Unternehmens auf den Prüfstand zu stellen. Aber viele Organisationen, ob privatwirtschaftlich oder öffentlich, scheuen den Aufwand und die Kosten. Dabei lassen sich nur durch geeignete Pentests so viele Angriffsvektoren wie möglich identifizieren, um sie zu verschließen, bevor Cyberkriminelle sie ausnutzen können. Um die Cyberresilienz einer Organisation auf ein solides Niveau zu heben, ist Ethical Hacking unverzichtbar. Im Folgenden sechs Argumente, warum Penetration-Tests für Unternehmen sinnvoll sind.
Argument 1: Externes Pentesting identifiziert Sicherheitslücken
Leider sehen Budgetverantwortliche nicht immer ein, dass ihr IT-Administrationsteam in Sachen Cyber Security Unterstützung benötigt. Mitunter herrscht im Management die Auffassung, Pentests seien etwas, dass die Administrator:innen nebenher miterledigen könnten. Das können sie nicht. Dafür gibt es gute Gründe. Die Aufgabe der IT-Administration ist es, für den reibungslosen Betrieb der IT in der Organisation zu sorgen. Hier kennen sich die IT-Fachleute des Unternehmens auch exzellent aus. Die Expertise von Ethical Hackern ist naturgemäß genau entgegengesetzt: Sie decken Wege auf, die es ermöglichen können, die Unternehmens-IT zu zerstören. Zudem sind Cybersicherheit und Ethical Hacking Wissensfelder, die sich extrem schnell wandeln und weiterentwickeln. So können Pentester und Pentesterinnen ihren Wissensvorsprung nur sichern, weil sie hochspezialisiert sind und sich täglich mit ihrem Thema beschäftigen.
Argument 2: Den Maschinecode analysieren können
Während es IT-Administrator:innen mit der Betriebsebene einer Software zu tun haben, beschäftigen sich Ethical Hacker mit dem Programmcode. Gegebenenfalls wenden Pentester und Pentesterinnen auch Reverse Engineering an, bei dem sie die Programmdateien zur Laufzeit analysieren und ihr Verhalten beobachten. Dazu ist es natürlich nötig, den Binär- beziehungsweise Maschinencode des Programms zu verstehen. Administrator:innen können das in der Regel nicht, da es gar nicht in ihrem Aufgabenbereich liegt. Ethical Hacker sind so auch in der Lage, undokumentierte Funktionalitäten zu finden, die nicht vorhersehbar waren, aber potenzielle Angriffsvektoren darstellen. Dies können beispielsweise Testmethoden sein, die ein Softwareentwickler oder eine Softwareentwicklerin zum Debugging genutzt und irrtümlich im Programm hinterlassen haben. Daher ist Cyber Security ein Spezialgebiet, bei dem sehr viel Know-how durch den täglichen Umgang mit dem Thema entsteht.
Argument 3: Ein internes Red Team kann Kosten für Cyber Security reduzieren
Wenn ein Unternehmen groß genug ist, kann es sich unter Umständen lohnen, das Ethical Hacking inhouse zu organisieren. Dazu baut das Unternehmen ein eigenes, dediziertes Red Team für mehr oder minder kontinuierliche Pentests auf. Dann steht den Angreifern im Red Team oft ein dediziertes Blue Team mit den Verteidigern gegenüber. Für das eigene Red Team muss ein Unternehmen in der Regel mindestens zwei bis drei Pentester in Vollzeit engagieren – je nach Unternehmensgröße auch mehr. Somit ist ein internes Red Team in großen Unternehmen auf Dauer die wohl kostengünstigere Lösung in Sachen Cyber Security. Sie hat aber den Nachteil, dass dem eigenen Red Team über kurz oder lang eine gewisse Betriebsblindheit droht. Der Vorzug externer Ethical Hacker ist daher meist, dass sie beim Pentesting einen frischen Blick mitbringen – in Gestalt wertvoller Erfahrung aus zahlreichen anderen Unternehmen und Organisationen mit entsprechend vielfältigen IT-Strukturen.
Argument 4: Die unverzichtbaren Pentests gehören enttabuisiert
In manchen Unternehmen gibt es allerdings immer noch eine Tendenz, Ethical Hacking zu tabuisieren. Konsequentes Pentesting scheitert dann bereits an der Sorge, die Tatsache, dass das Unternehmen überhaupt solche Tests durchführen lässt, könne an die Öffentlichkeit gelangen – und dem Image schaden. Dabei hilft es einem Unternehmen in keiner Weise, das Thema Cyber Security mit Tabus zu belegen. Im Gegenteil: IT-Sicherheit ist im Zeitalter der allgemeinen Digitalisierung eine Herausforderung, der sich sämtliche Unternehmen stellen müssen, vom mittelständischen Maschinenbauer bis zum IT-Giganten wie Google. Als Unternehmen zu zeigen, dass man das Thema IT-Sicherheit angemessen adressiert, hilft dem Image weit mehr, als dass es schaden könnte. Durch Ethical Hacking demonstriert eine Organisation ihren Willen, ihre Cyberresilienz zu stärken.
Argument 5: Auch ISO 27001 und TISAX fordern Penetration-Tests für mehr Cyber Security
Generell wächst das Verständnis für Penetration-Tests. So fordern auch Normen wie ISO 27001, die das Informationssicherheits-Managementsystem (ISMS) zum Inhalt hat, sowohl anlassbezogene Sicherheitsüberprüfungen bei Veränderungen in der eigenen IT als auch turnusmäßige Prüfungen. Entsprechend sind für eine Zertifizierung gemäß ISO 27001 in jedem Fall regelmäßige Pentests nötig. Außerdem findet die ISO 27001 im Automotive-Bereich ihr Pendant im „Trusted Information Security Assessment Exchange“ (TISAX). TISAX ist ein branchenspezifischer ISMS-Standard des Verbands der Automobilindustrie (VDA). Auch eine TISAX-Zertifizierung erfordert Penetration-Tests.
Argument 6: Richtig ausgelegte Pentests wirken
Wenn Sie sich für eine Sicherheitsüberprüfung mithilfe von Ethical Hacking entscheiden, setzt das in jedem Fall ein positives Zeichen. Allerdings will die Ausgestaltung des Tests wohlüberlegt sein. Bei der Auswahl geeigneter Pentester und Pentesterinnen empfiehlt es sich, nicht nur deren theoretische Zertifizierungen zu betrachten, sondern besonderen Wert auf ihre Praxiserfahrung zu legen. Wichtig ist zudem, den Scope des Tests nicht künstlich zu beschränken – etwa indem Legacy-Systeme ausgeklammert werden. Schließlich käme kein Angreifer auf die Idee, noch im Betrieb befindliche Legacy-Systeme als potenzielle Angriffsvektoren auszuschließen, im Gegenteil.
Zudem ist bei Pentests zwischen Whitebox- und Blackbox-Ansätzen zu wählen. Bei ersterem stehen den Ethical Hackern bereits Informationen, Daten oder Quellcodes zur Verfügung. Solch ein Whitebox-Test empfiehlt sich etwa, wenn man gezielt ermitteln möchte, wie es um die Sicherheit einer völlig neuen Anwendung bestellt ist. Dagegen kann ein Blackbox-Ansatz beispielsweise in unabhängigen Folgeprüfungen ratsam sein, wenn der Scope bereits gründlich im Whitebox-Verfahren geprüft wurde und die Organisation schon entsprechende Sicherheitsmaßnahmen getroffen hat. Zwischen diesen beiden Extremen sind selbstverständlich unterschiedlichste Abstufungen möglich.
Abschließend lässt sich feststellen: Ethical Hacking ist aus dem Werkzeugkasten für die Cyber Security von Unternehmen und Organisationen nicht mehr wegzudenken. Dabei dokumentieren Pentests das Engagement in Sachen Cyberresilienz nicht nur gegenüber Zertifizierungseinrichtungen, sondern auch gegenüber der Öffentlichkeit und interessierten Stakeholdern. Es ist höchste Zeit, dass Unternehmen endgültig mit dem unsinnigen Tabu rund um Penetration-Tests brechen und ihr Engagement für Cyberresilienz offensiv kommunizieren. Denn ein gut gemachter Pentest ist immer etwas Sinnvolles.
Dieser Artikel von Michael Niewöhner ist auch in der Funkschau erschienen.
Unser Experte für Sie
Autor
Michael Niewöhner
Ehemaliger Manager bei Ventum Consulting und Experte für Cybersecurity
