Scheinsicherheit durch Vulnerability Scans: Warum der Verzicht auf PenTesting Milliarden kostet

Das Grüne Schild rechts unten in der Taskleiste, der animierte Haken im Updateverlauf: Das gestiegene Bewusstsein in Punkto IT-Sicherheit ist längst im Mainstream angekommen – sowohl bei Konsumenten als auch im professionellen Bereich. Doch wie belastbar ist diese vermeintliche Sicherheit?

 

Status Grün: Penetration Testing macht den Unterschied.

Es gilt als vollkommen normal, sich auf die Statusmeldungen der eingesetzten Antivirensoftware zu verlassen. Doch vor allem im professionellen IT-Bereich ist der Trend des grünen Status besorgniserregend: Immer mehr Unternehmen vertrauen darauf, dass Updates von Herstellern zusammen mit einer namhaften Appliance sie vor der feindlichen Übernahme schützen. Auf diese Weise wird Hackern eine hohe Angriffsfläche überlassen: Denn ohne Prophylaxe behandelt man immer nur Symptome, nie die Ursache.

Unternehmenslenker, IT-Strategen und Betriebsverantwortliche scheuen Penetration Tester aus validen Gründen: Es ist unangenehm, sich wirklich genau untersuchen zu lassen. Der eigene Status Quo wird in Frage gestellt. Wenn ein Team aus jungen IT-Experten die Systeme eines Weltkonzerns in weniger als einer Stunde offenlegt – wer möchte da gegenüber seinem Vorgesetzten die Hand ins Feuer legen?

Doch die Zeiten ändern sich. Auch durch die weltweite Covid-19 Pandemie und die Entwicklung zu einer Welt, in der gegebene Sicherheiten noch am selben Tag zur Vergangenheit werden können, realisieren Unternehmen jeder Größe, dass es den sicheren Ist-Zustand nicht mehr gibt – er muss immer wieder auf die Probe gestellt werden. Genau deshalb schlägt in 2021 die Stunde des professionellen, strategischen PenTestings. Erfahrene Experten, die wissen, wie Hacker und Erpresser ticken, können jetzt den entscheidenden Unterschied machen.

Weit mehr als nur ein Vulnerability Scan - eine Analyse mit Hand und Fuß.

Zunächst gilt es, die Art der Prüfung gemeinsam festzulegen. Es sollte nicht um das Herausfinden von Fehlern, Unzulänglichkeiten oder einem Mangel an Kompetenz gehen – sondern um ein konsequentes Lernen aus der Partnerschaft zwischen IT-Strategen und Pentestern. Dies kann auf verschiedene Art und Weise geschehen: Von der konsequenten Absicherung der eigenen Security- und Resilience Strategie bis hin zur gemeinsamen Fortbildung des eigenen Personals ist hier die Planung schon die halbe Success Story. Das Ziel sollte dabei sein, das eigene Unternehmen zu befähigen, bereits in der Planungsphase neuer IT-Systeme die unter anderem auch von gesetzlicher Seite geforderten Privacy-by-Design zu erfüllen.

In den nächsten Schritten der Vorbereitung werden Scope, Inhalte und Zeiträume sowie das Einbeziehen von Stakeholdern und Ansprechpartnern geklärt. Bereits hier kann der Rückhalt in der eigenen Organisation gestärkt werden und die Verankerung des Wissenstransfers strukturiert gelingen. Nicht nur IT-Experten, auch Architekten und Anwendungsentwickler sind aufgerufen, zu partizipieren. Den höchsten Nutzen erreichen Unternehmen, wenn sie auch Bereiche mit einbeziehen, die bisher nicht zur IT gezählt wurden: Produktentwicklung, Fertigung, Support und Kundenservice sind heute ohne IT oft nur noch Hüllen, welche durch die Entmechanisierung von Kundenprodukten hin zu digitalen Produktportfolios einen hohen Abhängigkeitsgrad zur Informationstechnologie aufweisen.

In der Durchführung gilt es zunächst, den Business-Kontext des Unternehmens und damit den wirtschaftlichen Wert, die Stellung sowie die Lieferketten zu betrachten. Alles, was ein Hacker von außen erkennen und wahrnehmen kann, ist das erste Ziel eines Angriffs – der Webshop, das Kundenportal oder das Onlinebanking. Bereits hier sind IT-Strategen und IT-Betrieb gemeinsam gefordert: Die hohe Anzahl von Web Applikationen, Cloud Services und hybriden Netzwerkstrukturen müssen ganzheitlich untersucht und weiterentwickelt werden. Jede Schwachstelle ist eine Chance – nicht nur für die Optimierung der Technik, sondern für eine strategische Positionierung gegenüber Markt und Wettbewerb.

Mit sechs aufeinander abgestimmten Schritten stellen wir sicher, dass Stakeholder, Fachbereiche und Management optimal in den Prozess des Penetration Testing integriert werden. Gemeinsam planen wir ein maßgeschneidertes Vorgehen, bei dem Sie jederzeit über volle Transparenz verfügen.

Nachhaltige Sicherheit: Security by Design durch optimalen Knowhow-Transfer.

Durch ein umfassendes Berichtswesen, welches nicht nur auf eine rein textuelle oder technische, sondern architekturbasierte Ausarbeitung von Empfehlungen abzielt, werden mehrere Aspekte auf einmal adressiert:

  • Anforderungen der Transparenz und der Weiterentwicklung von IT-Infrastrukturen und Applikationen gemäß geltenden Normen und Frameworks
  • Analyse der Resilienz gemäß den Informationsbedarfen geltender Haftpflicht-, Unternehmens- und Cyber-Versicherungen
  • Verifikation von Verarbeitungstätigkeiten gegen vorhandene Verzeichnisse sowie strategischen Blueprints für die architekturelle Planung im Rahmen der IT-Strategie

Es gibt nichts Gutes, außer man tut es – darum sind wir Ihr starker Partner, der nach einem PenTest gemeinsam mit anpackt. Unsere Experten haben jahrzehntelange Erfahrung in der Nachbereitung von Auditberichten, der Ableitung technischer und organisatorischer Maßnahmen sowie der Umsetzung von Anforderungen an die IT. Ganz gleich ob Rechenzentrum, Desktop Services, Web Applications oder Cloud: Wenn es um das Doing geht, bringen wir unser umfassendes Knowhow ein und helfen Unternehmen dabei, die strategische Optimierung zukünftig auch aus eigener Kraft zu erreichen.

Bei Ventum Consulting sind wir uns sicher: Abwarten ist das höchste Risiko. Vulnerabilities wie ShellShock, BlueKeep und EternalBlue, sind der Beweis dafür, dass das Aufschieben von Sicherheitsmaßnahmen Unternehmen die Existenz kosten kann! Erfahren sie hier wie sie mithilfe von Pentesting die Cyber Resilience ihres Unternehmens erhöhen können.

Handeln Sie jetzt. Nehmen Sie Kontakt auf.

Michael Niewöhner

T. +49 176 13313351
michael.niewoehner@ventum.de

Daniel Querzola

T. +49 176 13313322
daniel.querzola@ventum.de

Zum Weiterlesen

Das könnte Sie auch noch interessieren.

Todesfall, Erpressung, Downtime: Was sind die Kosten von IT-Sicherheitslücken?

23.09.2020 erstellt von Philipp Schneidenbach

Mehr erfahren

Weil Sicherheit Chefsache ist: Ihre Digitale Transformation in besten Händen.

05.07.2018 erstellt von Torsten Keil

Mehr erfahren