Exklusiv München | Szene, Society & Shopping in München Stadtportal für besondere Menschen mit dem Sinn zu Lifestyle mit dem gewissen Anspruch München ist Sitz zahlreicher, multinationaler Konzerne. Sie alle haben gemeinsam, dass sie über komplexe, oft mithilfe der IT gesteuerte, Geschäftsprozesse, Produktionsverfahren und Vertriebssysteme verfügen. Wann immer aber IT im Spiel ist, besteht das Risiko, dass die unternehmenseigene IT-Infrastrukturen Schwachstellen aufweist.
Autokonzerne und Versicherungen als Ziel von Cyberkriminalität
Es sind vor allem Unternehmen aus dem Finanzsektor, aber auch Versicherungen, Autobauer und Technologiekonzerne, die ein hohes Gefährdungspotenzial besitzen. Ursache sind hochsensible Daten und Informationen, etwa technische Daten, Finanzdaten von Kunden oder auch militärische Geheiminformationen, die auf dem Markt sehr viel Geld wert sind. Um sie effizient zu schützen, benötigen die Konzerne eine möglichst umfassende, schlagkräftige IT-Sicherheitsstrategie.
Penetrationstest überprüft IT-Infrastruktur auf Schwachstellen
Ein Penetrationstest München gehört für eine immer größere Zahl von Unternehmen zu einer solchen Strategie. Unternehmen bieten diese von IT-Sicherheitsexperten durchgeführten Pentests an. Sie können entweder das gesamte Netzwerk umfassen oder sich auf einzelne Bereiche der IT-Infrastruktur beschränken, z.B. Web Application oder Cloud. Auch ein Szenario-basierter Penetrationstest ist möglich.
Dieser Test kann extern oder intern ausgeführt werden, meist erfolgt er zunächst als externer Penetrationstest, bei dem der Pentester versucht, auf Basis von Informationen zum System, zu intern oder extern genutzten Diensten, Programmen oder Tools von außerhalb in die Infrastruktur einzudringen. Dazu nutzt er eben die von ihm gefundenen Schwachstellen, z. B. bekannte Sicherheitslücken, Fehlkonfigurationen oder Exploits aus und testet, wie weit er ins System gelangt.
Anschließend beginnt er seinen Angriff von der Stelle, bis zu der er vorgedrungen ist, erneut, diesmal aus der Perspektive eines internen Angreifers, und testet, ob es Möglichkeiten gibt, noch weiter in die IT-Infrastruktur einzudringen. Ein detaillierter Abschlussbericht zeigt alle vorhandenen Schwachstellen auf und gibt Hinweise, wie man diese Sicherheitslücken schließen könnte.
Externer Penetrationstest München nach Härtung der Sicherheitsperimeter
Dr. Ewan Fleischmann, Gründer der Redlings GmbH, einem auf IT-Sicherheitsüberprüfungen spezialisierten Unternehmen, empfiehlt den externen Penetrationstest vor allem Unternehmen aus München, die bereits versucht haben, ihre externen Perimeter durch Patchen und erhöhte Konfigurationssicherheit zu „härten“, also gegen Hackerattacken zu sichern.
Der Penetrationstest kann dann einerseits überprüfen, wie effizient die geleistete Arbeit war und andererseits weitere Bereiche identifizieren, in denen es Optimierungsbedarf gibt.
Der interne Penetrationstest kann Unternehmen zu Antworten verhelfen, denen es darum geht zu eruieren, wie ein Hacker vorgehen und zu welchen Bereichen des IT-Systems er Zugang erlangen könnte. Um Aufschluss zum Ist-Zustand der internen Abwehrmechanismen zu erhalten, sollte der interne Penetrationstest durchgeführt werden, nachdem das beauftragende Unternehmen entsprechende Maßnahmen zur Sicherung des internen Netzwerkes durchgeführt hat.
Penetrationstest gegen Social Engineering
Immer mehr Unternehmen beauftragen Unternehmen damit, die vermeintlich schwächsten Glieder der IT-Kette in den Blick zu nehmen. Gemeint sind die Mitarbeitenden. Um sich Zugang zur IT-Infrastruktur eines Unternehmens zu verschaffen, verwendet eine steigende Zahl von Hackern das sogenannte Social Engineering. Dabei versuchen sie mit gefälschten Websites oder E-Mails die Empfänger dazu zu bewegen, sensible Daten preiszugeben oder einen Link anzuklicken, durch den dann der versteckt vonstatten gehenden Download einer Schadsoftware gestartet wird.
Auf IT-Sicherheitsüberprüfungen spezialisierte Unternehmen verwenden spezielle Bewertungs- und Analysetechniken, bei denen neben manuellen auch automatisierte Testverfahren genutzt werden. Dadurch haben die Sicherheitsexperten bzw. Pentester die Möglichkeit, vollkommen realistisch wirkende Social-Engineering-Kampagnen durchzuführen. Auf diese Weise können die Mitarbeitenden, die Geschäftsprozesse und auch die Produktionsverfahren sehr effektiv getestet werden. Die, wieder auf Grundlage von Hackerwissen durchgeführte Social-Engineering-Bewertung überprüft beispielsweise:
- die Risiken der OSINT – Open-Source-Informationsbeschaffung
- die Reaktionen der Mitarbeitenden auf Phishing bzw. Spear Phishing
- ein möglicher Identitätsdiebstahl (durch vermeintlich vertrauenswürdige Dritte)
- der grundlegende physische Schutz
Penetrationstest München: Grundlage für umfassende IT-Sicherheitsstrategie
Ein Penetrationstest München ist eine sinnvolle Maßnahme, um die eigene IT-Infrastruktur zu überprüfen und mögliche Schwachstellen aufzudecken. Es darf allerdings nicht bei einem solchen Test bleiben. Das beauftragende Unternehmen hat die Aufgabe, aus den Ergebnissen notwendige Maßnahmen abzuleiten und zu realisieren, durch die es Hackern im Idealfall unmöglich gemacht wird, Zugriff auf das IT-System zu erhalten.
Der Pentest und die Umsetzung der Vorschläge zur Optimierung der Sicherheitsstrukturen müssen eingebettet sein in eine ganzheitliche Strategie zum Schutz der IT. Um hier möglichst hohe Effizienz zu erreichen, ist es ratsam, das Thema in der höchsten Leitungsebene anzusiedeln und sozusagen zur Chefsache zu machen. Auf diese Weise ist gewährleistet, dass die Sicherheit der Firmendaten und des gesamten Unternehmensnetzwerkes nicht im Alltag der zahlreichen Geschäftsprozesse „verlorengeht“, sondern durch einen der obersten Entscheider konsequent verfolgt wird.
Klare Absprachen zu den Testbedingungen
Der Durchführung eines Pentests muss stets eine detaillierte Vorbereitung mit klaren Absprachen vorangehen. Zu diesen gehören die Art des Tests (z. B. White-Box-, Grey-Box- oder Black-Box-Penetrationstest), ein Zeitraum für die Durchführung, die Festlegung der erlaubten und verbotenen Methoden und auch die Benennung des oder der Pentester. Darüber hinaus muss der Auftraggeber dem Test explizit zustimmen und alle Beteiligten sollten eine Verschwiegenheitserklärung unterzeichnen. Diese ist sinnvoll, da die Pentester während des Tests an sehr sensible, zum Teil geheime Daten gelangen können.
