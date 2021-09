Wie oft braucht man Penetrationstests?

Wie häufig ein Pentest durchgeführt werden soll, kommt auf die Firma an. Ist sie besonders groß oder in einem Sektor unterwegs, der sehr anfällig für Cyberangriffe ist, wie der Finanzsektor, lohnt es sich, häufiger umfangreiche Penetrationstests machen zu lassen. Auch für kleine Firmen, die aber davon abhängig sind, dass ihr IT-System läuft, kann sich die zusätzliche Absicherung lohnen.

Verschiedene Pentests

Die in den Faktoren des BSI erwähnten Variationen des Pentests passen sich ganz an die Bedürfnisse der Firma an. Eine Auswahl von ihnen gestaltet sich zum Beispiel folgendermaßen:

IT-Infrastruktur und Webanwendungen

Ein Pentest kann sowohl die IT-Infrastruktur als auch häufig genutzte Webanwendungen von Mitarbeitern überprüfen. Bei dem Infrastrukturtest greift der Tester auf alle Systeme zu, die er aus dem Internet erreichen kann. Dazu zählen:

DNS

E-Mail-Systeme

Fileserver

Firewalls

VPNs

Bei Webanwendungen geht es dafür um Programme oder Plattformen, die mit einem Webbrowser aufgerufen werden. Diese Tests sind anspruchsvoll, da viele Menschen aus verschiedenen Zugangspunkten auf die Webanwendungen zugreifen können. Deshalb ist es umso wichtiger, die Sicherheit des Systems zu garantieren.

Vorkenntnisse der Tester

Ein Unternehmen kann sich entscheiden, dem Tester gar kein, ein wenig oder jegliches Wissen über ihre Firma und ihr IT-Netzwerk zu geben. Damit lässt sich gezielt nach Sicherheitslücken des Systems suchen oder ein realistischer Hackingangriff ohne Vorkenntnisse des Netzwerks simulieren.

Black-Box-Test – Der Tester hat keinerlei Vorwissen.

Grey-Box-Test – Der Tester hat wenige Informationen.

White-Box-Test – Der Tester kennt das Unternehmen und hat alle Informationen zu ihrem System.

Externe oder interne Pentests

Viele Unternehmen sind versucht, Sicherheitstests durch ihr hauseigenes IT-Team erledigen zu lassen. Auch wenn diese mit Sicherheit ein breites Wissen über das Netzwerk und seinen Aufbau haben, sind sie dennoch nicht dazu geschult, ohne Betriebsblindheit seine Sicherheitslücken zu erkennen.

Deshalb ist es empfehlenswert immer einen externen Dienstleister einzustellen. Dieser ist nicht nur Experte im Finden von Schwachstellen, sondern kann auch noch einen realistischeren Cyberangriff simulieren als Angestellte des Unternehmens.

Fazit

Penetrationstests werden, gerade für Unternehmen, die mit Kundendaten und Finanzen hantieren, immer wichtiger. Sie führen einen Stresstest für ein Sicherheitssystem durch, indem sie einen Hack simulieren. Damit kann der Tester herausfinden, wo Schwachstellen liegen und sie eliminieren, bevor es zu einem echten Angriff kommen kann.