Seit über 14 Jahren ist yourIT im Bereich Schwachstellenmanagement tätig. Immer wieder werden wir von Unternehmen angefragt, ob wir bei ihnen einen "Penetrationstest" durchführen und ein Angebot für einen "Pentest" abgeben können. Ursache für solche Anfragen sind meist unklar formulierte Anforderungen von Auditoren. Denn in den meisten Fällen führen wir stattdessen eine "Schwachstellenanalyse" durch.
Erst vergangene Woche hatten wir wieder eine Anfrage nach einem "Pentest" auf dem Tisch. In solchen Fällen sprechen wir mit dem Kunden und erarbeiten als erstes gemeinsam mit diesem, was dieser (oder sein Auditor) unter einem "Pentest" genau versteht, wie der Umfang und was das genaue Ziel der Überprüfung sein soll (Definition & Scope).
Penetrationstest oder Schwachstellenanalyse? Wir klären auf. |
Dieses Vorgehen hat sich in den vergangenen Jahren aus drei Gründen bewährt:
- Meist kennt der anfragende Kunden (und sein Auditor) den Unterschied zwischen "Pentest" und "Schwachstellenanalyse" überhaupt nicht.
- Den einen standardisierten "Penetrationstest" gibt es nicht. Hier ist es wichtig, die Begrifflichkeiten und Herangehensweisen zu definieren.
- Zudem ist es vor der Beauftragung eines echten "Penetrationstests" erforderlich, dass das zu prüfende Unternehmen einen gewissen Security-Reifegrad festgelegt und erreicht hat.
Auf das richtige Timing kommt es an!
Ein Pentest, der eine Sicherheitslücke aufspürt, die sonst unbemerkt geblieben und eventuell von einem Angreifer ausgenutzt worden wäre, ist ohne Zweifel sein Geld wert. Nur macht es kaufmännisch keinen Sinn, wenn sich ein teurer Pentester mit Lücken beschäftigt, die sich genauso gut mit erheblich weniger Aufwand finden und beseitigen ließen. Kostspielige Pentests wahllos über die gesamte IT zu streuen — das hieße, den zweiten Schritt vor dem ersten zu tun. Besser gesagt: Den dritten vor dem zweiten.
Wir empfehlen diese drei Schritte für bestmögliche Sicherheit
Im ersten Schritt sollten Unternehmen immer zuerst ein funktionierendes Patchmanagementsysterm einführen. Und zwar für alle Systeme, ob Windows, Linux und andere Open-Source-Komponenten oder Anwendungen von Dritten. Freilich ist auch das beste Patchmanagement nie komplett: Manche Systeme „fallen“ aus der kontrollierten Netzwerk-Architektur. Andere sind zwar in den Windows Server Update Services (WSUS) hinterlegt, installieren aber dennoch keine Updates, oder die Updates sind fehlerhaft und lassen gravierende Sicherheitslücken offen. Oder, oder, oder...
Solche Lücken mit manuellen Pentests aufspüren zu wollen, würde unverhältnismäßig lange dauern und hohe Kosten verursachen. Zeit und Geld, die erfahrungsgemäß nachher bei der Eliminierung der Lücken fehlen. Wirtschaftlicher und sicherer ist es, einen wichtigen Schritt dazwischen zu schalten:
Der zweite Schritt ist daher eine umfassende Schwachstellenanalyse. Dieser Scan spürt systematisch die Lücken im Patchmanagement auf. Der Schwachstellen-Scanner meldet eine Abweichung, insbesondere wenn mit einer Konfiguration etwas nicht stimmt, Passwörter zu einfach sind oder WSUS auf dem überprüften Server nicht mehr funktioniert. Unser Berater fasst diese Abweichungen in einem ausführlichen REprort zusammen, den er den Verantwortlichen in einem ausführlichen Beratungstermin erläutert. Dadurch können Administratoren gezielt die Patchaufträge erhalten, für die sie zuständig sind.
Erst in einem dritten Schritt macht es dann gegebenenfalls Sinn, einzelne Penetrationstests gezielt auf bestimmte Systeme anzusetzen. Zum Beispiel können Lücken im Webshop lauern, an der Schnittstelle zwischen Bewerbungsplattform und internem ERP-System, etc.
"Vor dem Scan ist vor dem Scan!" So erreichen Sie kontinuierlichen Schutz
Security-Experten raten schon lange, Schwachstellenscans als kontinuierlichen Prozess in der Unternehmens-IT zu etablieren. Ein einmaliges Schwachstellen-Audit zeigt zwar die derzeit vorhandenen verwundbaren Stellen im Netzwerk auf. Aber dieser Befund ist schon nach dem nächsten Windows-Patchday überholt. Clients ändern sich kontinuierlich. Virtuelle Server-Umgebungen oder WLANs sind schneller eingerichtet als abgesichert.
Werden Schwachstellenscans regelmäßig durchgeführt, verhindert dies, dass kritische Lücken als Einfallstore wochen-, monate- oder leider viel zu häufig sogar jahrelang offenstehen.
Fazit
Der bestmögliche Schutz für Ihre Unternehmens-IT besteht also aus drei Teilen: Erstens aus einem möglichst umfassenden Patchmanagement. Zweitens aus einem kontinuierlichen Schwachstellenmanagement. Und drittens aus gezielt eingesetzten Pentests, die besonders komplexe Lücken auffinden und schließen sollen.
Wenn Sie diese Reihenfolge beachten, wird dies Ihrem Unternehmen enorm Kosten einsparen. Zudem sorgt diese Vorgehensweise für die größtmögliche Effizienz der gewählten IT-Sicherheitsmaßnahmen.
Also: Auch wenn Ihr Auditor einen "Pentest" gefordert hat. Der Einsatz von echten Pentests ist also erst dann sinnvoll, wenn Ihr Unternehmen die bereits bekannten Schwachstellen bereits mit einem etablierten und automatisierten Schwachstellenmanagement-Prozess im Griff hat. Geben Sie diese Info gerne an Ihren Auditor weiter.
Wann dürfen wir Sie unterstützen? In vielen Fällen kann unsere Erstberatung durch Fördermittel unterstützt werden. Fragen Sie jetzt bei uns an: