Penetrationstest oder Schwachstellenanalyse? Drei Schritte für bestmögliche Sicherheit!

Seit über 14 Jahren ist yourIT im Bereich Schwachstellenmanagement tätig. Immer wieder werden wir von Unternehmen angefragt, ob wir bei ihnen einen "Penetrationstest" durchführen und ein Angebot für einen "Pentest" abgeben können. Ursache für solche Anfragen sind meist unklar formulierte Anforderungen von Auditoren. Denn in den meisten Fällen führen wir stattdessen eine "Schwachstellenanalyse" durch.


Erst vergangene Woche hatten wir wieder eine Anfrage nach einem "Pentest" auf dem Tisch. In solchen Fällen sprechen wir mit dem Kunden und erarbeiten als erstes gemeinsam mit diesem, was dieser (oder sein Auditor) unter einem "Pentest" genau versteht, wie der Umfang und was das genaue Ziel der Überprüfung sein soll (Definition & Scope).


Pentest oder Schwachstellenanalyse - Wann Sie was bestellen sollten. Wir klären auf!
Pentest oder Schwachstellenanalyse - Wann Sie was bestellen sollten. Wir klären auf!


Dieses Vorgehen hat sich in den vergangenen Jahren aus drei Gründen bewährt:


  1. Meist kennt der anfragende Kunden (und sein Auditor) den Unterschied zwischen "Pentest" und "Schwachstellenanalyse" überhaupt nicht.
  2. Den einen standardisierten "Penetrationstest" gibt es nicht. Hier ist es wichtig, die Begrifflichkeiten und Herangehensweisen zu definieren.
  3. Zudem ist es vor der Beauftragung eines echten "Penetrationstests" erforderlich, dass das zu prüfende Unternehmen einen gewissen Security-Reifegrad festgelegt und erreicht hat.


Falls auch Sie vor der Frage stehen: "Na was denn nun?!" Dieser Artikel hilft Ihnen bei der künftigen Einschätzung, in welchen Fällen Sie einen "Schwachstellenscan" ordern sollten und wann der richtige Zeitpunkt für einen "Pentest" gekommen ist.


Auf das richtige Timing kommt es an!


Ein Pentest, der eine Sicherheitslücke aufspürt, die sonst unbemerkt geblieben und eventuell von einem Angreifer ausgenutzt worden wäre, ist ohne Zweifel sein Geld wert. Nur macht es kaufmännisch keinen Sinn, wenn sich ein teurer Pentester mit Lücken beschäftigt, die sich genauso gut mit erheblich weniger Aufwand finden und beseitigen ließen. Kostspielige Pentests wahllos über die gesamte IT zu streuen — das hieße, den zweiten Schritt vor dem ersten zu tun. Besser gesagt: Den dritten vor dem zweiten.


Wir empfehlen diese drei Schritte für bestmögliche Sicherheit


Im ersten Schritt sollten Unternehmen immer zuerst ein funktionierendes Patchmanagementsysterm einführen. Und zwar für alle Systeme, ob Windows, Linux und andere Open-Source-Komponenten oder Anwendungen von Dritten. Freilich ist auch das beste Patchmanagement nie komplett: Manche Systeme „fallen“ aus der kontrollierten Netzwerk-Architektur. Andere sind zwar in den Windows Server Update Services (WSUS) hinterlegt, installieren aber dennoch keine Updates, oder die Updates sind fehlerhaft und lassen gravierende Sicherheitslücken offen. Oder, oder, oder...


Solche Lücken mit manuellen Pentests aufspüren zu wollen, würde unverhältnismäßig lange dauern und hohe Kosten verursachen. Zeit und Geld, die erfahrungsgemäß nachher bei der Eliminierung der Lücken fehlen. Wirtschaftlicher und sicherer ist es, einen wichtigen Schritt dazwischen zu schalten:


Der zweite Schritt ist daher eine umfassende Schwachstellenanalyse. Dieser Scan spürt systematisch die Lücken im Patchmanagement auf. Der Schwachstellen-Scanner meldet eine Abweichung, insbesondere wenn mit einer Konfiguration etwas nicht stimmt, Passwörter zu einfach sind oder WSUS auf dem überprüften Server nicht mehr funktioniert. Unser Berater fasst diese Abweichungen in einem ausführlichen REprort zusammen, den er den Verantwortlichen in einem ausführlichen Beratungstermin erläutert. Dadurch können Administratoren gezielt die Patchaufträge erhalten, für die sie zuständig sind.


Erst in einem dritten Schritt macht es dann gegebenenfalls Sinn, einzelne Penetrationstests gezielt auf bestimmte Systeme anzusetzen. Zum Beispiel können Lücken im Webshop lauern, an der Schnittstelle zwischen Bewerbungsplattform und internem ERP-System, etc.


"Vor dem Scan ist vor dem Scan!" So erreichen Sie kontinuierlichen Schutz


Security-Experten raten schon lange, Schwachstellenscans als kontinuierlichen Prozess in der Unternehmens-IT zu etablieren. Ein einmaliges Schwachstellen-Audit zeigt zwar die derzeit vorhandenen verwundbaren Stellen im Netzwerk auf. Aber dieser Befund ist schon nach dem nächsten Windows-Patchday überholt. Clients ändern sich kontinuierlich. Virtuelle Server-Umgebungen oder WLANs sind schneller eingerichtet als abgesichert.


Werden Schwachstellenscans regelmäßig durchgeführt, verhindert dies, dass kritische Lücken als Einfallstore wochen-, monate- oder leider viel zu häufig sogar jahrelang offenstehen.


Fazit


Der bestmögliche Schutz für Ihre Unternehmens-IT besteht also aus drei Teilen: Erstens aus einem möglichst umfassenden Patchmanagement. Zweitens aus einem kontinuierlichen Schwachstellenmanagement. Und drittens aus gezielt eingesetzten Pentests, die besonders komplexe Lücken auffinden und schließen sollen.


Wenn Sie diese Reihenfolge beachten, wird dies Ihrem Unternehmen enorm Kosten einsparen. Zudem sorgt diese Vorgehensweise für die größtmögliche Effizienz der gewählten IT-Sicherheitsmaßnahmen. 


Also: Auch wenn Ihr Auditor einen "Pentest" gefordert hat. Der Einsatz von echten Pentests ist also erst dann sinnvoll, wenn Ihr Unternehmen die bereits bekannten Schwachstellen bereits mit einem etablierten und automatisierten Schwachstellenmanagement-Prozess im Griff hat. Geben Sie diese Info gerne an Ihren Auditor weiter.


Wann dürfen wir Sie unterstützen? In vielen Fällen kann unsere Erstberatung durch Fördermittel unterstützt werden. Fragen Sie jetzt bei uns an:

 Jetzt Kontakt aufnehmen


Das könnte Sie auch interessieren:

Related Posts

Slider 5421343211285960394

Kommentar veröffentlichen

emo-but-icon

Dieses Blog durchsuchen

Like us

yourIT GmbH
yourIT GmbH

Tags

19 Jahre (1) 2-Faktor Authentifikation (1) All-IP (2) Apps (3) Archivierung (1) Assets (1) Awareness (3) Backup (2) Balingen (1) Beschilderung (1) Beschwerde- und Reklamationsmanagement (1) Big Data (2) Blog (138) BSI (1) Büro 4.0 (6) Cloud (10) cookies (1) Coole Tools (1) coronavirus (4) CRM (1) Cyber (1) Datenrisiken (1) Datenschutz (15) Datenschutz-Quiz (1) Datensicherung (4) Datenspeicher (2) Datenverlust (3) Digitalisierung (4) DigitalisierungsprämiePlus (2) DOCUframe (1) Drucker (5) E-Mail (2) E-Mail-Archivierung (1) E-Mail-Management (2) e-mails (1) Effizient (1) Energie (1) ePaper (1) Erpressungs-Trojaner (2) ESF-Fördermittel (5) ESF-Förderung (3) EU-DSGVO (3) events (1) Feinstaub (1) Fördermittel (2) Fußball (1) Geburtstag (1) Genehmigungsstau (1) Geschäftsprozessoptimierung (2) Hacker (1) Hafnium (1) Hardware (1) Heartbleed (1) Helpdesk (2) Home Office (4) Homeoffice (6) Hosting (3) HowTo (1) Hyperkonvergenz (2) Ideenmanagement (1) Informations-Sicherheits-Analyse (2) Informationssicherheit (6) intelligente Geräte (1) internationale Datentransfers (1) Inventarisierung (1) ISAplus (1) ISDN (1) ISO 9001:2015 (1) ISO27001 (2) IT (1) IT-Dienstleistung (2) IT-Dienstleistungen (1) IT-Infrastruktur (10) IT-Monitoring (1) IT-Security-Check (4) IT-Sicherheit (13) Know-how (1) Kommunikation (2) Kopierer (1) Lizenzmanagement (3) lockdown (1) Locky (4) M365 (2) Mailbox (1) Managed Server (1) Managed Services (10) Microsoft 365 (1) Microsoft Surface (1) Microsoft365 (1) Migration (1) Mobile (2) Netzwerk (2) Notfall (1) O365 (2) Office (2) Office 365 (3) Open Source (1) Outsourcing (3) Passwort (3) Passwörter (2) Passwortmanagement (1) Patchmanagement (3) PDF (1) Penetrationstest (3) Pentest (1) Phishing (4) Piraterie (1) Portfolio (11) Privacy Shield (3) Produktivität (3) Projekt (1) Prozessautomatisierung (1) RAID (1) Restaurants (1) Risiken (2) Schlussmacher (1) Schrems II (1) Schwachstelle (6) Schwachstellenmanagement (14) schwärzen (1) securITy (24) Server (4) Service (1) shortcuts (1) sicher (1) Sicherheitsaudit (5) Sicherheitslücke (1) SIEM (1) simplify yourit (3) Slider (24) Smart Home (1) Social Engineering (1) Social Enterprise Networks (1) Software (6) Software Asset Management (2) Software Defined Networking (1) spam (1) Spamfilter (1) Speicher (2) Stellenanzeige (1) Storage (3) Stromfresser (1) tastaturenkürzel (1) tastenkombinationen (1) Technik-Ecke (2) Telefon (2) Ticketsystem (1) Tinte (2) Trennungsschmerz (1) Trojaner (1) Unified Communications (1) Verschlüsselung (1) Videokonferenz (1) Virtualisierung (3) VoIP (1) WAS (3) Web-Anwendungen (1) Windows 10 (5) Windows 7 (3) Windows 8 (2) Windows Server 2003 (1) Windows XP (2) winwin (1) Wissensmanagement (1) WLAN (1) Word (1) yourIT (2) Zwei-Faktor-Authentifizierung (1)

Kunden-Bewertungen

item