Penetrationstests
Schwachstellen finden und schließen
Penetrationstests ergänzen Antivirensoftware
@ Syda Productions, stock.adobe.com
Unternehmen müssen viele Maßnahmen umsetzen, um ihre IT-Systeme vor Angriffen zu schützen: Eine verlässliche Antivirensoftware, ein lückenloses Update- sowie sicheres Passwortmanagement und Schulungen, damit Beschäftigte für IT-Sicherheitsaspekte sensibilisiert werden, sind nur einige Beispiele. Um sicherzugehen, dass die getroffenen Maßnahmen auch wirken und ausreichen, können Unternehmen und Behörden so genannte Penetrationstests, kurz Pentests, durchführen lassen. Denn diese sind ein gutes Mittel, um die aktuelle Sicherheit eines IT-Netzes, eines einzelnen IT-Systems oder einer IT-Anwendung festzustellen.
Gezielte Suche nach Sicherheitslücken
„Penetrationstests dienen dazu, die Erfolgsaussichten eines vorsätzlichen Cyber-Angriffs auf die eigenen Systeme einzuschätzen und dadurch die Wirksamkeit der vorhandenen Sicherheitsmaßnahmen zu überprüfen sowie weitere notwendige Sicherheitsmaßnahmen abzuleiten“, erklärt ein Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI). Das BSI selbst bietet solche Penetrationstests für Bundesbehörden oder Betreiber Kritischer Infrastrukturen wie zum Beispiel Energieversorger an. Entscheidet sich ein Unternehmen für einen Penetrationstest, muss ein IT-Dienstleister damit beauftragt werden Bei einem solchen Test wird der Weg, den ein potenzieller Angreifer bei einer Attacke gehen würde, von einem IT-Experten nachvollzogen, um vorhandene Schwächen in den IT-Systemen und -Netzen eines Unternehmens oder einer Behörde aufzuspüren. Angreifer kennen gängige IT-Sicherheitsmaßnahmen, aber auch typische Defizite gut. Sie suchen deshalb ganz gezielt nach Schwachstellen, etwa nach aktuellen Sicherheitslücken, die vom Hersteller noch nicht behoben wurden. Aber auch schon länger bekannte Sicherheitslücken, für die der veröffentlichte Sicherheitspatch noch nicht eingespielt wurde, sind beliebte Angriffsziele. „Im Rahmen von Penetrationstests werden vorrangig die Schnittstellen der Netze, Systeme oder Anwendungen nach außen untersucht, über die potenzielle Angreifer in die untersuchten IT-Systeme eindringen könnten. Das Augenmerk liegt dabei neben nicht behobenen Schwachstellen unter anderem auch auf möglichen Konfigurationsfehlern“, erklärt der BSI-Sprecher. Penetrationstests sollten grundsätzlich von Experten durchgeführt werden, die über langjährige Erfahrung im Bereich der IT-Sicherheit und als Penetrationstester verfügen. Da die Tests immer auf die individuelle Situation des zu testenden Unternehmens abzustimmen sind, ist ein Vorgehen nach einem starren Muster nur sehr begrenzt möglich. Penetrationstests können daher nur wenig standardisiert werden.
Wo sind Einfallstore für Hacker?
Wird ein IT-Dienstleister mit einem Penetrationstest beauftragt, muss im Vorfeld genau festgelegt werden, was das Ziel des Tests sein soll. Auch der Umfang des Tests kann sehr unterschiedlich ausfallen. Die meisten Penetrationstests werden mit dem Ziel in Auftrag gegeben, die Sicherheit der technischen Systeme zu erhöhen. Ein Beispiel ist ein Penetrationstest, bei dem etwa gezielt geprüft werden soll, ob es unautorisierten Dritten möglich ist, über das Internet auf Systeme innerhalb des LANs des Unternehmens zuzugreifen. Führt ein IT-Dienstleister einen Penetrationstest im Unternehmen durch, wendet er dabei die gleichen Methoden an wie Cyberkriminelle. Er stellt externe Angriffe auf das Netzwerk oder Betriebssystem nach, um das Risiko eines realen Hackerangriffs zu bestimmen. Typische Ansatz- bzw. Angriffspunkte für einen Penetrationstest sind zum Beispiel Firewalls, Web- oder E-Mail-Server sowie Fernwartungszugänge und Funknetze. Dabei werden in der Regel automatisierte und manuelle Methoden kombiniert. Am Ende eines Tests wird ein ausführlicher Bericht erstellt. Darin werden sowohl die Vorgehensweise als auch die gefundenen Schwachstellen genau erläutert. Außerdem werden konkrete Maßnahmen empfohlen, wie die gefundenen Schwachstellen beseitigt werden können. In der Regel wird auch ein Re-Test angeboten, in dem geprüft wird, ob die gefundenen Schwachstellen beseitigt wurden.
- Folgende Artikel könnten Sie auch interessieren:
Wie schütze ich mein Unternehmen?- Aktiver Schutz vor Cyberkriminalität
- Riskante Spiele-Apps
Kurztipps
Darauf sollten Sie achten, wenn Sie Ihren nächsten Urlaub mit dem...
So verhalten Sie sich bei einem Stau richtig.
Darauf sollten Sie achten, wenn Ihr Wagen auf der Autobahn oder...
Darauf sollten Sie achten, wenn Sie in der kalten Jahreszeit trotz...
Darauf sollten Sie achten, wenn Sie im Herbst und Winter in...
Darauf sollten Sie achten, wenn Sie als älterer Mensch Auto fahren.
Darauf sollten Sie am Steuer eines Elektroautos achten.
Darauf sollten Sie achten, wenn Sie einen Transporter (z. B. als...
So können Sie das Risiko für einen Pkw-Diebstahl deutlich reduzieren.
Darauf sollten Sie vor der Fahrt mit einem Gemeinschaftsauto achten.
Das sollten Sie beachten, wenn Sie Urlaubsandenken erwerben.
So können Autofahrer das Unfallrisiko reduzieren.
So verstauen Sie das Gepäck oder die Einkäufe richtig.
Vor dem Winter sollte das Auto für die kalte Jahreszeit gewappnet...
Was Sie tun sollten, wenn Sie einer verletzten Person helfen wollen.
Weitere Infos für Autofahrer
Verkehrsprävention mit dem „P.A.R.T.Y.“-Projekt
Junge Menschen zwischen 18 und 24 Jahren verunglücken im...[mehr erfahren]
Die neue Straßenverkehrsordnung
Am 1. April 2013 ist eine neue Straßenverkehrsordnung (StVO) in Kraft...[mehr erfahren]
Ein Kopfschutz kann Verletzungen verhindern
Seit dem BGH-Urteil vom Juni 2014 gibt es keine Zweifel mehr: Einem...[mehr erfahren]
Was muss ich, was darf ich, was kann ich?
In kritischen Situationen kann Zivilcourage anderen Menschen helfen,...[mehr erfahren]
Wahrnehmung und Erinnerung sind lückenhaft und subjektiv
Ob Unfall oder Verbrechen: Aussagen von Augenzeugen dienen der...[mehr erfahren]
Abwicklung nach dem Unfall
Nach einem Unfall stehen Betroffene vor vielen offenen Fragen: Wer...[mehr erfahren]
Das Verkehrspolitische Programm der GdP NRW
Die Gewerkschaft der Polizei (GdP) fordert eine grundlegende...[mehr erfahren]
Fahrzeuge regelmäßig in der Werkstatt checken lassen
Sicherheitsmängel an Fahrzeugen sind immer wieder der Grund für...[mehr erfahren]
Blechschaden, Nachbarschaftsstreit, Prügelei: Wann sollte man die Polizei rufen?
Bei Wohnungseinbrüchen, schweren Unfällen oder Körperverletzungen ist...[mehr erfahren]
Räuber tricksen mit vorgetäuschten Pannen
Eine ungewöhnliche Masche wendete ein Dieb Anfang Februar 2017 auf...[mehr erfahren]
Aktivitäten
Service
Audio Podcasts
Hier finden Sie alle Podcasts
Präventionsvideos
"Ein Bild sagt mehr als tausend Worte". Und gerade mit bewegten Bildern werden wir alle viel leichter erreicht als mit nüchternen Informationsmaterialien, die nur den Verstand ansprechen. Hier finden Sie die Präventionsvideos.
Schützen Sie Ihre Immobilie gegen Einbruch!
Erklärung einschlägiger Präventions-Begriffe
Beliebte Artikel
Vertrauen ist gut, Kontrolle ist besser
Wer viel im Internet einkauft, kann bei seinen Zahlungen und...[mehr erfahren]
Wer den Unterschied nicht kennt, kann sich strafbar machen
Schwarzarbeit ist kein Kavaliersdelikt, sondern wird in schweren...[mehr erfahren]
Hilfe bei gestohlenen Fahrrädern
Laut der Polizeilichen Kriminalstatistik sind die Fahrraddiebstähle...[mehr erfahren]
