Die Welt ist zunehmend vernetzt und kein Unternehmen kommt mehr ohne das Internet aus. Deshalb betrifft auch IT-Sicherheit heute ausnahmslos jedes Unternehmen. Doch jedes Unternehmen ist anders und hat dementsprechend auch andere Anforderungen und Voraussetzungen an die eigene IT-Sicherheit. Mit Pentesting können die Sicherheitslücken im eigenen Unternehmen entlarvt und beseitigt werden. Doch welcher Pentest ist denn nun der richtige?
Die Dimension muss klar sein, um in der Vielzahl an Szenarien das Richtige zu finden
Die verschiedenen Arten von Pentests sind klassifiziert in Black Box, White Box oder Grey Box. Aber wie kann diese Klassifizierung bei der Entscheidung für den richtigen Pentest helfen?
Mit der Art des ausgewählten Pentest werden gewisse Ergebnisse vorgegeben. Je nachdem, für welches Szenario man sich entscheidet, ist auch schon die Richtung und das Ergebnis des Pentests eingegrenzt. Weitere Faktoren, die die Wahl des Pentests einschränken, sind der ökonomische Nutzen (Aufwand, Kosten) und die Realitätsnähe der Szenarien. Ziel sollte es sein, beides zu optimieren.
Die Szenarien zielgerichtet einsetzen
Die Formulierung eines klaren Ziels ist Grundvoraussetzung für den Erfolg des Pentests und auch aus zeitlicher und ökonomischer Sicht sinnvoll. Man muss überlegen, was man mit dem Pentest erreichen will. Das Ziel kann von “einfach nur die Schwachstellen sehen” bis “erkennen, wo die größten geschäftsrelevanten Probleme im Unternehmen liegen” reichen. Liegt die Priorität dabei auf dem Schutz von sensiblen Daten vor Fremden oder auf dem Schutz vor einem Betriebsausfall durch Cyber-Angriffe oder steht die Erfüllung gesetzlicher Pflichten oder Qualitätsmanagement im Vordergrund?
Tatsächlich lohnt es sich häufig, sich nicht nur für ein einziges Szenario aus den drei Kategorien zu entscheiden, sondern auch einen Blick in die Möglichkeiten der Szenarien der anderen beiden Kategorien zu werfen. Ein Beispiel: Ein reines Black-Box-Szenario auszuwählen birgt das Risiko, interne Gefahrenherde gar nicht aufzudecken. In vielen Unternehmen sind es sehr naheliegende Probleme, welche diese Szenarien offenbaren. Neue Praktikanten oder Werkstudenten im Unternehmen erhalten oft unabsichtlich oder unwissentlich Zugang zu sämtlichen sensiblen Daten des Unternehmens. Ebenfalls eine häufige Gefahr ist eine geringe Sensibilität der Mitarbeiter im Umgang mit Passwörtern. Derartige Szenarien werden jedoch in Black-Box-Pentests oft nicht betrachtet. Ein sorgfältig gewähltes Szenario, welches einen realistischen Mittelweg zwischen Black-Box und White Box abdeckt, kann in diesem Falle beides offenbaren. Es ist daher auch immer sinnvoll, sowohl ein Black-Box-Pentest Szenario als auch einen Social-Engineering-Pentest auszuwählen.
Meist ist es zu zeitaufwändig und oft auch zu kostenintensiv, die komplette IT-Infrastruktur eines Unternehmens zu testen und alle möglichen Arten von Pentests durchzuführen. Deshalb ist es hilfreich, vorab zu prüfen, welcher Bereich am angreifbarsten ist und wo der größte Schaden für das Unternehmen angerichtet werden könnte. Hat man sorgfältig eine Entscheidung für einen passenden Pentest getroffen, so können im Idealfall auch nach dem Pareto-Prinzip 20% des Testaufwands 80% der Sicherheitslücken abdecken.
Lösungen erfordern Prioritäten, der Test allein reicht nicht aus
Ist der Pentest mit der Zielsetzung und den richtigen Szenarien von den beauftragten Pentestern durchgeführt worden, erhält man eine Liste von Schwachstellen. Mit dieser bloßen Liste ist jedoch noch kein einziges Problem gelöst und auch noch lange kein Ratschlag gegeben worden. Um auf Schwachstellen in der Unternehmens-IT gut reagieren zu können, müssen diese zunächst priorisiert werden, denn natürlich können nicht alle Probleme auf einmal behoben werden. Dazu sollten die Risiken, die häufig sind und große Auswirkung haben, priorisiert werden (z.B. mit Hilfe der Eisenhower-Matrix). Ein gut dimensionierter Pentest kann diese Priorisierung zum größten Teil liefern. Ziel sollte es sein, die realistischsten, teuersten und für das Unternehmen schädlichsten Szenarien zuerst zu beheben. Man muss sich also Gedanken darüber machen, welche Bereiche im Unternehmen angreifbar sind, welche davon besonders wichtig sind und sich bewusst zu werden, welchen schwerwiegenden Gefahren und Risiken man ausgesetzt ist. Hierzu ist es essenziell, die eigenen Anforderungen zu kennen.
Das Wichtigste ist jedoch, auf die Ergebnisse des Pentests zu reagieren und aktiv zu werden. Bleibe ich nach dem Pentest passiv und ändere nichts im Unternehmen, um für mehr IT-Sicherheit zu sorgen und die eigenen Sicherheitslücken zu schließen, dann ist jeder noch so umfassende und kostenintensive Pentest wirkungslos.
Ihre Reise mit OHB Digital Services
Nutzen Sie das Wissen aus der Raumfahrt für Ihr Business. OHB Digital Services GmbH ist seit vielen Jahren ein verlässlicher Partner für sichere & innovative IT-Lösungen. Wir sind Teil eines der erfolgreichsten Raumfahrt- und Technologieunternehmen in Europa. Mit unseren Produkten und Services unterstützen wir Sie u.a. bei der Digitalisierung Ihrer Unternehmensprozesse entlang der Wertschöpfungskette und bei allen sicherheitsrelevanten Fragen. Kontaktieren Sie uns gerne.