aconitas GmbH
Veröffentlicht

Angriff ist die beste Verteidigung!

Authors

Kriminalität im Internet ist weiter im Kommen. Firmen müssen durchweg leistungskräftigere und zuverlässigere IT-Schutzmaßnahmen ergreifen, um mit der dynamischen Gefahrenlage von heute Tempo halten zu können. Automatisierte Penetrationstests können helfen, Angriffsflächen sowie IT-Sicherheitslücken in der IT-Infrastruktur aufzudecken und zu zumachen, ehe es die Internetkriminellen in Angriff nehmen. In unserem vorliegenden Blogbeitrag erfahren Sie, warum automatische Penetrationstests eine entscheidende Funktion in der langfristigen IT-Sicherheitsstrategie haben und welche Vorzüge sie im Gegenteil zu manuellen Penetrationstests haben.
 

Internetkriminalität ist mittlerweile ein florierender Wirtschaftszweig.

Ob Datenklau über Phishing-Kampagnen, Erpressungen über Ransomware oder aber Observation über Spionage-Apps: Inzwischen steht nahezu jedes Unternehmen hierzulande unter digitalem Dauerbeschuss, was die Befunde jüngster Studien darstellen.

Zufolge dem gegenwärtigen Cyber Readiness Report 2021 von Hiscox sind im Jahr 2021 46 % der befragten Firmen in Deutschland und dabei fünf Prozent mehr als im Vorjahr, von einem solchen Internetangriff betroffen. 28 Prozent haben außerdem zahlreiche Internetangriffe erlitten – und bei 17 % waren ebendiese sogar so umfangreich, dass sie potenziell existenzbedrohende Auswirkungen hatten.
 
Wie bedeutend ein mehrstufiges IT-Sicherheitskonzept mit permanent wirkungsvollen sowie zuverlässigen IT-Sicherheitslösungen ist, machen insbesondere die hohen Ausgaben im Schadensfall deutlich: Hiscox entsprechend mussten die deutschen Firmen im vorhergehenden Jahr im Schnitt knapp über 21.818 Euro aufwenden, um einen jeweiligen Schadensfall zu beheben.

Ich sehe was, was du nicht siehst!

Um sich vor diesen unter Umständen existenzbedrohenden Aufwandssummen zu schützen, ist es notwendig, die betriebseigenen IT-Sicherheitsvorkehrungen regulär auf den Prüfstand zu stellen.

Ein erprobtes Mittel für diesen Zweck sind automatisierte Penetrationstests.

Im Gegensatz zu manuellen Penetrationstests, die in der Regel zeitintensiv, mühselig sowie hochpreisig sind, können Firmen mithilfe automatisierter Penetrationstests durchgehend geprüfte Internetangriffe auf ein IT-System, eine Geschäftsanwendung oder ein ganzes Unternehmensnetzwerk starten, um verborgene IT-Schwachpunkte sowie Angriffspunkte aufzudecken und zu eliminieren, ehe sie von Internetkriminellen für ihre eigenen kriminellen Finessen ausgenutzt werden können.
 
Um einen nach Möglichkeit realitätsnahen Internetangriff vorzutäuschen, kommen hierfür dieselben Angriffstechniken zum Gebrauch, auf die selbst Internetkriminelle zurückgreifen.

 Dazu zählen etwa:

  • Sniffing-Angriffe
  • Man-in-the-Middle-Angriffe
  • Remote-Execution-Angriffe
  • Password-Cracking-Angriffe
  • Ethical-Malware-Injections
  • Social-Engineering-Angriffe

Welche Arten von automatisierten Pentests gibt es?

In der derzeitigen Geschäftswelt sind Internetangriffe auf IT-Infrastrukturen von Unternehmen alltäglich. Längst dreht es sich bei den Internetangriffen bei Weitem nicht mehr um virtuelle Bedrohungsszenarien oder punktgenaue Angriffe, sondern um breit angelegte mehrstufige Angriffskampagnen, die Unternehmen, Behörden sowie Einzelpersonen gleichermaßen bedrohen.

Deswegen werden vielerorts automatisierte Penetrationstests eingesetzt, mit dem Ziel das Unternehmensnetzwerk, die IT-Systeme, Geschäftsanwendungen und Geschäftsdaten zusätzlich besser vor aktuellen Internetbedrohungen zu beschützen.
 
Über die Tatsache hinaus sind die Betriebe im Kontext des Artikel 32 Abs. 1 D der DSGVO dazu verpflichtet „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ einzuführen.
 
Inzwischen gibt es zahlreiche unterschiedliche Formen von Penetrationstest-Lösungen im Handel. Jene lassen sich in die nachstehenden Kategorien unterteilen:

  • Netzwerk: Bei diesem Penetrationstest, wird die Netzwerkinfrastruktur eines Unternehmens bewertet. Hierfür werden beispielsweise die Firewall-Konfiguration getestet und Angriffe auf DNS-Ebene durchgeführt.
  • Web-Anwendung: Diese Penetrationstests zielen auf ausgesuchte Webanwendungen wie Browser, Applets und Plug-Ins ab.
  • Client-seitig: Client-seitige Penetrationstests werden angewendet, um nach IT-Schwachpunkte sowie Angriffspunkte bei lokal angewendeter Software von Drittanbietern oder Open-Source-Software zu suchen.
  • WLAN: Ein Penetrationstest für WLANs ermittelt nach IT-Schwächen in WLAN-Konfigurationsprotokollen oder Zugriffsrechten, die von sämtlichen Endpunkten ausgenutzt werden könnten, die sich über WLAN verbinden.
  • Social Engineering: Bei dieser Art von Penetrationstests werden bewusst kontrollierte Angriffe auf die Arbeitnehmer des Betriebs gestartet. Der Vorteil: Firmen erhalten durch diesen Penetrationstest Aufschluss darüber, inwieweit das IT-Sicherheitsbewusstsein der Angestellten ausgeprägt ist.

Vorteile von automatisierten Penetrationstests!

IT-Schwachstellen werden mittlerweile in beträchtlichem Stil ausgenutzt, mit dem Ziel an vertrauliche Geschäftsinformationen und interessante Vermögenswerte zu gelangen.
Daher wird es für Betriebe immer relevanter, jegliche IT-Schwächen in ihrem Unternehmensnetzwerk aufzuspüren, um so den Triumph von Internetangriffen zu minimieren, wie auch damit die Schäden begrenzen zu können.

Automatisierte Penetrationstests sind hierfür ausgesprochen prädestiniert.

Die Betriebe profitieren unter anderem mit: 

  1. Zeit und-Kosteneinsparungen:  Automatisierte Penetrationstests sind im Gegensatz zu manuellen Penetrationstests, welche viel Zeit in Anspruch nehmen können, rascher erledigt. Dank einer automatischen Berichterstellung haben Unternehmen die Option, die gefundenen IT-Schwachpunkte schnell zu eliminieren. Ein anderer Benefit ist es, dass bei einem automatisierten Penetrationstest Sicherheitsexperten und so bezeichnete „White-Hat-Hacker“ bloß für einen kleinen Zeitraum engagiert werden müssen, weshalb die Ausgaben für einen langen sowie manuellen Penetrationstest eingespart werden können.
  2. eine hohe Testhäufigkeit: Automatisierte Penetrationstests können im Gegensatz zu manuellen Penetrationstests wöchentlich oder selbst täglich durchgeführt werden, da sie weder zeitaufwendig noch kostspielig sind.
  3. eine hohe Reichweite des Zugriffs: Automatisierte Penetrationstests können im Gegenteil zu manuellen Penetrationstests von mehreren Einstiegspunkten aus ausgeführt werden. Auf diese Weise können mehrere IT-Schwächen erkannt wie auch im Zuge der Optimierungsmaßnahmen behoben werden.

IT-Sicherheit geht jeden an!

Die Geschäftswelt von heute ist durch rasante Trends und einer wachsenden Dynamik und Komplexität beeinflusst. Parallel entstehen ständig mehr IT-Schwächen, welche von Internetkriminellen verwertet werden können. Jedoch gibt es mittlerweile mehrere Möglichkeiten mit denen Unternehmen, Internetkriminellen das Handwerk verkomplizieren können.
 
Dazu zählen außer Firewalls und Antivirenprogrammen der nächsten Generation, geregelte Schwachstellenscans und automatisierte Penetrationstests.
 
Wichtig ist es hierbei, den Internetkriminellen jederzeit einen Schritt voraus zu sein!
 
Haben Sie noch Anliegen zu automatisierten Penetrationstests oder möchten Sie den Schutz Ihrer IT-Infrastruktur mit einer leistungsstarken Penetrationstest-Möglichkeit auf ein neues Level bringen. Sprechen Sie uns an!