Markus Müller am 26. April 2016 —

Der Penetrationstest – ein Test zur Verbesserung der Datensicherheit

So richtig sicher sind Daten anscheindend wirklich selten, wenn man mal die wiederkehrenden Datenskandale der letzten Jahre bedenkt. Sogar große Institituinen wie Krankenkassen, Banken und Verlage sind was Datenlecks und Datenklau angeht nicht etwa außen vor! Die Sicherheit unser persönlichen Daten, als auch von sehr sensiblen Firmendaten wird immer wieder bis ins Mark erschüttert bzw. erweist sich als schlicht illusionär. Organisierte Hacker-Angriffe – z.B. auf über 90000 Sony Nutzerkonten im Jahr 2011 – und natürlich die Schnüffeleien der NSA sind nur zwei Beispiele von vielen.

Unternehmen investieren mittlerweile Unsummen in die Sicherheit ihrer eigenen Daten und die ihrer Kunden. Der Schutz vor potentiellen Angriffen durch Hacker oder sogar Hacker-Gruppen scheint wichtiger als je zuvor. Dazu bedarf es allerdings einer IT-Infrastruktur, die auch durch effektive Maßnahmen geschützt wird. Dazu gehören Firewallsysteme oder auch technische und organisatorische Maßnahmen und Vorschriften, die unter dem Oberbegriff „IT-Sicherheit“ zusammengefasst sind. Mit alledem soll ein bestimmtes Sicherheitsniveau erreicht werden, doch wie wird ermittelt, ob das erwünschte Niveau auch bzw. gehalten wird? Um dies zu testen, hat sich in den vergangenen Jahren der sogenannte Penetrationstest durchgesetzt.

Schwachstellen finden und schließen

Der Penetrationstest dient primär der Identifikation von etwaigen Schwachstellen, die von nicht autorisierten externen Personen genutzt werden können, um sich illegal Zugriff zum System und den damit verbundenen sensiblen Firmen- und Kundendaten zu verschaffen. Die Identifikation dieser Schwachstellen ergibt sich aus der Nutzung diverser Tools oder Methoden, die im Ernstfall auch von Hackern genutzt werden. Realisiert wird der Penetrationstest dabei oftmals vom Systembetreiber selbst. Durch die Nutzung von Hacker-Tools und Methoden zur Schwachstellenanalyse kann der Penetrationstest einen sehr positiven Effekt auf die IT-Sicherheit des Unternehmens haben. Jedoch sind die Ergebnisse des Tests eher als Momentaufnahmen anzusehen. Die Informationstechnik ist ein sehr wandelbares und kompliziertes sowie höchst komplexes Feld. Selbst wenn Schwachstellen entdeckt und anschließend geschlossen werden, ist es oftmals leider der Fall, dass neue Schwachstellen entstehen. Es sind eben immer auch Menschen beteiligt, deren Verhalten nicht mit letzter Sicherheit und „für immer“ so bleibt, wie es aus Sicherheitsperspektive wünschbar wäre.

Auch kann es generelle Probleme bei der Durchführung eines Penetrationstests geben, denn so ein Test muss immer auf die spezifische Situation des jeweiligen Unternehmens angepasst werden. Oftmals kann es sogar sein, dass sich ein Penetrationstest für ein Unternehmen als nützlich, für ein anderes als unangebracht herausstellt. Der Test ist nämlich nur zu empfehlen, wenn das zu testende Unternehmen bereits ein IT-Sicherheitskonzept erarbeitet und implementiert hat. Ist ein Sicherheitskonzept noch gar nicht vorhanden, gerät jegliches Testen zur unnötigen Sisyphusarbeit, da das System höchstwahrscheinlich NUR aus Schwachstellen bestehen wird. In einem Solchen Fall ist es vielmehr angebracht, zunächst ein IT-Sicherheitskonzept zu gestalten und zu implementieren, um die generelle Datensicherheit des Unternehmens zu steigern.

***
wbutton

Vertiefende Informationen zum Penetrationstest und zur konkreten Durchführung in den verschiedenen Dimensionen der IT-Infrastruktur finden sich z.B. auf https://www.bluefrostsecurity.de/service/penetration-test/.

Diskussion

Kommentare abonnieren (RSS)
Ein Kommentar zu „Der Penetrationstest – ein Test zur Verbesserung der Datensicherheit“.

  1. Ich habe vorher noch nie von einem Penetrationstest gehört, nach durchlesen des Beitrags hört es sich aber sehr sinnvoll an. Es gibt so viele Unternehmen die Lücken haben, von denen sie nichts wissen! Danke für den informativen Bericht.

    LG Marco