Sehr geehrte Leserinnen und Leser,
Internetkriminalität ist inzwischen ein blühender Wirtschaftszweig. Ob Datendiebstahl über Phishing-Kampagnen, Erpressungen über Ransomware oder Observation über Spionage-Applikationen: Inzwischen steht fast jedes Unternehmen in Deutschland unter digitalem Dauerbeschuss, wie die Befunde jüngster Studien darstellen.
Laut dem aktuellen Cyber Readiness Report 2021 von Hiscox sind im Jahr 2021 46 Prozent der befragten Betriebe hierzulande und somit fünf Prozent mehr als im vorherigen Jahr, von einem solchen Internetangriff betroffen. 28 Prozent haben sogar mindestens zwei Internetangriffe erfahren – und bei 17 Prozent waren ebendiese tatsächlich derart groß, dass sie möglicherweise existenzbedrohende Folgen hatten.
Wie bedeutend ein mehrstufiges IT-Sicherheitskonzept mit dauerhaft wirkungsvollen und verlässlichen IT-Sicherheitslösungen ist, machen besonders die großen Unkosten im Schadensfall klar: Hiscox entsprechend mussten die deutschen Unternehmen im letzten Jahr im Schnitt beinahe 21.818 Euro aufbringen, um einen einzelnen Schadensfall zu beheben.
Ich sehe was, was du nicht siehst!
Um sich vor solchen unter Umständen existenzbedrohenden Schadenssummen zu bewahren, ist es erforderlich, die eigenen IT-Sicherheitsmaßnahmen regelmäßig einem Test zu unterziehen.
Ein etabliertes Mittel hierfür sind automatische Penetrationstests. Im Kontrast zu manuellen Penetrationstests, die in der Regel zeitintensiv, aufwändig und kostenintensiv sind, können Betriebe mithilfe automatischer Penetrationstests fortlaufend kontrollierte Internetangriffe auf ein IT-System, eine Geschäftsanwendung oder ein komplettes Unternehmensnetzwerk einleiten, um unbemerkte IT-Schwachstellen sowie Angriffspunkte aufzuspüren und zu beseitigen, bevor sie von Internetkriminellen für ihre kriminellen Finessen verwertet werden können.
Mit dem Ziel einen möglichst realitätsnahen Internetangriff zu simulieren, kommen hierfür dieselben Angriffstechniken zum Gebrauch, auf die auch Internetkriminelle zurückkommen.
Dazu gehören unter anderem:
· Sniffing-Angriffe
· Man-in-the-Middle-Angriffe
· Remote-Execution-Angriffe
· Password-Cracking-Angriffe
· Ethical-Malware-Injections
· Social-Engineering-Angriffe
Die unterschiedlichen Typen von automatisierten Penetrationstests!
In der gegenwärtigen Businesswelt sind Internetangriffe auf IT-Infrastrukturen von Betrieben an der Tagesordnung. Längst dreht es sich bei den Internetangriffen nicht mehr nur um virtuelle Bedrohungsszenarien und punktgenaue Angriffe, sondern um weit angelegte mehrstufige Angriffskampagnen, die Betriebe, Behörden und Privatleute gleichermaßen gefährden.
Darum werden an vielen Orten automatisierte Penetrationstests angewendet, mit dem Ziel das Unternehmensnetzwerk, die IT-Systeme, Geschäftsanwendungen sowie Geschäftsdaten zusätzlich besser vor aktuellen Internetbedrohungen zu bewahren. Über die Tatsache hinaus sind die Betriebe im Rahmen des Artikel 32 Abs. 1 D der DSGVO hierzu verpflichtet „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ einzubauen.
Mittlerweile existieren zahlreiche unterschiedliche Versionen von Penetrationstest-Angeboten auf dem Markt. Jene lassen sich in die nachfolgenden Bereiche aufgliedern:
• Netzwerk: Bei diesem Penetrationstest, wird die Netzwerkinfrastruktur eines Unternehmens beurteilt. Hierfür werden beispielsweise die Firewall-Konfiguration gecheckt und Angriffe auf DNS-Ebene gemacht.
• Web-Anwendung: Diese Penetrationstests zielen auf ausgesuchte Webanwendungen beispielsweise Browser, Applets und Plug-Ins ab.
• Client-seitig: Client-seitige Penetrationstests werden angewendet, mit dem Ziel nach IT-Schwachpunkte und Angriffspunkte bei lokal verwendeter Software von Drittanbietern oder etwa Open-Source-Software zu suchen.
• WLAN: Ein Penetrationstest für WLANs sucht nach IT-Schwächen in WLAN-Konfigurationsprotokollen oder Zugriffsrechten, die von jeglichen Endpunkten ausgebeutet werden könnten, welche sich über WLAN vernetzen.
• Social Engineering: Bei dieser Erscheinungsform von Penetrationstests werden gezielt geplante Angriffe auf die Mitarbeiter des Betriebs gemacht. Der Pluspunkt: Firmen erhalten durch diesen Penetrationstest Aufschluss hiervon, inwiefern das IT-Sicherheitsbewusstsein der Arbeitskräfte ausgeprägt ist.
Vorteile von automatisierten Penetrationstests!
IT-Schwachstellen werden inzwischen in beträchtlicher Weise ausgenutzt, um an vertrauliche Geschäftsinformationen und interessante Vermögenswerte zu gelangen. Deswegen wird es für Unternehmen zunehmend gewichtiger, sämtliche IT-Schwachpunkte im Unternehmensnetzwerk aufzuspüren, um den Triumph von Internetangriffen zu minimieren und dadurch die Schäden begrenzen zu können.
Automatisierte Penetrationstests sind dafür ausgesprochen geeignet.
Die Unternehmen profitieren beispielsweise durch:
1. Zeit und-Kosteneinsparungen
Automatisierte Penetrationstests sind im Gegensatz zu manuellen Penetrationstests, welche Tage erfordern können, schneller erledigt. Im Zuge einer automatischen Berichterstellung haben Unternehmen die Möglichkeit, die gefundenen IT-Schwachstellen schnell zu beseitigen. Ein weiterer Vorteil ist es, dass bei dem automatisierten Penetrationstest Sicherheitsexperten sowie sogenannte „White-Hat-Hacker“ nur für einen knappen Zeitabschnitt beauftragt werden müssen, sodass die Ausgaben für einen langwierigen und manuellen Penetrationstest gespart werden können.
2. eine hohe Testhäufigkeit
Automatisierte Penetrationstests können im Gegenteil zu manuellen Penetrationstests jede Woche oder sogar jeden Tag durchgeführt werden, da sie weder zeitaufwendig oder kostspielig sind.
3. eine hohe Reichweite des Zugriffs
Automatisierte Penetrationstests können im Unterschied zu manuellen Penetrationstests von unterschiedlichen Einstiegspunkten aus ausgeführt werden. Auf diese Weise können zahlreiche IT-Schwachstellen erkannt wie auch im Rahmen der Optimierungsmaßnahmen beseitigt werden.
IT-Sicherheit geht jeden an!
Die Geschäftswelt heutzutage ist durch schnelle Entwicklungen sowie einer zunehmenden Dynamik und Komplexität geprägt. Gleichzeitig entstehen ständig mehr IT-Schwächen, die von Internetkriminellen ausgebeutet werden können. Allerdings gibt es inzwischen zahlreiche Möglichkeiten mit welchen Firmen, Internetkriminellen das Handwerk erschweren können.
Dazu zählen außer Firewalls wie auch Antivirenprogrammen der nächsten Generation, kontinuierliche Schwachstellenscans sowie automatisierte Penetrationstests. Entscheidend ist es dabei, den Internetkriminellen stets einen Schritt voraus zu sein!
Haben Sie noch Anliegen zu automatisierten Penetrationstests oder möchten Sie die Sicherheit Ihrer IT-Infrastruktur mit einer leistungsstarken Penetrationstest-Lösung auf ein neues Level bringen. Sprechen Sie uns an!