Welches Security Assessment sollte ich als Unternehmen durchführen?

„Reicht ein Schwachstellenscan? Oder doch lieber ein Penetrationstest? Aber nur auf die im Internet exponierten Systeme, die sind am kritischsten.“ NEIN! Insbesondere wenn ein Unternehmen noch nie ein technisches Security Assessment (z. B. Penetrationstest) durchgeführt hat, gibt es viel Fehlinformationen zu der Thematik und einen Fokus auf die falschen oder nur einen kleinen Teil der Cyberrisiken.

2 Min. Lesezeit
Foto: @ adbobe.stock.com/James Thew

„Reicht ein Schwachstellenscan? Oder doch lieber ein Penetrationstest? Aber nur auf die im Internet exponierten Systeme, die sind am kritischsten.“

NEIN!

Insbesondere wenn ein Unternehmen noch nie ein technisches Security Assessment (z. B. Penetrationstest) durchgeführt hat, gibt es viel Fehlinformationen zu der Thematik und einen Fokus auf die falschen oder nur einen kleinen Teil der Cyberrisiken.

Ein manueller Penetrationstest durch einen erfahrenen Tester, sollte je nach Kritikalität der Anwendung/des Netzwerks in jedem Fall regelmäßig erfolgen. Als Best-Practice empfiehlt es sich internet-exponierte Systeme und interne Systeme mit einer hohen Kritikalität (z. B. das Windows Active Directory oder Systeme, die Kundendaten verarbeiten) jährlich prüfen zu lassen. Interne Systeme mit einer mittleren bis geringen Kritikalität, können etwa alle drei Jahre geprüft werden. Nur dadurch kann die Wirksamkeit von Sicherheitsmechanismen und -prozessen anhand neuster Angriffstechniken evaluiert und Schwachstellen identifiziert werden.

Bei technischen Security Assessments kann allgemein zwischen den drei folgenden Typen unterschieden werden:

  • Schwachstellenscan: Hier prüft ein automatisiertes Tool, welche Version ein bestimmter Dienst anbietet und welche Version der Software am aktuellsten ist. Anhand des Gaps wird ermittelt, ob und welche Schwachstellen vorhanden sind. Ein automatisierter Schwachstellenscan erfordert immer manuelle Nacharbeit und sollte Bestandteil eines vollständigen Vulnerability Management Prozesses sein.
  • Penetrationstest: Der klassische Penetrationstest (oder kurz Pentest) ist ein vollständig manuell durchgeführter Test gegen eine Webapplikation, ein Computersystem, ein internes Computernetzwerk etc.
  • Das Red Team Engagement: Die Königsdisziplin, sowohl für die Tester als auch für das zu testende Unternehmen. Dabei wird eine vollständige Angreifer-Simulation durchgeführt, die als Ziel hat, von außen in ein Unternehmensnetzwerk vorzudringen und dort die höchstmöglichen Berechtigungen zu erlangen.

Weitere technische Assessments wie Code Reviews von selbstentwickelten Webanwendungen oder Konfigurationsprüfungen von Systemen, sind je nach Anwendung und System ebenfalls sinnvoll.

Das Ziel sowie die Vorgehensweise sind je nach Security Assessment unterschiedlich. Bei einem Red Team Engagement beispielsweise geht es nicht darum möglichst jede Schwachstelle zu finden, sondern viel mehr darum: Erkennt die interne IT den Angriff und werden die richtigen Gegenmaßnahmen getroffen, um diesen Angriff abzuwehren?

Wenn Sie lösungsorientiert tiefer ins Thema einsteigen möchten, empfehlen wir Ihnen das Seminar „Security Assessments – Motivation, Voraussetzungen, Planung und Vorgehensweise“ am 12. September 2022 oder aber auch den direkten Kontakt zur @-yet GmbH.

Autor

Stephan Reinert ist als Security Resulter bei der @-yet GmbH mit den Schwerpunkten Planung und Durchführung von IT-Sicherheitsüberprüfungen und allgemeine Informationssicherheitsberatung tätig. Er verfügt über mehr als fünf Jahre Erfahrung als Berater und Auditor im Bereich Informationssicherheit/IT-Security und verfügt unter anderem über die Qualifikation „Offensive Security Certified Professional“ (OSCP).

 

Andere interessante Fachbeiträge

Ist Security-Awareness Zeitverschwendung?

Anfang der 2000er war die goldene Zeit der Awareness – es gab zahlreiche Tagungen in aller Welt, Gesamtpakete zur Steigerung der Awareness von Mitarbeitern mit Kantinen-Events (Security-Day), Tassen, Kugelschreibern und Postern. Heutzutage gibt es meist 08/15-Vorträge für die Mitarbeiter oder ein todlangweiliges computerbased Training. Ist daher die Zeit der Awareness vorbei? Ist es wirklich so, wie der „IT-Guru“ Bruce Schneider sagt: „Security-Awareness ist Zeitverschwendung“?

PCI DSS 4.0: Die wichtigsten Änderungen

Nach über vier Jahren Entwicklungszeit ist Ende März 2022 Version 4.0 des „Payment Card Industry Data Security Standard“ (PCI DSS) veröffentlicht worden. Die lange Entwicklungszeit und der Abstand zur vorherigen Hauptversion lassen schon erahnen, dass die neue Version signifikante Änderungen und Neuerungen mit sich bringt.

Welches Security Assessment sollte ich als Unternehmen durchführen?

„Reicht ein Schwachstellenscan? Oder doch lieber ein Penetrationstest? Aber nur auf die im Internet exponierten Systeme, die sind am kritischsten.“ NEIN! Insbesondere wenn ein Unternehmen noch nie ein technisches Security Assessment (z. B. Penetrationstest) durchgeführt hat, gibt es viel Fehlinformationen zu der Thematik und einen Fokus auf die falschen oder nur einen kleinen Teil der Cyberrisiken.