Home » Fachbeiträge » Security Management » Welches Security Assessment sollte ich als Unternehmen durchführen?

Welches Security Assessment sollte ich als Unternehmen durchführen?

„Reicht ein Schwachstellenscan? Oder doch lieber ein Penetrationstest? Aber nur auf die im Internet exponierten Systeme, die sind am kritischsten.“ NEIN! Insbesondere wenn ein Unternehmen noch nie ein technisches Security Assessment (z. B. Penetrationstest) durchgeführt hat, gibt es viel Fehlinformationen zu der Thematik und einen Fokus auf die falschen oder nur einen kleinen Teil der Cyberrisiken.

2 Min. Lesezeit
Foto: @ adbobe.stock.com/James Thew

„Reicht ein Schwachstellenscan? Oder doch lieber ein Penetrationstest? Aber nur auf die im Internet exponierten Systeme, die sind am kritischsten.“

NEIN!

Insbesondere wenn ein Unternehmen noch nie ein technisches Security Assessment (z. B. Penetrationstest) durchgeführt hat, gibt es viel Fehlinformationen zu der Thematik und einen Fokus auf die falschen oder nur einen kleinen Teil der Cyberrisiken.

Ein manueller Penetrationstest durch einen erfahrenen Tester, sollte je nach Kritikalität der Anwendung/des Netzwerks in jedem Fall regelmäßig erfolgen. Als Best-Practice empfiehlt es sich internet-exponierte Systeme und interne Systeme mit einer hohen Kritikalität (z. B. das Windows Active Directory oder Systeme, die Kundendaten verarbeiten) jährlich prüfen zu lassen. Interne Systeme mit einer mittleren bis geringen Kritikalität, können etwa alle drei Jahre geprüft werden. Nur dadurch kann die Wirksamkeit von Sicherheitsmechanismen und -prozessen anhand neuster Angriffstechniken evaluiert und Schwachstellen identifiziert werden.

Bei technischen Security Assessments kann allgemein zwischen den drei folgenden Typen unterschieden werden:

  • Schwachstellenscan: Hier prüft ein automatisiertes Tool, welche Version ein bestimmter Dienst anbietet und welche Version der Software am aktuellsten ist. Anhand des Gaps wird ermittelt, ob und welche Schwachstellen vorhanden sind. Ein automatisierter Schwachstellenscan erfordert immer manuelle Nacharbeit und sollte Bestandteil eines vollständigen Vulnerability Management Prozesses sein.
  • Penetrationstest: Der klassische Penetrationstest (oder kurz Pentest) ist ein vollständig manuell durchgeführter Test gegen eine Webapplikation, ein Computersystem, ein internes Computernetzwerk etc.
  • Das Red Team Engagement: Die Königsdisziplin, sowohl für die Tester als auch für das zu testende Unternehmen. Dabei wird eine vollständige Angreifer-Simulation durchgeführt, die als Ziel hat, von außen in ein Unternehmensnetzwerk vorzudringen und dort die höchstmöglichen Berechtigungen zu erlangen.

Weitere technische Assessments wie Code Reviews von selbstentwickelten Webanwendungen oder Konfigurationsprüfungen von Systemen, sind je nach Anwendung und System ebenfalls sinnvoll.

Das Ziel sowie die Vorgehensweise sind je nach Security Assessment unterschiedlich. Bei einem Red Team Engagement beispielsweise geht es nicht darum möglichst jede Schwachstelle zu finden, sondern viel mehr darum: Erkennt die interne IT den Angriff und werden die richtigen Gegenmaßnahmen getroffen, um diesen Angriff abzuwehren?

Wenn Sie lösungsorientiert tiefer ins Thema einsteigen möchten, empfehlen wir Ihnen den direkten Kontakt zur @-yet GmbH.

Autor

Stephan Reinert ist als Security Resulter bei der @-yet GmbH mit den Schwerpunkten Planung und Durchführung von IT-Sicherheitsüberprüfungen und allgemeine Informationssicherheitsberatung tätig. Er verfügt über mehr als fünf Jahre Erfahrung als Berater und Auditor im Bereich Informationssicherheit/IT-Security und verfügt unter anderem über die Qualifikation „Offensive Security Certified Professional“ (OSCP).

 

Andere interessante Fachbeiträge

Regulation Symbol

Privileged Access Management als Grundstein der NIS-2-Compliance

Die NIS-2-Richtlinie sollte bis Oktober 2024 in nationales Recht überführt werden. Und auch wenn der Beschluss des Bundestags hierzu aktuell noch aussteht, lässt sich sagen: Bei We...

Risikomanagement - Abstrakt

DORA und NIS-2: Risikomanagement im Doppelpack

Mit DORA und NIS-2 hat die EU die Vorgaben an die Cybersicherheit verschärft. Beide Regelwerke stellen detaillierte Anforderungen an das Risikomanagement. Unsere Autorin zeigt, wel...

Mann vor menschlichen Silhouetten

IT-Sicherheit ist Teamplay

Die Herausforderungen für IT-Abteilungen im Kampf gegen Cyberkriminalität wachsen stetig: Neue Bedrohungen, raffinierte Angriffsstrategien und komplexe IT-Infrastrukturen erschwere...