Home » Fachbeiträge » Security Management » Welches Security Assessment sollte ich als Unternehmen durchführen?

Welches Security Assessment sollte ich als Unternehmen durchführen?

„Reicht ein Schwachstellenscan? Oder doch lieber ein Penetrationstest? Aber nur auf die im Internet exponierten Systeme, die sind am kritischsten.“ NEIN! Insbesondere wenn ein Unternehmen noch nie ein technisches Security Assessment (z. B. Penetrationstest) durchgeführt hat, gibt es viel Fehlinformationen zu der Thematik und einen Fokus auf die falschen oder nur einen kleinen Teil der Cyberrisiken.

2 Min. Lesezeit
Foto: @ adbobe.stock.com/James Thew

„Reicht ein Schwachstellenscan? Oder doch lieber ein Penetrationstest? Aber nur auf die im Internet exponierten Systeme, die sind am kritischsten.“

NEIN!

Insbesondere wenn ein Unternehmen noch nie ein technisches Security Assessment (z. B. Penetrationstest) durchgeführt hat, gibt es viel Fehlinformationen zu der Thematik und einen Fokus auf die falschen oder nur einen kleinen Teil der Cyberrisiken.

Ein manueller Penetrationstest durch einen erfahrenen Tester, sollte je nach Kritikalität der Anwendung/des Netzwerks in jedem Fall regelmäßig erfolgen. Als Best-Practice empfiehlt es sich internet-exponierte Systeme und interne Systeme mit einer hohen Kritikalität (z. B. das Windows Active Directory oder Systeme, die Kundendaten verarbeiten) jährlich prüfen zu lassen. Interne Systeme mit einer mittleren bis geringen Kritikalität, können etwa alle drei Jahre geprüft werden. Nur dadurch kann die Wirksamkeit von Sicherheitsmechanismen und -prozessen anhand neuster Angriffstechniken evaluiert und Schwachstellen identifiziert werden.

Bei technischen Security Assessments kann allgemein zwischen den drei folgenden Typen unterschieden werden:

  • Schwachstellenscan: Hier prüft ein automatisiertes Tool, welche Version ein bestimmter Dienst anbietet und welche Version der Software am aktuellsten ist. Anhand des Gaps wird ermittelt, ob und welche Schwachstellen vorhanden sind. Ein automatisierter Schwachstellenscan erfordert immer manuelle Nacharbeit und sollte Bestandteil eines vollständigen Vulnerability Management Prozesses sein.
  • Penetrationstest: Der klassische Penetrationstest (oder kurz Pentest) ist ein vollständig manuell durchgeführter Test gegen eine Webapplikation, ein Computersystem, ein internes Computernetzwerk etc.
  • Das Red Team Engagement: Die Königsdisziplin, sowohl für die Tester als auch für das zu testende Unternehmen. Dabei wird eine vollständige Angreifer-Simulation durchgeführt, die als Ziel hat, von außen in ein Unternehmensnetzwerk vorzudringen und dort die höchstmöglichen Berechtigungen zu erlangen.

Weitere technische Assessments wie Code Reviews von selbstentwickelten Webanwendungen oder Konfigurationsprüfungen von Systemen, sind je nach Anwendung und System ebenfalls sinnvoll.

Das Ziel sowie die Vorgehensweise sind je nach Security Assessment unterschiedlich. Bei einem Red Team Engagement beispielsweise geht es nicht darum möglichst jede Schwachstelle zu finden, sondern viel mehr darum: Erkennt die interne IT den Angriff und werden die richtigen Gegenmaßnahmen getroffen, um diesen Angriff abzuwehren?

Wenn Sie lösungsorientiert tiefer ins Thema einsteigen möchten, empfehlen wir Ihnen das Seminar „Security Assessments – Motivation, Voraussetzungen, Planung und Vorgehensweise“ am 12. September 2022 oder aber auch den direkten Kontakt zur @-yet GmbH.

Autor

Stephan Reinert ist als Security Resulter bei der @-yet GmbH mit den Schwerpunkten Planung und Durchführung von IT-Sicherheitsüberprüfungen und allgemeine Informationssicherheitsberatung tätig. Er verfügt über mehr als fünf Jahre Erfahrung als Berater und Auditor im Bereich Informationssicherheit/IT-Security und verfügt unter anderem über die Qualifikation „Offensive Security Certified Professional“ (OSCP).

 

Andere interessante Fachbeiträge

Hacker stielt Daten aus Laptop

Learnings aus dem Microsoft Crashdump-Hack

Wenn in einem der sichersten IT-Support-Center der internationalen Softwareindustrie ein Master-Key gezielt aus einem Crash-Dump gestohlen wird, dann zeigt dies zweierlei: Zum einen nutzen Hacker IT-Diagnosedateien als „Fundgrube“ für sicherheitskritische und sensible Informationen, und zum anderen sind diese Inhalte in keinem IT-Betrieb oder IT-Support dieser Welt wirklich sicher.

Porträt Mann mit verwundertem Blick

Raus aus der Opfer-Starre

Vor dem Hintergrund zunehmender hybrider Bedrohungen stehen Führungskräfte mehr denn je vor der Herausforderung, manipulativen Cyberangriffen bestmöglich zu begegnen. Dazu sind Kompetenzen jenseits von Sicherheitssoftware gefragt. Hier setzen Methoden des Change-Managements an.

Kinder in Superman-/Superwoman-Outfits auf einem Felsvorsprung

Chefsache Künstliche Intelligenz

Die Welt befindet sich durch aktuelle geopolitische, wirtschaftliche und gesellschaftliche Turbulenzen im Wandel. Unternehmen und deren Führungskräfte dürfen nicht nur die zur Lösung herbeigerufene Digitalisierung und künstliche Intelligenz (KI) der IT-Abteilung überlassen, sondern es ist eine fundamentale und radikale Neuausrichtung der Wirtschaft und Unternehmensführung im Zusammenhang mit KI erforderlich.