Für ein Unternehmen gibt es kaum ein schlimmeres Szenario, als dass Hacker in die unternehmenseigene IT-Infrastruktur eindringen und sensible Daten stehlen oder Unternehmensprozesse durch unbemerktes Einschleusen von Schadsoftware lahmlegen.
Um so etwas zu verhindern, versuchen die Unternehmen, Abwehrmaßnahmen zu ergreifen, errichten Firewalls und gewähren Zugriffsrechte nur in sehr geringem Umfang und erst nach einem Authentifizierungsverfahren. Alle diese Sicherheitsvorkehrungen aber sind Teil der IT-Infrastruktur und damit ebenso anfällig für die immer ausgereifteren Methoden im Bereich Cybercrime. Hier braucht es Lösungen, die sich am Vorgehen der Hacker orientieren. Eine solche Lösung ist der Penetrationstest.
Cyber-Kriminalität steigt und wird immer effektiver
In der Bundesrepublik wies die Statistik für das Jahr 2020 insgesamt 108.474 Straftaten aus, die im Bereich Cyber-Kriminalität begangen wurden. Ein Großteil solcher Taten richtete sich gegen Unternehmen. Aufgrund ihrer Innovationskraft und Wirtschaftsstärke sind sie ein besonders beliebtes, weil lohnendes Ziel für Cyber-Angriffe. Dabei reicht die Palette von digitaler Erpressung bis hin zum Datendiebstahl.
Die von den Tätern verwendeten Methoden zum Eindringen in fremde IT-Strukturen entwickeln sich so rasant weiter, dass die unternehmenseigenen Teams für IT-Sicherheit kaum hinterherkommen, wenn es darum geht, Sicherheitslücken zu schließen.
Penetrationstest: Sicherheitsbewertung nach Hacker-Manier
Unternehmen für IT-Sicherheitsbewertungen wie die Redlings GmbH bieten Lösungen in Form von Penetrationstests an, die die IT-Infrastrukturen auf verschiedenen Ebenen eines Unternehmens oder in ihrer Gesamtheit hin einer Bewertung hinsichtlich ihres Sicherheitsstandards untersuchen. Durch Maßnahmen, wie sie auch von effizienten Hackern verwendet werden, prüfen die IT-Sicherheitsexperten, wo die Strukturen Schwachstellen haben und wie man diese effizient beseitigt.
Die IT-Sicherheitsexperten führen im Rahmen dieser Netzwerk-Pentests zwei unterschiedliche Bewertungen der IT-Infrastruktur und exponierter Netzwerkdienste durch, eine externe und eine interne. Dazu setzen die Experten auf:
• Enumeration, also das Erkennen aller IT-Systeme im Unternehmen, aller im Unternehmen ausgeführten Dienste sowie dem Abruf sogenannter DNS-Einträge zur Identifikation weiterer Systeme
• Identifizierung möglicher Schwachstellen durch Identifikation laufender Dienste und ihrer Versionsinformationen
• Ausnutzen gefundener Schwachstellen oder fehlerhafter Konfigurationen bzw. Exploits
• Post-Exploitation, das Ausnutzen gefundener Schwachstellen sowie Prüfung, ob sie die vorher vereinbarten Ziele des externen Pentests noch realisieren lassen
• Prüfung hinsichtlich weiterer Schwachstellen mit Zugriffsmöglichkeit auf das interne Unternehmensnetzwerk sowie ein Neustart des Prozesses
Der interne Penetrationstest simuliert als zweiter Schritt beim Penetrationstest sozusagen einen Angriff von innen und konzentriert sich darauf, Schwachstellen im inneren der unternehmenseigenen IT-Infrastruktur zu finden. Das können kompromittierte Hosts oder Server sein, auf die über Benutzerkonten zugegriffen wurde. Auch der Zugriff mittels einer Person. Die Vorgehensweise bezüglich der Identifizierung möglicher Schwachstellen ist in weiten Teilen identisch mit der beim externen Penetrationstest.
Sicherheitsbewertung auf unterschiedlichen Ebenen
Eine Überprüfung der IT-Infrastruktur eines Unternehmens muss umfassend sein, um sämtliche Sicherheitslücken aufzudecken und vor unberechtigtem Zugriff zu schützen. Dabei sollten vor allem die Bereiche Big Data und Vernetzung überprüft werden. Aber auch hinsichtlich Phishing und Social Engineering sowie Cloudnutzung und BYOD (Bring Your Own Device) sollten im Fokus stehen.
Big Data & Cloudnutzung: große Datenmengen als Sicherheitsrisiko ausschließen
Je größer eine Unternehmens ist, desto umfangreicher und damit unübersichtlicher werden die Datenmengen, die es speichern, analysieren & organisieren und mit Geschäftspartnern oder Zweigstellen teilen muss. Hier können nur ausgereifte IT-Lösungen und regelmäßige Kontrollen der Sicherheitsstandards dafür sorgen, dass diese Daten möglichst effizient gesichert und vor unberechtigtem Zugriff geschützt sind. Das gilt auch für die Nutzung der Cloud durch Unternehmen. Denn der Datentransfer in die Cloud sowie die Speicherung muss auf Basis von Fachkenntnissen hinsichtlich des Zusammenhangs von IT-Sicherheit und Cloud-Verwendung gestaltet und gesichert sein.
Vernetzung: Verschlüsselter Datenaustausch
In unserer globalisierten und vernetzten Welt ist es gerade in der Wirtschaft notwendig, unternehmenseigene Daten mit dritten Parteien auszutauschen. Das kann unternehmensintern zwischen verschiedenen Abteilungen geschehen oder aber mit externen Partnern wie externen HR-Dienstleistern oder sonstigen Geschäftspartnern. Hier benötigt ein Unternehmen Expertise im Bereich „Supply-Chain-Sicherheit“, denn Daten müssen nicht nur intern geschützt sein, sondern auch über die Unternehmensgrenzen hinaus. Ein vollumfängliches Sicherheitskonzept ist der der beste Weg, Daten effizient zu schützen.
Abwehr von Phishing bzw. Social Engineering
Durch immer professionelleres Phishing, das im Bereich des Social Engineering anzusiedeln ist, versuchen Cyber-Kriminelle mithilfe von Phishing-E-Mails, an vertrauliche Informationen zu kommen. Auch das Einschleusen schädlicher Software in unternehmenseigene Systeme funktioniert auf diesem Weg. Diese E-Mails können als Massen-E-Mails gleichzeitig an mehrere Unternehmen geschickt werden. Nicht selten suchen sich die Absender aber auch einzelne Unternehmen ganz gezielt aus. Hier sind Lösungen notwendig, die in der Lage sind, solche Phishing-Nachrichten zu identifizieren und unschädlich zu machen.
BYOD: Private Endgeräte in Unternehmen
Ein nicht zu unterschätzendes Sicherheitsrisiko sind Endgeräte wie Smartphones, Laptops oder Tablet-PCs, die von Mitarbeitenden nicht nur privat, sondern auch beruflich genutzt werden. In diesem Fall kommt es zu einer Vermischung von privaten und geschäftlichen Daten durch das Einbinden der Geräte in die unternehmenseigenen Netzwerke und IT-Strukturen. Hier sind Sicherheitsvorkehrungen wie Datenverschlüsselung und vor allem Zugriffsbeschränkungen zum Schutz von sensiblen Geschäftsdaten unabdingbar.
Fazit: IT-Sicherheitsstrategie muss ganzheitlich sein
In Anbetracht der steigenden Anzahl von Angriffen, die von Cyber-Kriminellen ausgeführt werden, um von außen und innen in Unternehmenssysteme einzudringen, wird eine ganzheitliche Strategie in Sachen IT-Sicherheit immer existenzieller. Diese entwickelt sich stetig weiter, es gibt immer neue, noch komplexere Technologien, die nicht nur Vorteile mit sich bringen, sondern auch vorrangige Angriffsflächen bieten, wenn es um Cyber-Kriminalität geht. Hier können Lösungen wie der Penetrationstest der Redlings GmbH helfen, durch Identifizierung und Beseitigung von Schwachstellen Zugriffsversuche abzuwehren. Der Verzicht darauf, frühzeitig auf Bedrohungen zu reagieren, kann für Unternehmen sehr teuer werden.
STARTSEITE
