Business Security

Gefahr für interne Netzwerke: Bedrohungen mit dem nötigen Stellenwert behandeln

KMUs sind meistens diejenigen, die von Hackerangriffen betroffen sind
KMUs sind meistens diejenigen, die von Hackerangriffen betroffen sind. Bild: Unsplash, Charles Deluvio

Es gibt kaum noch ein Unternehmen, das nicht über eine unternehmenseigene IT-Infrastruktur verfügt - Gerade diese aber macht das Unternehmen angreifbar! Hacker können versuchen ins System einzudringen, Daten zu entwenden oder Schadsoftware einzuschleusen, die die IT schachmatt setzt und dadurch meist große Teile oder sogar die gesamten Geschäftsprozesse blockiert.

Gefährdungspotenzial für interne Netzwerke reduzieren durch Pentests

Große Konzerne beschäftigen ganze Teams von IT-Sicherheitsexperten, die nichts anderes tun, als die unternehmenseigenen IT-Systeme nach Schwachstellen abzusuchen und bestehende Sicherheitslücken zu schließen. Dabei arbeiten sie meist aus der Perspektive des Unternehmens heraus. Wichtiger wäre allerdings, auch den Blickwinkel der Hacker zu berücksichtigen.

Hierfür muss man aber Geld in die Hand nehmen, denn ein auf IT-Sicherheitsbewertungen spezialisiertes Unternehmen beschäftigt ausgewählte IT-Sicherheitsexperten, deren Fähigkeiten darin bestehen, bei einem Penetrationstest vorzugehen, wie ein Hacker. Hierfür ist spezielles Wissen bezüglich des Vorgehens der Hacker und der von ihnen genutzten verwendeten Techniken notwendig. Dr. Ewan Fleischmann, Gründer von Redlings: „Das wichtigste Ziel eines Penetrationstest sollte nicht sein zu zeigen, dass ein Unternehmen gehackt werden kann, sondern die Sichtweise und Techniken eines realen, fortgeschrittenen Angreifers so einzubringen, dass zielgerichtete und kosteneffiziente Gegenmaßnahmen in einem Unternehmen umgesetzt werden kann.“

Deshalb sind kleine und mittlere Unternehmen geeignete Ziele für Hacker

leine und mittlere Unternehmen geeignete Ziele für Hacker
Bild: Unsplash, Adi Goldstein


Wo große Konzerne finanziell aus dem Vollen schöpfen können, um die Sicherheit ihrer Systeme und sensiblen Daten zu gewährleisten, fehlt es vor allem kleinen und mittleren Unternehmen an eben diesen finanziellen Möglichkeiten.

Hier liegt einer der Hauptgründe, weshalb gerade diese Unternehmen von Hackern und dem organisierten Cybercrime Ziele für Angriffe sind. Es fehlt nicht der Willen, das eigene Unternehmen zu schützen, es mangelt sehr oft schlicht am nötigen Geld. Dabei wäre die regelmäßige Kontrolle der IT-Infrastruktur so wichtig, denn gerade viele kleinere Unternehmen sowie der Mittelstand verfügen über neueste Technologien oder haben Produkte entwickelt, deren Daten dann bei einem Hackerangriff gestohlen werden können. Da solche Daten meist weiterverkauft werden, verlieren die Unternehmen im schlimmsten Fall ihren Wettbewerbsvorteil gegenüber der Konkurrenz.

Zwar können sich Unternehmen inzwischen durch Cyber-Versicherungen gegen Datendiebstahl absichern, die effizienteste Methode, die Risiken zu reduzieren, besteht aber darin, die eigene IT-Umgebung in regelmäßigen Zeitabständen durch einen externen und internen Penetrationstest auf mögliche Hintertüren untersuchen zu lassen. Die dunkle Seite dieser Medaille ist aber die damit einhergehende Bedrohung, denn jede Verbindung zu einem externen Dienst, jede Telefonleitung und jeder Arbeitsplatz im Homeoffice multiplizieren die Möglichkeiten für ein Eindringen in ein internes Netzwerk.

Vor allem Fehler in der Konfiguration oder bei der Programmierung genutzter Infrastrukturen oder Betriebssysteme bieten Angriffsflächen. Aber auch fehlerhafte Systemdienste oder Webanwendungen sind mögliche Einfallstore. Was Hackern sehr oft zum Erfolg verhilft, ist nicht zuletzt riskantes Verhalten von Nutzern des unternehmenseigenen Netzwerks. Auch beim sogenannten Social Engineering spielt der Mensch die entscheidende Rolle für ein erfolgreiches Eindringen in IT-Systeme. Ein Beispiel ist die Verwendung des privaten Smartphones oder Tablet-PCs für berufliche Zwecke.

Fehlende IT-Sicherheitsstrategie: Ein Penetrationstest muss Konsequenzen nach sich ziehen

Staat und Gesetzgeber gehen zwar seit Jahren gegen die sich verschärfende Kriminalität in diesem Bereich vor und Penetrationstests können etwaige Schwachstellen identifizieren. Die Hauptverantwortung liegt aber bei den Unternehmensführungen. Ein Pentest zeigt zwar mögliche Schlupflöcher von außen und innen ins IT-System auf, er beinhaltet allerdings in der Regel nicht das Schließen der Schwachstellen.

Das Unternehmen selbst muss dafür Sorge tragen, dass Hackern jede Chance auf ein Eindringen genommen wird. Das ist schon im ureigendsten Interesse der Vorstände und CEOs. Die Verantwortlichen können für entstandene Schäden persönlich haftbar gemacht werden, wenn sie nicht alles unternommen haben, um die Sicherheit der IT-Infrastruktur und der sensiblen Unternehmensdaten zu gewährleisten.

Aus diesem Grund müssen Unternehmen bestrebt sein, auf Basis der Ergebnisse beauftragter Penetrationstests und anderer Überprüfungsmethoden eine umfassende IT-Sicherheitsstrategie zu erarbeiten. Nur mit einer solchen lässt sich das Gefährdungspotenzial für ein Unternehmen signifikant senken.

Defensive Sicherheitsdienste und Beratungsleistungen

Viele Unternehmen für IT-Sicherheitsbewertungen bieten nicht nur Pentests verschiedenen Umfangs und für einzelne Bereiche wie Web Application, Cloud, WLAN oder Mobile & API an, sondern stellen auch defensive IT-Sicherheitsdienstleistungen zur Verfügung. Auch diese Dienste orientieren sich am Vorgehen von Hackern, wodurch die IT-Infrastruktur noch effizienter geschützt werden kann.

Nutzt man die Dienste solcher Unternehmen, profitiert man auch aufgrund des umfassenden Wissens der IT-Experten, die dort tätig sind. Sie sind in der Lage, die beauftragenden Kunden hinsichtlich der Planung, Durchführung und Analyse von Pentests ganzheitlich zu beraten. Vor allem können sie wertvolle Hinweise geben, ob ein Penetrationstest als sogenannter White-Box-Pentest, als Black-Box-Pentest oder als Grey-Box-Pentest durchgeführt werden sollte. Diese drei Varianten unterscheiden sich ausschließlich durch den Umfang des Wissens, das der jeweilige Test-Experte bezüglich des zu testenden IT-Systems besitzt.

Fazit

Die Technologie entwickelt sich in einem rasanten Tempo und ebenso schnell schreitet das Wissen von Hackern voran. Will sich ein Unternehmen erfolgreich gegen ungebetene Gäste in seiner IT-Infrastruktur wehren, ist ein Penetrationstest auf der Basis von Hacker-Fachwissen ein adäquates Mittel, Schwachstellen aufzuspüren und das interne Netzwerk eines Unternehmens zukünftig effizienter zu schützen.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben