Die richtige Analyse von Penetrationstests
Firmennetzwerke und Webplattformen sind mittlerweile für viele Unternehmen eine wichtige Säule bei ihrer Vertriebsstrategie und auch wichtig für Auftragsabwicklung oder Kundenbetreuung. Doch wenn die dahinter liegenden Datenbanken angegriffen werden, kann dadurch nicht nur der laufende Betrieb beeinträchtigt werden, sondern darüber hinaus besteht auch die Gefahr, dass sensible Daten von Nutzern und Kunden nach außen dringen oder missbraucht werden. Um solche Risiken zu unterbinden, unterziehen viel Unternehmen ihre Netzwerke regelmäßigen Penetrationstests. Damit die Lehren aus diesen gezogen werden können, ist es aber auch wichtig, dass die Ergebnisse solcher Tests richtig ausgewertet und interpretiert werden.
Was ist ein Penetrationstest?
Ziel von Pentests bzw. Penetrationstests ist es, die Lücken, durch die Angreifer in Websystem eindringen könnten, zu erkennen und die Schwachstellen in Zukunft sicherer zu machen. Nicht selten werden diese Penetrationstests daher nicht nur von internen IT-Abteilungen durchgeführt, sondern sogar von externen Entwicklern und IT-Profis. Große Konzerne veranstalten immer wieder sogar Contests, bei denen Teilnehmer aus aller Welt versuchen, ein System innerhalb einer vorgegebenen Zeit zu knacken. Wem es gelingt, dem winkt nicht nur ein Preis, sondern auch oft eine Einstellung in der IT-Security des Unternehmens. Damit auch wirklich alle Schwachstellen erkannt werden können und Lehren aus der Aktion gezogen werden können, wird der Penetrationstest genau überwacht und ein Reporting erstellt.
Was gilt es bei externen Pentests zu beachten?
Wichtig zu wissen ist in jedem Fall, dass die Durchführung von Penetrationstests eines IT-Systems grundsätzlich illegal ist. Vorher muss eine vertragliche Vereinbarung zwischen dem Datenbank-Inhaber und den Testern erfolgen. Darüber hinaus sollte genau definiert werden, was getestet werden soll. Verfälscht wird der Test natürlich, wenn der Anbieter des Pentests IP-Adressen verwenden möchte, die zuerst einmal auf die Whitelist gesetzt werden sollen. Denn dann schlagen mitunter viele Sicherheitsstufen gar nicht an, die im Ernstfall sehr wohl aktiv wären. Wirklich Klarheit über den Status des Systems lässt sich aber nur dann erlangen, wenn das gesamte System geprüft wird und nicht nur ein Teilbereich.
In der Praxis zeigt sich, dass es häufig gezielte Attacken auf große Unternehmen mit klarem Ziel sind, wenn sehr exakt nach Lücken gesucht wird, um Daten zu rauben oder Systeme zu schädigen. In vielen anderen Fällen haben es Hacker hingegen deutlich einfacher, da etwa SSL-Zertifikate veraltet sind, keine Web Application Firewall verwendet wird oder Softwares nicht aktuell gehalten sind. Wenn Sie prüfen möchten, ob auch Ihre Webanwendungen vor Angriffen geschützt sind oder aber Schwachstellen haben, rufen Sie uns an, um ein kostenfreies Beratungsgespräch zu vereinbaren.
