Wissen Sie, wie gut Ihr Unternehmen gegen einen professionellen Hackerangriff geschützt ist? In Anbetracht der stetigen Zunahme von Angriffen auf Unternehmen jeder Größe ist die Frage nicht ganz unberechtigt. Mit Hilfe eines sogenannten Penetrationstests lassen sich Sicherheitslücken aufdecken – und Ihr Unternehmen ist gewappnet vor der Gefahr von außen.
Das Wichtigste in Kürze
- Ein Penetrationstest (Pentest) ist ein Härtetest für die IT-Sicherheit, der Schwachstellen wie Programmier- und Konfigurationsfehler oder fehlende Sicherheitsupdates aufdeckt.
- Getestet wird mit zwei Szenarien: einem Angriff von außen über das Internet und einem internen Angriff direkt aus dem Unternehmen heraus.
- Beinahe alle 39 Sekunden erfolgt ein Hackerangriff, der im Schnitt erst nach 200 Tagen entdeckt wird; die Schadensbehebung kostet deutsche Unternehmen durchschnittlich über 70.000 Euro.
- Gerade kleine und mittelständische Unternehmen werden bevorzugt angegriffen, weil Hacker dort geringere Sicherheitsmaßnahmen unterstellen.
- Ein Penetrationstest sollte regelmäßig – spätestens nach zwei Jahren – wiederholt werden.
Penetrationstest – Was ist das?
Ein Penetrationstest oder kurz Pentest ist ein Härtetest für Ihre IT-Sicherheit im Unternehmen, mit dem nicht erkannte Sicherheitslücken behoben werden können. Dabei werden IT-Systeme und -Anwendungen auf potenzielle Schwachstellen geprüft. Neben Programmierfehlern sind auch Konfigurationsfehler oder fehlende Sicherheitsupdates die Ursache für das Eindringen in ein System.
Wie umfangreich ist ein Penetrationstest?
Der Umfang des Sicherheitschecks richtet sich ganz danach, welches Gefährdungspotenzial bei Ihnen vorliegt. Letztlich hängt es von Ihnen ab, ob Sie nur einzelne, besonders kritische Komponenten checken lassen möchten oder ein Rundumpaket wünschen.
Im Vorfeld wird ausführlich besprochen, was das Ziel der IT-Sicherheitsanalyse sein soll. Und auch wenn der Penetrationstest einem echten Hackerangriff gleichkommt – keine Sorge: Ihre IT bleibt selbstverständlich unversehrt, sodass Ihr Betrieb uneingeschränkt weiterlaufen kann.
Wie läuft der simulierte Hackerangriff ab?
Hierbei kommen zwei verschiedene Angriffsszenarien zum Einsatz.
Bei einem Angriff von außen versuchen die Experten, über die aus dem Internet zugänglichen Systeme in das unternehmensinterne Netzwerk einzudringen und beispielsweise IP-Adressen abzufangen, das Login Ihres Kundenportals zu umgehen oder Ihre Webpräsenz im Ganzen anzugreifen. Beim internen Angriff agieren die Fachleute direkt aus Ihrem Unternehmen heraus, um Ihre Systeme auf Herz und Nieren zu prüfen. Ziel ist es festzustellen, welche Schäden entstehen können, sollten Unternehmenszugänge kriminell missbraucht werden. Da einige Schutzsysteme dann schon umgangen wurden, verursacht ein Angriff von innen heraus meist einen größeren Schaden.
Im Anschluss an einen Angriff wird alles akribisch dokumentiert, sodass Sie nachvollziehen können, wo Schwachstellen sind. Außerdem werden die Ergebnisse Ihnen bzw. Ihrer Geschäftsführung präsentiert. Auf Wunsch unterstützen die Fachleute Sie auch beim Consulting Ihrer IT-Abteilung oder beraten Ihren IT-Partner.
Etwa ein halbes Jahr nach dem Pentest empfiehlt es sich, einen neuen simulierten Hackerangriff durchzuführen, um zu testen, wie gut die Sicherheitslücken geschlossen wurden.
Warum sind Unternehmen überhaupt Ziel von Hackerangriffen?
Weil sich (insbesondere personenbezogene) Daten zu einem äußerst wertvollen Wirtschaftsgut entwickelt haben, sind Unternehmen immer öfter von Hackerangriffen betroffen. Hinzu kommt, dass im Kontext der Digitalisierung vermehrt kritische Geschäftsanwendungen web- bzw. mobilbasiert ablaufen oder Daten und Anwendungen zunehmend in die Cloud verlagert werden. Daraus ergeben sich für Cyberkriminelle immer neue Angriffsmöglichkeiten.
Die Zahlen sind erschreckend: Beinahe alle 39 Sekunden erfolgt ein Hackerangriff, der im Schnitt erst nach 200 Tagen entdeckt wird. Oft jedoch wird der Angriff gar nicht bemerkt – mit fatalen Folgen, denn zur Behebung des Schadens zahlen deutsche Unternehmen im Durchschnitt über 70.000 Euro.
Mittels eines Pentests lassen sich Schwachstellen der IT-Infrastruktur aufdecken. Gerade die Unternehmensführung, aber auch IT-Verantwortliche sollten deshalb ein besonderes Augenmerk auf Cybersecurity und Datenschutzmaßnahmen legen und ggf. eine Erhöhung der Ausgaben für die Cybersicherheit rechtzeitig einplanen.
Warum sind Hackerangriffe erfolgreich?
In vielen Unternehmen sind beispielsweise Serverlizenzen abgelaufen, werden Passwörter doppelt oder dreifach vergeben oder Passwörter werden nicht regelmäßig geändert. All das begünstigt, dass ein Hackerangriff gelingt. Um den Ernstfall zu umgehen, lohnt es sich, ein professionelles IT-Unternehmen zu beauftragen, das mittels eines Penetrationstests Fehler aufdeckt. Dann lässt sich auch besser budgetieren, wie im Falle eines erfolgreichen Angriffs die IT-Sicherheit Ihres Unternehmens wiederhergestellt werden kann.
Ist ein Pentest für kleine und mittelständische Unternehmen sinnvoll?
Inzwischen ist jedes Unternehmen ein lohnendes Ziel für Hacker. Home-Office, cloudbasierte Systeme und virtuelle Server unterstützen den Weg in die Zukunft, transportieren aber auch sensible Daten und bringen damit potenzielle neue Sicherheitslücken auch bei kleinen und mittelständischen Unternehmen ins Spiel. Und da Hacker insbesondere bei kleinen und mittelständischen Unternehmen geringere Sicherheitsmaßnahmen unterstellen, werden diese bevorzugt angegriffen.
Wie oft sollte ein Penetrationstest wiederholt werden?
Sowohl die getestete Infrastruktur bzw. die Anwendung als auch die Methoden des Pentests selbst entwickeln sich weiter, sodass die Ergebnisse des Tests mit der Zeit nicht mehr aussagekräftig sind. Deshalb sollte ein Penetrationstest im Idealfall regelmäßig – spätestens jedoch nach zwei Jahren – wiederholt werden. Gern beraten wir Sie unverbindlich zur besten Vorgehensweise für Ihr Unternehmen.
Häufige Fragen
Was ist ein Penetrationstest?
Wird der laufende Betrieb durch den Pentest beeinträchtigt?
Lohnt sich ein Pentest auch für kleine und mittelständische Unternehmen?
Wie oft sollte ein Penetrationstest wiederholt werden?
Passende Leistungen
Verfasst von
Maximilian DalichowIT-Projektleitung