Penetrationstests: die lästigen Lebensretter
14. Januar 2016Wie wertvoll Penetrationstests für die Informationssicherheit in einem Unternehmen oder einer Behörde sind, gerät oft angesichts knapper Budgets bei vielen IT-Chefs in Vergessenheit. Dabei decken solche Tests nicht nur Lücken in Systemen und Prozessen auf und sind gesetzlich teilweise vorgeschrieben, sondern können, korrekt durchgeführt, auch aufzeigen, wie sich ein knapp bemessenes Budget gezielt einsetzen lässt um die IT-Sicherheit im Unternehmen nachhaltig zu steigern. Daher ist es grundsätzlich sinnvoll, Penetrationstests gezielt und von Experten mit der entsprechenden Erfahrung durchführen zu lassen:
• Tests sind wichtiger Bestandteil der IT-Compliance: Das Bundesamt für Sicherheit in der Informationstechnik stellt klar: die Etablierung von Sicherheitssystemen allein gewährleistet keine Erfüllung gesetzlicher Vorgaben. Diese sind mannigfaltig und reichen von der Vorgabe interner Kontrollsysteme im Handelsgesetzbuch (HGB §238) über verpflichtende Frühwarnsysteme zur Gefahrenabwehr (§99 Absatz 2 Aktiengesetz) bis hin zu den strengen Richtlinien bei der Speicherung und Verarbeitung personenbezogener Daten im Telekommunikationsgesetz. Penetrationstests helfen dabei, die technischen Aspekte auf ihre Wirksamkeit zu überprüfen. Für die Prüfung nicht-technischer Anforderungen können Audits sinnvoll sein.
• Unabhängige Prüfer lohnen sich: Bereits die Planung einer regelmäßigen Prüfung durch einen neutralen Dritten wirkt positiv auf die Reputation und hebt in der Regel das Sicherheitsniveau. Der neutrale Blick von außen hat zudem den Vorteil, dass nicht derjenige, der die Sicherheit entwickelt hat, die Prüfung auf Wirksamkeit vornimmt. Ein möglicher Rollenkonflikt wird so zugunsten einer objektiven Prüfung vermieden.
• Penetrationstests sparen Geld: Penetrationstests zeigen konkrete Lücken auf und sind daher wertvoller, als sich lediglich abstrakt auf angenommene Gefahren vorzubereiten. Manche Risiken sind für IT-Abteilungen auch erst durch Tests, die Schwachstellen aufzeigen, erkennbar. Das meist begrenzte Budget kann gezielt für einen bestimmten Test und die Beseitigung konkreter Lücken genutzt werden – statt etwa in der Hoffnung auf „Rundumschutz“ eine leistungsstärkere Firewall anzuschaffen, die einen systemimmanenten Fehler oder andere Schwachstellen jedoch auch nicht finden kann.
„Zunächst kostet ein professionell durchgeführter Penetrationstest natürlich Geld. Als Investition in die Sicherheit der Unternehmensdaten ist er jedoch unbezahlbar. Schließlich kann eine Vernachlässigung der Sicherheit nicht nur zu einem wesentlichen Vertrauensverlust bei Kunden führen, sondern auch enormen monetären Schaden nach sich ziehen. Empfehlenswert ist die Auswahl eines seriösen und erfahrenen externen Anbieters. Denn nur er kann dabei helfen, die richtigen Schwerpunkte hinsichtlich der zu testenden Systeme zu setzen und gleichzeitig die Tests mit der gebotenen Professionalität durchzuführen“, sagt Bernhard Weber, Experte für Information Security bei msg. (rhh)
Hier geht es zu msg systems ag