Mit Pentesting können Unternehmen die Wirksamkeit von IT-Security-Maßnahmen überprüfen – für einige Firmen ist dies bereits gesetzlich vorgeschrieben. Lange galt es als aufwendige manuelle Sicherheitsintervention, die nur große Konzerne ohne unverhältnismäßigen Ressourcenaufwand umsetzen konnten. Mit der automatisierten Version, der sogenannten Automated Security Validation, erhalten auch kleine und mittelständische Betriebe erschwinglichen Zugriff auf diese unverzichtbare Security-Maßnahme. Mareen Dose und Daniel Hoyer, Presales Consultants bei Indevis, erklären den Status quo modernen Pentestings und wie Unternehmen davon profitieren können.
1. Was ist Pentesting und warum ist es wichtig?
Pentesting, kurz für Penetrationstests ist ein Verfahren, bei dem Security-Experten versuchen, gezielt in die IT-Infrastruktur eines Unternehmens einzudringen – ähnlich wie ein Angreifer es tun würde. So sollen kritische Schwachstellen identifiziert und im Anschluss geschlossen werden, bevor Cyberkriminelle sie ausnutzen. Firmen können so ihre Sicherheitsmaßnahmen evaluieren und anpassen sowie die Risikoexposition realistisch einzuschätzen. Reine Vulnerability-Management-Systeme priorisieren Schwachstellen zwar standardisiert nach einem CVSS-Wert (Common Vulnerability Scoring System), liefern aber keine realistische und individuelle Einschätzung über deren Risikopotenzial.
2. Manuelles vs. automatisiertes Pentesting – was ist der Unterschied?
Bisher fand Pentesting vor allem manuell statt. Dabei nehmen IT-Experten die Perspektive von Angreifern ein und führen in begrenzten Zeiträumen realistische Angriffe auf das Unternehmensnetzwerk durch. Automatisiertes Pentesting, auch als Automated Security Validation bezeichnet, nutzt hingegen Software und künstliche Intelligenz, um kontinuierlich kritische Schwachstellen zu identifizieren. Beide Methoden haben ihre Vor- und Nachteile, je nach Anwendungsfall und Bedarf des Unternehmens.
3. Manuelle Pentests: Gut für tiefgehende Analysen
Manuelle Pentests bieten tiefgehende, individuelle Analysen, die speziell auf die Gegebenheiten eines Unternehmens zugeschnitten sind. Besonders bei komplexen Szenarien mit sozialer Komponente, wie beim Red Teaming oder beim Test von Social-Engineering-Angriffen, sind menschliche Experten unverzichtbar. Manuelle Pentests bieten zudem Flexibilität etwa für spezifische Schwachstellen oder dynamische Angriffsszenarien. Allerdings zeigen sie lediglich eine Momentaufnahme – und da Pentesting mit menschlichen Testern aus Kostengründen in der Regel höchstens einmal im Jahr stattfindet, sind die Erkenntnisse meist nur kurze Zeit aktuell.
