Qualitätsmerkmale für Penetration Tests
Die Qualität und der daraus resultierende Nutzen sind jedoch stark davon abhängig, wie dediziert auf die jeweilige Situation des zu überprüfenden Unternehmens eingegangen wird. Hierbei entscheidend sind unter anderem, wie viel Zeit und Ressourcen der Auftraggeber dem Dienstleister zur Ermittlung der Schwachstellen bewilligt – aber auch, wie produktiv und effizient dieser letztendlich dabei vorgeht. Zusätzlich ist zu beachten, dass ein automatisierter Penetrationstest unter Einsatz von Tools nicht so effizient und detailliert vorgetragen werden kann wie individuell gestaltete Test-Szenarien. Vom Prinzip her sind alle Schwachstellen, die in der Unternehmens-IT aufgedeckt werden, nichts anderes als von Menschen verursachte Fehler. Gemäß dieser Logik kann deren Aufdeckung keinesfalls mittels standardisierter Vorgehensweisen, sondern nur in einem kreativen Prozess erfolgen. Somit ist das individualisierte Assessment als das entscheidende Qualitätsmerkmal zu benennen.
Menschliche ‚Gegenspieler‘ für komplexe IT-Angriffe
Denn eine Maschine kann nicht nachvollziehen, was in den Köpfen der – in der Regel sehr motivierten und auch durchaus intelligenten – Angreifer vorgeht, wo sie welche Schwachstellen suchen und wie diese am besten ausnutzbar sind. Automatisierte Tools können hilfreich sein, wenn es darum geht, allseits bekannte und gut dokumentierte Verwundbarkeiten – wie veraltete Softwareversionen oder falsch konfigurierte Serverdienste – aufzudecken. Doch die dann noch angreifbare Lücke, die zwar in der Theorie als geschlossen gilt, aber in der Praxis noch Angriffspunkte bietet, entgeht Software-Werkzeugen viel zu oft.
Vorteile durch standardisierte Testverfahren
Das zweite Merkmal eines guten Penetrationstests ist seine Vergleichbarkeit. Hierzu muss sichergestellt sein, dass die turnusmäßigen Tests auf den jeweiligen Systemen analoge Ergebnisse hervorbringen, auch wenn diese von unterschiedlichen Prüfern durchgeführt wurden. Dies gewährleistet der Bezug auf international anerkannte Standards. Bei Infrastrukturtests, in denen zum Beispiel Netzwerkgeräte, Server und Backbones getestet werden, hat sich das ‚Open Source Security Testing Methodology Manual‘ (OSSTMM) als De-facto-Standard der Branche durchgesetzt. Die neunte Ausgabe von Rockwell Automations „State of Smart Manufacturing“ Report liefert Einblicke in Trends und Herausforderungen für Hersteller. Dazu wurden über 1.500 Fertigungsunternehmen befragt, knapp 100 der befragten Unternehmen kommen aus Deutschland. ‣ weiterlesen
KI in Fertigungsbranche vorn
Entsprechendes gilt beim Testen von Web-Applikationen für das ‚Open Web Application Security Project‘ (OWASP). Die hier zugrundeliegende Methodik verbürgt qualitativ hochwertige Assessments und gleichzeitig die Einhaltung des wichtigsten Ziels: dem Auftraggeber durch die standardisierte Vorgehensweise vergleich- und belastbare Ergebnisse zu liefern. Ein Kennzeichen für die Auswahl des passenden Beraters ist neben der Zertifizierung die Forderung eines adäquaten Honorars. Für hoch qualifizierte Penetrationstester sind regelmäßige Weiterbildungen sowie das Trainieren neuer Angriffstechniken ein Muss. Da diese Qualifizierungsmaßnahmen einen bedeutenden Kostenfaktor darstellen, spiegeln sie sich auch in der Preisgestaltung der Leistung wider. Der Thin[gk]athon, veranstaltet vom Smart Systems Hub, vereint kollaborative Intelligenz und Industrie-Expertise, um in einem dreitägigen Hackathon innovative Lösungsansätze für komplexe Fragestellungen zu generieren. ‣ weiterlesen
Innovationstreiber Thin[gk]athon: Kollaborative Intelligenz trifft auf Industrie-Expertise
Sicherheit als kontinuierlicher Prozess
IT-Sicherheit ist kein Produkt, das einmal eingekauft wird und dessen Einsatz dann garantiert, dass ein Unternehmen für alle Zeit sicher ist. Für die Beibehaltung eines bestimmten Sicherheitsniveaus bedarf es eines kontinuierlichen Prozesses, der regelmäßig überprüft werden muss. Schließlich werden ständig neue Anwendungen eingesetzt, was wiederum neue Anforderungen in puncto Absicherung impliziert. Da die Bedrohungen im Bereich IT eine zunehmende Komplexität aufweisen, gilt es, den Prozess bezüglich der Absicherung gezielt voranzutreiben und nicht erst dann tätig zu werden, wenn ein Vorfall eingetreten ist. Denn neben dem entstandenen Schaden, etwa Produktionsausfall oder Imageverlust, kommt hinzu, dass in dem Fall bei der Behebung der Schwachstelle übereilt gehandelt werden muss, um den Verlust so gering wie möglich zu halten.
Eine planvolle Vorgehensweise ist dann vielfach nicht möglich. Als Folge sind die im ‚Hotfix‘-Verfahren entstehenden Kosten vergleichsweise hoch, und die Lösung stellt meist nur ein Flickwerk dar, da sie nicht in einer Sicherheitsstrategie eingebettet ist. Die Abhängigkeit der Unternehmen von der IT hat ein hohes Niveau erreicht. Von daher ist es essentiell, die methodisch richtigen Maßnahmen zu treffen, um die Funktionsfähigkeit der IT zu gewährleisten.
