Automatisierung macht Pentesting auch für kleinere Unternehmen erschwinglich.
Pentesting ist eine effektive Maßnahme, um die Wirksamkeit von IT-Security-Maßnahmen zu überprüfen – und ist für einige Unternehmen bereits gesetzlich vorgeschrieben. Lange galt es als aufwendige manuelle Sicherheitsintervention, die nur große Konzerne ohne unverhältnismäßigen Ressourcenaufwand umsetzen konnten. Mit der automatisierten Version, der sogenannten Automated Security Validation, erhalten auch kleine und mittelständische Betriebe erschwinglichen Zugriff auf diese unverzichtbare Security-Maßnahme.
Mareen Dose und Daniel Hoyer, Presales Consultants bei indevis, erklären den Status quo modernen Pentestings und wie Unternehmen davon mit Expertenhilfe profitieren können.
- Was ist Pentesting und warum ist es wichtig?
Pentesting, kurz für »Penetrationstests« ist ein Verfahren, bei dem Security-Experten versuchen, gezielt in die IT-Infrastruktur eines Unternehmens einzudringen – ähnlich wie ein Angreifer es tun würde. So sollen kritische Schwachstellen identifiziert und im Anschluss geschlossen werden, bevor Cyberkriminelle sie ausnutzen. Das Verfahren hilft Firmen dabei, ihre Sicherheitsmaßnahmen zu evaluieren und zu verbessern sowie die Risikoexposition realistisch einzuschätzen. Reine Vulnerability-Management-Systeme reichen dafür nicht aus. Diese priorisieren Schwachstellen zwar standardisiert nach einem CVSS-Wert (Common Vulnerability Scoring System), liefern aber keine realistische und individuelle Einschätzung über deren Risikopotenzial. Pentesting ist somit ein unverzichtbarer Bestandteil einer modernen IT-Security-Infrastruktur.
- Manuelles vs. automatisiertes Pentesting – was ist der Unterschied?
Bisher fand Pentesting vor allem manuell statt. Dabei nehmen IT-Experten die Perspektive von Angreifern ein und führen in begrenzten Zeiträumen realistische Angriffe auf das Unternehmensnetzwerk durch. Automatisiertes Pentesting, auch als Automated Security Validation bezeichnet, hingegen nutzt Software und künstliche Intelligenz, um kontinuierlich und zu jedem beliebigen Zeitpunkt kritische Schwachstellen zu identifizieren. Beide Methoden haben ihre Vor- und Nachteile, je nach Anwendungsfall und Bedarf des Unternehmens.
- Manuelle Pentests: Gut für tiefgehende Analysen
Manuelle Pentests bieten tiefgehende, individuelle Analysen, die speziell auf die Gegebenheiten eines Unternehmens zugeschnitten sind. Besonders bei komplexen Szenarien mit sozialer Komponente, wie beim Red Teaming oder beim Test von Social-Engineering-Angriffen, sind menschliche Experten unverzichtbar. Manuelle Pentests bieten zudem Flexibilität etwa für spezifische Schwachstellen oder dynamische Angriffsszenarien. Allerdings zeigen sie lediglich eine Momentaufnahme – und da Pentesting mit menschlichen Testern aus Kostengründen in der Regel höchstens einmal im Jahr stattfindet, sind die Erkenntnisse meist nur kurze Zeit aktuell.
- Automated Security Validation bietet Effizienz und Vergleichbarkeit
Automatisiertes Pentesting beziehungsweise Automated Security Validation bringt Standardisierung und Effizienz. Es ermöglicht eine kontinuierliche Überprüfung der IT-Sicherheit von beliebig vielen vordefinierten Bereichen im Unternehmensnetzwerk, bietet vergleichbare Berichte und erfordert weniger personellen Aufwand. Mithilfe von KI-gestützten Tools lassen sich Schwachstellen über eine zentrale Plattform schnell und zuverlässig aufspüren und bewerten. Integrierte Kontrollen gewährleisten im Hintergrund den ununterbrochenen Betrieb. Erfahrene Security Researcher sorgen dafür, dass die Pentesting-Plattform stets über die neuesten Bedrohungsinformationen verfügt. So haben Unternehmen ihre Sicherheitslage jederzeit im Blick, sehen kontinuierlich, wie sich Angriffsflächen verändern – etwa nach System-Updates oder -Patches – und können bei Bedarf schnell eingreifen.
- Welche Variante ist kostengünstiger?
Manuelles Pentesting ist in der Regel kostenintesiv, da es spezialisierte Fachkräfte erfordert, die über Kompetenzen auf dem Niveau professioneller Hacker verfügen. Bei der Automated Security Validation übernehmen hingegen die eingesetzten Tools kontinuierlich die Hauptarbeit, was insgesamt Kosten reduziert. Trotzdem ist automatisiertes Pentesting nicht per se kostengünstiger. Vielmehr hängt der Investitionsbedarf von der Anzahl der zu überprüfenden Assets und IP-Adressen ab. Dafür können aber zu kalkulierbaren Kosten beliebig viele Pentests pro Jahr durchgeführt werden.
- Automated Security Validation als Managed Service
Noch ist Pentesting teuer und aufwändig. Doch automatisierte Security-Validierung gibt es seit Kurzem auch als Managed Security Service zu buchen. Das macht Pentesting nun auch für kleine und mittelständische Unternehmen erschwinglich. Dank Pentesting-as-a-Service können mit überschaubarem Aufwand kontinuierliche Sicherheitsüberprüfungen durchgeführt werden, ohne unverhältnismäßig Ressourcen zu binden. So lässt sich auch im Mittelstand mit neuesten Tools der Schutz vor Cyberkriminellen deutlich erhöhen.
- Compliance und gesetzliche Vorgaben: Pentesting oft schon verpflichtend
Für viele Betriebe ist Pentesting mittlerweile nicht mehr nur optional, sondern Pflicht. Vor allem Organisationen, die unter die NIS2-Verordnung oder den Digital Operational Resilience Act (DORA) fallen, sind gesetzlich verpflichtet, regelmäßige Sicherheitsüberprüfungen durchzuführen. Pentesting ist dafür ein mögliches und wirksames Instrument. Auch für Betriebe, die eine Cyberversicherung abschließen möchten, ist Pentesting oft eine Voraussetzung. Zu erwarten ist, dass sich die Vorgaben nach und nach auch in andere Bereiche ausweiten. Daher sollten sich Verantwortliche in Unternehmen aller Branchen bereits jetzt Gedanken über den Einsatz von Pentesting machen.
- Wie gelingt die Einführung einer Pentesting-Plattform?
Pentesting ist nur dann sinnvoll, wenn Unternehmen bereits über ein solides Sicherheitsniveau verfügen. Ohne grundlegende Security-Maßnahmen könnten die Pentest-Ergebnisse und die schiere Anzahl der empfohlenen Maßnahmen überwältigend sein. Zugang zu der Automated Security Platform der Wahl lässt sich meist schnell einrichten – oft sind auch keine lokalen Installationen erforderlich. Falls das Know-how im eigenen Haus fehlt, können sich Firmen Unterstützung durch externe Spezialisten oder einen Managed Security Service Provider (MSSP) holen. Letzterer hilft sowohl in der Anfangsphase beim Aufsetzen der Pentests als auch im weiteren Verlauf, um die Automated Security Validation kontinuierlich durchzuführen, Ergebnisse zu besprechen, Handlungsempfehlung abzuleiten und bei Bedarf auch bei deren Umsetzung zu unterstützen. Zudem bieten MSSPs dank ihres Pentesting-as-a-Service-Angebots auch flexible Lizenzierungsoptionen.
Fazit: Jetzt Vorbereitungen treffen
Pentesting entwickelt sich dank Automatisierung zunehmend vom Luxusgut zu einem unverzichtbaren Bestandteil jeder IT-Sicherheitsstrategie. Im Gartner Hype Cycle 2024 für Security Operations wurde Pentesting beziehungsweise die Oberkategorie »Adversarial Exposure Validation« als Innovation Trigger hinzugefügt. Sowohl manuelle als auch automatisierte Methoden haben dabei ihre Berechtigung und lassen sich je nach Anforderung kombinieren. Mit den richtigen Maßnahmen und Tools können Unternehmen ihre IT-Systeme so kontinuierlich auf Angriffsvektoren hin überprüfen und sich besser vor potenziellen Cyberangriffen schützen. Wer inhouse nicht über die notwendige Expertise verfügt, kann sich Hilfe von einem erfahrenen Experten wie einem Managed Security Service Provider (MSSP) einholen. Mareen Dose und Daniel Hoyer von indevis sind sich einig: »Verantwortliche sollten sich jetzt mit dem Thema auseinandersetzen und sich um die notwendige Security-Reife für Pentesting kümmern. So können sie ihr Unternehmen effektiv und außerdem Compliance-konform vor kritischen Cyberangriffen schützen und den Geschäftserfolg langfristig sicherstellen.«
Über die Autoren:
Mareen Dose und Daniel Hoyer sind Presales Consultants bei indevis und verfügen über langjährige Berufserfahrung im IT-Security-Umfeld. Sie beraten Kunden in allen Belangen rund um die Abwehr und Bekämpfung von Cyberbedrohungen.
54 Artikel zu „Pentest“
News | IT-Security | Produktmeldung | Services
Plattform für Pentests, Risikoanalyse und Cyberverteidigung
ADN und Enginsight bieten All-In-One-Security für Systemhäuser und Service Provider. Cyberangriffe sind zum Geschäftsrisiko Nummer eins geworden. Gleichzeitig steigen die gesetzlichen Anforderungen an Unternehmen stetig. Mit der All-In-One-Security-Plattform von Enginsight bietet ADN seinen Partnerunternehmen und deren Kunden aus dem Mittelstand ab sofort die richtige Antwort auf diese Herausforderungen. Laut dem Allianz Risk Barometer 2023…
News | IT-Security
Redlings Pentest: Netzwerkumgebung mit Hacker-Wissen schützen
So segensreich das Internet mit all seinen verbindenden Elementen und Technologien ist, so risikoreich gestaltet sich seine Nutzung für Unternehmen. Denn überall dort, wo unternehmenseigene IT-Netzwerke Zugang gewähren oder eine Verbindung nach außen bereitstellen, besteht die Gefahr unerlaubter Zugriffe. Um die eigenen Daten zu schützen, benötigen Unternehmen deshalb eine möglichst umfassende IT-Sicherheitsstrategie zur Abwehr…
Trends 2024 | News | Trends Kommunikation
Fax und Diskette sind den meisten Kindern unbekannt
Kassettenrekorder noch am bekanntesten. Weniger als die Hälfte der 6- bis 9-Jährigen kennt noch Telefonzellen. Zum Vergleich: Vom Internet haben bereits 98 Prozent der Jüngsten gehört. Diskette, Schreibmaschine und Fax – früher Alltag im Büro und den eigenen vier Wänden – heute für viele Kinder und Jugendliche ein Rätsel. Insgesamt knapp drei Viertel (73…
Trends 2024 | News | Trends Security | IT-Security
Zahl der Cyberangriffe wieder deutlich gestiegen – Cyberresilienz ist wichtiges Unternehmensziel
60 % der befragten Unternehmen wurden häufiger Opfer von Cyberangriffen / 46 % verloren aufgrund von Angriffen Kunden / Für ein Viertel entstanden Kosten von über 500.000 € / 79 % sehen Cyberresilienz als ein wichtiges beziehungsweise sehr wichtiges Unternehmensziel / Ein Drittel brauchte nach Cyberattacke mehr als einen Monat bis zur vollständigen Wiederherstellung des…
News | Business | IT-Security | Services
»Cyberresilienz brennt im Topmanagement«
Managementexperte Dr. Harald Schönfeld: »Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS2 ist der Chief Information Security Officer die gefragteste Person auf der obersten Führungsebene.« »Cyberresilienz ist derzeit eines der Hauptthemen im Topmanagement«, sagt der Managementexperte Dr. Harald Schönfeld. Er macht das an einer »stark steigenden Nachfrage nach Chief Information Security Officers auf Zeit« am Personalmarkt fest.…
Trends 2024 | Security Spezial 7-8-2024 | News | Trends Security | IT-Security | Whitepaper
Menschliches Versagen ist die größte Schwachstelle in der Cybersicherheit
IT-Profis setzen sich zudem intensiv mit dem Thema Künstliche Intelligenz auseinander. Im Cybersecurity Surveys 2024 haben IT-Profis angegeben, dass die größte Herausforderung in der Cybersicherheit das Verhalten der Anwender ist. Ein weiteres wichtiges Ergebnis: Die Nutzung künstlicher Intelligenz (KI) steht sowohl bei Cyberkriminellen als auch bei Cybersecurity-Teams hoch im Kurs. Die grundsätzliche Bewertung des…
Ausgabe 9-10-2024 | Security Spezial 9-10-2024 | News | IT-Security
Von der Firewall zur Cyberresilienz: Wie Axians den Mittelstand auf zukünftige Bedrohungen vorbereitet – Cyber Security in IT und OT
News | Digitalisierung | IT-Security | Kommentar | Strategien
KRITIS-Dachgesetz: Unternehmen müssen sich jetzt auf neue Sicherheitsstandards einstellen
Mit dem geplanten KRITIS-Dachgesetz, das am 18. Oktober 2024 in Kraft tritt [1], setzt die Bundesregierung einen Meilenstein zur Stärkung der Sicherheit kritischer Infrastrukturen in Deutschland. Erstmals werden bundesweit Mindeststandards für den physischen Schutz festgelegt und kritische Infrastrukturen klar definiert. Während bisherige Regelungen primär die IT-Sicherheit betrafen, zielt das neue Gesetz darauf ab, die Resilienz…
Trends 2024 | News | Trends Security | IT-Security
Politische Cyberakteure und Cybercrime-Gruppierungen arbeiten immer häufiger zusammen
Gleichzeitige Angriffe auf ein Ziel nehmen zu und verursachen mehr Schaden. Politische Cyberakteure nutzen Großereignisse aus und folgen häufig einer wöchentlichen Routine. Angreifer machen sich schwache Sicherheitsinfrastrukturen sowie nicht vorhandene Gegenmaßnahmen zunutze. OpenText stellt seinen Threat-Hunter-Perspective-Report 2024 vor [1]. Daraus geht deutlich hervor, dass sich vor allem ein prominenter Trend immer größerer Beliebtheit unter…
News | Cloud Computing | Digitale Transformation | Effizienz
Die digitale Transformation nicht länger aufschieben
Wie Unternehmen ihr Cloud-Potenzial nutzen können, um die Resilienz ihrer Lieferketten zu stärken und Wachstumsziele zu erreichen. Wirtschaftliche, umweltbedingte und politische Unsicherheiten bedrohen die globalen Lieferketten zunehmend und gefährden die Versorgungssicherheit. Zwar lassen sich Lieferkettenabläufe in der Cloud optimieren und als sichere, resiliente End-to-End-Prozesse über Unternehmens- und Ländergrenzen hinweg orchestrieren, doch viele Unternehmen misstrauen…
News | Favoriten der Redaktion | IT-Security | Strategien | Tipps
Mehr Cyberresilienz für KMU: Die Kunst trotz limitierter Mittel kritische Ressourcen zu schützen
Kleine und mittlere Unternehmen (KMU) werden zunehmend zur Zielscheibe von Cyberkriminellen. In der Mehrzahl beherrschen überwiegend große Unternehmen die Schlagzeilen. Fakt ist aber, dass im Falle von Datensicherheitsverletzungen gerade KMU einem höheren Risiko ausgesetzt sind. So geben annähernd 70 Prozent der aus diesem Segment befragten Firmen an, im vergangenen Jahr mindestens einem Cyberangriff ausgesetzt gewesen…
News | Business Process Management | Digitalisierung | IT-Security | Rechenzentrum | Strategien
Digitalisierung und Cyberresilienz machen eine Kulturrevolution in den Unternehmen unumgänglich
Wie Cyberresilienz die Prozesse rund um Datensicherheit und Datensicherung neu aufstellt. Digitalisiertes Wirtschaften wälzt die Unternehmenskultur um. Denn der Zugriff auf in Echtzeit verfügbaren Informationen ermöglicht eine neue Geschwindigkeit sowie höhere Produktivität und unterstützt immer mehr Stakeholder im Unternehmen mit effizienter Unterstützung der Geschäftsabläufe durch die IT. Die Kehrseite ist die Anfälligkeit der Abläufe für…
News | Business | IT-Security | Services
Erschreckend hoher Organisationsgrad: Neun Effizienztaktiken in der Cybercrime-Wirtschaft
Professionalität und Gewinnstreben bestimmen seit langem die Aktionen der Hacker. Blickt man auf das aktuelle Geschehen, sieht man eine immer geschäftsmäßiger agierende Cyberkriminalität. Die Experten von Bitdefender beobachten aktuell neun Taktiken eines sich weiter optimierenden digitalen Verbrechens. Die cyberkriminelle Szene strebt nach Profit. Nach Ansicht von Experten belaufen sich deren Einnahmen auf rund 1,5…
Trends 2024 | News | Trends Security | IT-Security
Cyberresilienz und Cyber Recovery: Vorbereitung zahlt sich aus
Neue Ergebnisse aus dem »2024 Cyber Recovery Readiness Report« zu Effekten von Investitionen in Cyberresilienz. Einmal angegriffene Unternehmen konnten durch Cyber-Recovery-Maßnahmen ihre Wiederherstellungszeit verbessern. Die globale Befragung von 1.000 IT- und IT-Sicherheitsverantwortlichen belegt, dass Unternehmen, die Opfer eines fremden Zugriffs auf Daten wurden, ihr Verhalten, Daten zu sichern, verändert haben und damit ihre Recovery deutlich…
News | IT-Security | Strategien | Tipps
So lässt sich das Bermudadreieck aus Cyberbedrohungen, IT-Ausfällen und EU-Regularien umschiffen
CIOs und CISOs geraten aus verschiedenen Richtungen unter Druck. Mark Molyneux, EMEA CTO bei Cohesity, gibt in einem Leitfaden Empfehlungen, wie Unternehmen folgenden Herausforderungen begegnen können: Wachsende Bedrohung durch Cyberangriffe Die Bedrohungen für Unternehmensdaten nehmen ständig zu. Mit dem einfachen Zugang zu KI und SaaS-Modellen können auch weniger Versierte Attacken ausführen, wodurch die Zahl…
News | IT-Security | Produktmeldung
KI-gestützte Cyberresilienzplattform macht Unternehmen jeder Größe schnell wieder handlungsfähig
Nach einer Cyberattacke müssen Unternehmen sofort wieder geschäftsfähig sein, denn jeder verlorene Tag bedeutet schmerzlichen Produktivitätsverlust und einhergehende Finanzeinbußen. Eine echte Cyberresilienzstrategie ist daher unverzichtbar, auch um NIS2, DORA und ISO-27001-Richtlinien einzuhalten. Moderne Softwarelösungen bieten schon vor potenziellen Angriffen entsprechende Schutzmaßnahmen, damit Daten nach einem Worst Case schnellstmöglich wieder schadfrei verfügbar sind. Commvault Cloud sorgt…
News | IT-Security | Services | Tipps
Die Hausordnung für IT-Systeme: NIS2
NIS2 sorgt in vielen Köpfen für Unsicherheit. Dabei lässt sie sich gut mit der Hausordnung, wie sie in Mehrfamilienhäusern oder Firmengebäuden existiert, vergleichen: Die europaweite Direktive ist das Regelwerk (Hausordnung), deren Einhaltung Dienstleister (analog zum Hausmeister) für Unternehmen (quasi die Bewohner) sicherstellen. Doch was ist neu an NIS2? Welche Maßnahmen müssen Firmen implementieren? Die nachfolgende…
Ausgabe 7-8-2024 | News | IT-Security | Services
Der Finanzsektor wird zum Wildnis-Ranger für IT-Sicherheit – Überlebensequipment
News | Cloud Computing | Infrastruktur | IT-Security | Tipps
Die Cloud als Schlüssel zur betrieblichen Resilienz
Der Cloud Computing-Markt wächst beständig weiter und ein Ende dieses Aufwärtstrends scheint nicht in Sicht zu sein. Laut Prognosen könnte er bis 2032 die Marke von gut 2,29 Billionen US-Dollar knacken. [1]. Das würde einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 16,5 Prozent entsprechen. Ein Hauptgrund für dieses Wachstum lässt sich in der Attraktivität der Cloud…
News | IT-Security | Tipps
Cyberkriminelle nutzen CrowdStrike-Outage
Nach der CrowdStrike-Panne vom 19. Juli 2024 entdeckten Akamai-Forscher mehr als 180 neu erstellte schädliche Domains. Diese gaben vor, Betroffenen bei der Navigation durch ihre IT-Ausfälle behilflich zu sein. Mit mehr als 20 Prozent des beobachteten Angriffsverkehrs gehörten gemeinnützige Organisationen und das Bildungswesen zu den am stärksten betroffenen Branchen. Der Sicherheitsexperte Akamai hat die am…