Wir brauchen mehr »Pentesting«

Illustration Absmeier foto freepik

Dennis Weyel: »Blindes Vertrauen in die Cyber-Verteidigungssysteme, ohne diese fortlaufend auf den Prüfstand zu stellen, ist naiv.«

 

Pentesting, also die Selbsteinschätzung der IT-Infrastruktur der eigenen Firma, um die Cyberresilienz zu testen, wird in der Wirtschaft sträflich vernachlässigt, beklagt Dennis Weyel, International Technical Director mit Zuständigkeit für Europa beim Sicherheitsunternehmen Horizon3.ai. Er erklärt: »Wie standhaft ein IT-Netzwerk gegenüber Cyberattacken wirklich ist, weiß man nur, wenn man es mit simulierten Angriffen auf den Prüfstand stellt. Erst durch Penetrationstests lässt sich feststellen, ob Hacker von außen eindringen können oder ob ein Unternehmen tatsächlich vor Cyberkriminellen geschützt ist.«

Doch laut dem aktuellen »Cyber Security Report DACH 2024« von Horizon3.ai, dem eine Stichprobe von 300 Firmen in Deutschland, Österreich und der Schweiz zugrunde liegt, überprüfen lediglich 40 Prozent aller Unternehmen regelmäßig, ob ihre IT-Infrastruktur Penetrationsversuchen von außen standhält. Knapp die Hälfte davon führt einen solchen Pentest aber nur einmal jährlich oder sogar nur alle paar Jahre durch. Zwar inszenieren 38 Prozent der Unternehmen bis zu dreimal pro Jahr einen Selbstangriff auf sich, aber nur drei Prozent attackieren sich mehr als dreimal jährlich.

Dennis Weyel erläutert: »Die meisten Firmen haben weit mehr als ein Dutzend Cyber-Verteidigungssysteme im Einsatz und verlassen sich schlichtweg darauf, damit ausreichend gegen Cyberattacken von außen geschützt zu sein. Doch das ist wie ein Blindflug, bei dem man darauf vertraut, dass alle Systeme automatisch funktionieren. Das mag bei einem Schönwetterflug ausreichen, aber es ist naiv zu glauben, dass dieser rein defensive Ansatz einem Dauerfeuer an Angriffen standhält.« Der Sicherheitsfachmann verweist auf Statistiken des Bundeskriminalamtes (BKA), wonach es in Deutschland täglich(!) zu mehr als 4.000 Einbruchsversuchen in Firmennetze kommt [1]. Dennoch verlassen sich laut aktuellem Report 55 Prozent der Firmen auf rein defensive Sicherheitskonzepte. Ein knappes Viertel hält offensive Penetrationstests schlichtweg für überflüssig. Immerhin 19 Prozent führen ab und zu »Notfallübungen« durch, aber lediglich fünf Prozent setzen sich selbst einem Dauerfeuer aus, um die eigene Cyberresilienz zu überprüfen.

 

Dennis Weyel: »Menschliche Schwächen werden vernachlässigt«

Allerdings konzentrieren sich selbst die »Dauertester« auf das Aufspüren technischer Sicherheitslücken und Schwachstellen in Softwareprogrammen, ohne menschliche Schwächen ausreichend zu berücksichtigen, hat die Umfrage von Horizon3.ai zutage gefördert. »Ein Penetrationstest ohne Social Engineering hat wenig Wert«, sagt Experte Dennis Weyel. Er führt aus: »Hacker werten in der Regel alle öffentlich zugänglichen Informationen über ein Unternehmen, seine Beschäftigten und sogar ehemalige Mitarbeiter etwa in den sozialen Netzwerken aus, um sicherheitsrelevante Hinweise aufzuspüren. Ein vom Unternehmen autorisierter Selbstangriff muss daher auch mit Social Engineering arbeiten und Open-Source-Informationen sammeln, um der tatsächlichen Bedrohungslage gerecht zu werden.«

Als eine weitere häufig anzutreffende Folge menschlicher Schwächen nennt Sicherheitsfachmann Dennis Weyel »Konfigurationsfehler durch Unwissenheit oder Schlamperei in den Verteidigungssystemen«. Er sagt: »Viele Firmen betreiben 20 bis 40 verschiedene Sicherheitsprogramme gleichzeitig, haben aber längst den Überblick über die damit verbundenen Konfigurationen verloren. Allein die notwendige ständige Aktualisierung der Securitysoftware überfordert viele IT-Teams in den Unternehmen, weniger vom Know-how her als vielmehr durch den damit verbundenen Arbeitsaufwand. Bei jedem einzelnen Update muss im Grunde die Gesamtkonfiguration neu überprüft werden, weil aus dem Zusammenspiel unterschiedlicher Systeme neue Fehleranfälligkeiten entstehen können, sobald sich eine Komponente auch nur geringfügig ändert.«

Angesichts des damit verbundenen hohen Aufwands hält es Dennis Weyel für »illusorisch, die Überprüfung der Cybersicherheit durch Penetrationstests allein Experten anzuvertrauen«. Er sagt: »So viele qualifizierte Fachleute mit Zertifizierungen wie Offensive Security Certified Professional oder Certified Ethical Hacker gibt es gar nicht.« Vielmehr sollten die Unternehmen auf autonome Pentest-Plattformen ausweichen, weil diese »sicherer und kostengünstiger als jedes Expertenteam arbeiten.« Er stellt klar: »Natürlich brauchen wir weiterhin möglichst viele und hochqualifizierte Spezialisten, aber gleichzeitig müssen wir den Automatisierungsgrad bei Penetrationstests so weit wie möglich erhöhen, um der ständig wachsenden Bedrohungslage gerecht zu werden.« Die Empfehlung kommt nicht von ungefähr: Weyels Arbeitgeber Horizon3.ai bietet unter dem Namen NodeZero eine Cloud-basierte Pentesting-Plattform an, mit der Unternehmen einen Selbstangriff auf ihre IT-Infrastruktur durchführen können, um ihre Cyberresilienz zu überprüfen.

 

Selbst die »Demilitarisierte Zone« ist nicht mehr sicher

Die Häufigkeit und Gründlichkeit der Pentests spielt auch deshalb eine Schlüsselrolle bei der Cybersicherheit, weil dabei nicht nur die »Außenhaut« der IT-Netzwerke einem umfassenden Penetrationsversuch unterzogen werden sollte, sondern es auch die interne Absicherung zu überprüfen gilt. Dennis Weyel erläutert: »Durch Homeoffice, das Internet der Dinge und Mobile Work erhalten immer mehr Geräte von entfernten Standorten aus Zugriff auf das Unternehmensnetzwerk. Dadurch gibt es zwangsläufig mehr Angriffsfläche als je zuvor. Ein zeitgemäßes Sicherheitskonzept muss daher davon ausgehen, dass ein Hacker die Außenhaut durchdringt und den initialen Zugang zu einem Netzsegment bekommt, von dem aus er einen internen Angriff startet.«

Selbst die sogenannte »Demilitarisierte Zone« (DMZ), die als besonders vertrauenswürdig gilt, weil sie mehrfach gegen andere Netzwerksegmente abgeschirmt ist, kann nach Weyels Erfahrungen nicht mehr per se als sicherer Raum eingestuft werden. »Ein moderner Penetrationstest muss sich das gesamte Firmennetzwerk in allen seinen Verästelungen vorknöpfen«, betont der Sicherheitsexperte. Er ergänzt: »Dabei geht es nicht nur darum, Schwachstellen zu finden, sondern auch deren mögliche Auswirkungen auszuloten. Wenn etwa ein DMZ-Einbruch dazu führt, dass sich damit einem Hacker das gesamte Netzwerk wie ein offenes Buch präsentiert, dann muss das im Pentest auffallen, um dringend Abhilfe schaffen zu können.«

 

Frustration und Resignation helfen nicht weiter

Die Ergebnisse des »Cyber Security Report DACH 2024« von Horizon3.ai könnten den Schluss nahelegen, dass viele Unternehmen den Schutz ihrer IT-Infrastrukturen beinahe schon aufgegeben haben. 41 der Firmen wissen eigenen Angaben zufolge, dass in ihrem Betrieb zu wenig für den Cyberschutz getan wird. 32 Prozent der Unternehmen investieren zwar in umfassende Abwehrmaßnahmen, gestehen aber ein »es könnte noch besser sein«. Ein knappes Zehntel der Befragten scheint resigniert zu haben und sagt »es gibt kaum einen wirklichen Schutz«. Lediglich 12 Prozent der Unternehmen in Deutschland, Österreich und der Schweiz geben sich zuversichtlich, vollständig gegen Cyberangriffe aller Art gewappnet zu sein.

»Natürlich kann es keinen hundertprozentigen Schutz geben«, sagt Dennis Weyel, »aber Frust und Resignation lösen das Problem gewiss nicht. Und das fortlaufende Hochrüsten der Verteidigungssysteme hilft auch nicht weiter, wenn nicht gleichzeitig durch permanente Penetrationstests das tatsächliche Sicherheitsniveau immer wieder geprüft wird.«

[1] https://www.bka.de/DE/AktuelleInformationen/StatistikenLagebilder/PolizeilicheKriminalstatistik/PKS2023/Polizeiliche_Kriminalstatistik_2023/Polizeiliche_Kriminalstatistik_2023.html

 

183 Artikel zu „Penetrationstest“

Penetrationstest – die Hacker mit ihren eigenen Waffen schlagen

  Ein umfassender Sicherheitstest einzelner Rechner oder Netzwerke schützt Unternehmen vor Hacker-Angriffen.   Fast jeder fünfte IT-Verantwortliche kann mit dem Begriff »Penetrationstest« nichts anfangen – das brachte eine Untersuchung des TÜV Rheinlands ans Licht, dessen Security-Experten dieses Ergebnis als »erschreckend« bezeichneten. Bei einem solchen »Pentest« versuchen »Hacker« im Auftrag eines Unternehmens, möglichst tief und auf…

Darauf sollte bei Penetrationstests geachtet werden

Penetrationstests mit gezielten Angriffsszenarien zeigen den Unternehmen auf, ob in den untersuchten Systemen Sicherheitsschwächen bestehen. Diese Erkenntnisse versetzen Unternehmen in die Lage, gezielte Maßnahmen zum Schutz vor echten Angriffen und potenziellen Verlusten zu ergreifen. Security Analyst André Zingsheim von der TÜV TRUST IT beschreibt einige wichtige Aspekte, auf die bei der Planung und Durchführung von…

Penetrationstests decken IT-Sicherheitslücken rechtzeitig auf

  Schwachstellen in der Unternehmens-IT selbst erkennen, bevor sie ein Angreifer finden und ausnutzen kann – das ist die Idee eines Penetrationstests. Sorgfältig geplant und von einem professionellen Dienstleister auf Netzwerk- und Systemebene oder auf Applikationsebene vorgenommen, erweist sich solch ein Test als effiziente Maßnahme gegen die wachsende Bedrohung durch Cyberkriminalität. Cybersecurity und IT-Sicherheit gehören…

Vom ASV-Luxus zum Standard: Was Unternehmen über modernes Pentesting wissen müssen

  Automatisierung macht Pentesting auch für kleinere Unternehmen erschwinglich. Pentesting ist eine effektive Maßnahme, um die Wirksamkeit von IT-Security-Maßnahmen zu überprüfen – und ist für einige Unternehmen bereits gesetzlich vorgeschrieben. Lange galt es als aufwendige manuelle Sicherheitsintervention, die nur große Konzerne ohne unverhältnismäßigen Ressourcenaufwand umsetzen konnten. Mit der automatisierten Version, der sogenannten Automated Security Validation,…

Industrie kauft sich Cyber-Sicherheitslücken ein

Digitalisierung von Produktion und Logistik birgt unbekannte Software-Schwachstellen, über die Hacker angreifen können. Smart Factory häufig unzureichend geschützt.   Die deutsche Industrie kauft sich mit der weiterhin zunehmenden Digitalisierung auf Produktions- und Logistikebene immer mehr Sicherheitslücken ein. In den vernetzten Geräten, Maschinen und Anlagen, die im Rahmen von Industrie 4.0 angeschafft werden, arbeiten elektronische Steuerungssysteme,…

Fax und Diskette sind den meisten Kindern unbekannt

Kassettenrekorder noch am bekanntesten. Weniger als die Hälfte der 6- bis 9-Jährigen kennt noch Telefonzellen. Zum Vergleich: Vom Internet haben bereits 98 Prozent der Jüngsten gehört.   Diskette, Schreibmaschine und Fax – früher Alltag im Büro und den eigenen vier Wänden – heute für viele Kinder und Jugendliche ein Rätsel. Insgesamt knapp drei Viertel (73…

Zahl der Cyberangriffe wieder deutlich gestiegen – Cyberresilienz ist wichtiges Unternehmensziel

60 % der befragten Unternehmen wurden häufiger Opfer von Cyberangriffen / 46 % verloren aufgrund von Angriffen Kunden / Für ein Viertel entstanden Kosten von über 500.000 € / 79 % sehen Cyberresilienz als ein wichtiges beziehungsweise sehr wichtiges Unternehmensziel / Ein Drittel brauchte nach Cyberattacke mehr als einen Monat bis zur vollständigen Wiederherstellung des…

»Cyberresilienz brennt im Topmanagement«

Managementexperte Dr. Harald Schönfeld: »Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS2 ist der Chief Information Security Officer die gefragteste Person auf der obersten Führungsebene.«   »Cyberresilienz ist derzeit eines der Hauptthemen im Topmanagement«, sagt der Managementexperte Dr. Harald Schönfeld. Er macht das an einer »stark steigenden Nachfrage nach Chief Information Security Officers auf Zeit« am Personalmarkt fest.…

Menschliches Versagen ist die größte Schwachstelle in der Cybersicherheit

IT-Profis setzen sich zudem intensiv mit dem Thema Künstliche Intelligenz auseinander.   Im Cybersecurity Surveys 2024 haben IT-Profis angegeben, dass die größte Herausforderung in der Cybersicherheit das Verhalten der Anwender ist. Ein weiteres wichtiges Ergebnis: Die Nutzung künstlicher Intelligenz (KI) steht sowohl bei Cyberkriminellen als auch bei Cybersecurity-Teams hoch im Kurs. Die grundsätzliche Bewertung des…

Von der Firewall zur Cyberresilienz: Wie Axians den Mittelstand auf zukünftige Bedrohungen vorbereitet – Cyber Security in IT und OT

Im Interview erklärt Martin Lutz, Leader Cyber Squad & Deputy CISO – Central and Eastern Europe bei Axians die spezifischen Sicherheitsanforderungen von IT und OT und die Notwendigkeit der engen Zusammenarbeit und abgestimmten Sicherheitsstrategien dieser so unterschiedlichen Welten.

DORA kommt – was Finanzunternehmen wissen müssen

Ab 17. Januar 2025 wird der Digital Operational Resilience Act (DORA) der EU in allen Mitgliedsstaaten umgesetzt – und stellt die Weichen für einen resilienteren und EU-weit harmonisierten Schutz der ITK-Systeme im Finanzsektor. Max Rahner, Senior Business Development Manager bei Tenable, erläutert, was DORA für die Finanzunternehmen im deutschsprachigen Raum bedeutet und wie sie sich…

Politische Cyberakteure und Cybercrime-Gruppierungen arbeiten immer häufiger zusammen

Gleichzeitige Angriffe auf ein Ziel nehmen zu und verursachen mehr Schaden. Politische Cyberakteure nutzen Großereignisse aus und folgen häufig einer wöchentlichen Routine. Angreifer machen sich schwache Sicherheitsinfrastrukturen sowie nicht vorhandene Gegenmaßnahmen zunutze.   OpenText stellt seinen Threat-Hunter-Perspective-Report 2024 vor [1]. Daraus geht deutlich hervor, dass sich vor allem ein prominenter Trend immer größerer Beliebtheit unter…

Mehr Cyberresilienz für KMU: Die Kunst trotz limitierter Mittel kritische Ressourcen zu schützen

Kleine und mittlere Unternehmen (KMU) werden zunehmend zur Zielscheibe von Cyberkriminellen. In der Mehrzahl beherrschen überwiegend große Unternehmen die Schlagzeilen. Fakt ist aber, dass im Falle von Datensicherheitsverletzungen gerade KMU einem höheren Risiko ausgesetzt sind. So geben annähernd 70 Prozent der aus diesem Segment befragten Firmen an, im vergangenen Jahr mindestens einem Cyberangriff ausgesetzt gewesen…

Digitalisierung und Cyberresilienz machen eine Kulturrevolution in den Unternehmen unumgänglich

Wie Cyberresilienz die Prozesse rund um Datensicherheit und Datensicherung neu aufstellt. Digitalisiertes Wirtschaften wälzt die Unternehmenskultur um. Denn der Zugriff auf in Echtzeit verfügbaren Informationen ermöglicht eine neue Geschwindigkeit sowie höhere Produktivität und unterstützt immer mehr Stakeholder im Unternehmen mit effizienter Unterstützung der Geschäftsabläufe durch die IT. Die Kehrseite ist die Anfälligkeit der Abläufe für…

Cyberresilienz und Cyber Recovery: Vorbereitung zahlt sich aus

Neue Ergebnisse aus dem »2024 Cyber Recovery Readiness Report« zu Effekten von Investitionen in Cyberresilienz. Einmal angegriffene Unternehmen konnten durch Cyber-Recovery-Maßnahmen ihre Wiederherstellungszeit verbessern. Die globale Befragung von 1.000 IT- und IT-Sicherheitsverantwortlichen belegt, dass Unternehmen, die Opfer eines fremden Zugriffs auf Daten wurden, ihr Verhalten, Daten zu sichern, verändert haben und damit ihre Recovery deutlich…

So lässt sich das Bermudadreieck aus Cyberbedrohungen, IT-Ausfällen und EU-Regularien umschiffen

CIOs und CISOs geraten aus verschiedenen Richtungen unter Druck. Mark Molyneux, EMEA CTO bei Cohesity, gibt in einem Leitfaden Empfehlungen, wie Unternehmen folgenden Herausforderungen begegnen können:   Wachsende Bedrohung durch Cyberangriffe Die Bedrohungen für Unternehmensdaten nehmen ständig zu. Mit dem einfachen Zugang zu KI und SaaS-Modellen können auch weniger Versierte Attacken ausführen, wodurch die Zahl…

NIS2 Compliance vereinfachen – mit SASE

Die Frist für die neue Richtlinie 2022/0383 über Netz- und Informationssysteme, besser bekannt als »NIS2«, rückt unaufhaltsam näher. Unternehmen stehen nun vor der Herausforderung, die geeignete Technologie zu implementieren, um den Anforderungen gerecht zu werden. Das wachsende Interesse der Branche an Sicherheitsplattformen wird eine entscheidende Rolle dabei spielen, die Einhaltung der NIS2-Vorgaben zu erleichtern. Organisationen…

KI-gestützte Cyberresilienzplattform macht Unternehmen jeder Größe schnell wieder handlungsfähig

Nach einer Cyberattacke müssen Unternehmen sofort wieder geschäftsfähig sein, denn jeder verlorene Tag bedeutet schmerzlichen Produktivitätsverlust und einhergehende Finanzeinbußen. Eine echte Cyberresilienzstrategie ist daher unverzichtbar, auch um NIS2, DORA und ISO-27001-Richtlinien einzuhalten. Moderne Softwarelösungen bieten schon vor potenziellen Angriffen entsprechende Schutzmaßnahmen, damit Daten nach einem Worst Case schnellstmöglich wieder schadfrei verfügbar sind. Commvault Cloud sorgt…

Future of IT: KI und Cybersecurity sind Top-Investitionsbereiche

Kaseya, Anbieter von KI-gestützter Cybersecurity- und IT-Management-Software, hat seinen »Future of IT Survey Report 2024« veröffentlicht [1]. Für die Studie hat Kaseya Hunderte IT-Dienstleister aus den Regionen Amerika, EMEA und APAC befragt. Der Bericht zeigt, dass die Steigerung der IT-Produktivität durch Automatisierung und KI-Nutzung zu den aktuell wichtigsten Schwerpunkten gehört. Darüber hinaus geben die IT-Dienstleister…

Cyberbedrohungen: Banküberfall 4.0

Wie gut sind Finanzdienstleister auf Cyberbedrohungen vorbereitet? Eine aktuelle Studie von Lünendonk und KPMG zeichnet ein genaues Bild der IT-Sicherheit in der Finanzbranche.   Das Thema Nachhaltigkeit dominiert seit einigen Jahren nicht nur den öffentlichen Diskurs, es ist auch im Herzen des Finanzsektors angekommen. Etwa in Gestalt nachhaltiger Investments und ESG-Regulatorik. Doch im Schatten dieser…