Penetrationtests: Notwendige, aber längst nicht hinreichende IT-Sicherheitsmaßnahme

secion rät zu permanenter Sicherheit statt temporärem Schutz in Folge einer Momentaufnahme

[datensicherheit.de, 18.05.2016] Penetrationstests gelten in der IT-Sicherheitsbranche als grundlegendes Instrument jeder nachhaltigen IT-Sicherheitsstrategie, deren Ziel es ist, Schwachstellen in IT-Infrastrukturen aufzudecken und Sicherheitslücken zu schließen, bevor diese von Angreifern ausgenutzt werden können. Als Momentaufnahme und zur Identifikation von Ad-hoc-Gefahren seien solche Maßnahmen wie „White-“, „Black-“ und „Grey-Box“-Tests heutzutage unabdingbar, aber es stelle sich die Frage, was zwischen den Penetrationstests geschieht, betont die secion GmbH in einer aktuellen Stellungnahme. Deren IT-Sicherheitsspezialisten gehen demnach einen Schritt weiter und bieten basierend auf ihrer Erfahrung ein Penetrationstest-Verfahren als ein Maßnahmenpaket an.

„Grey Box“-Test empfohlen

Ein Penetrationstest ist eine gezielte IT-Sicherheitsüberprüfung, um festzustellen, inwieweit die IT-Sicherheit eines Unternehmens durch externe oder interne Angriffe gefährdet ist und ob die bereits getroffenen Maßnahmen einen ausreichenden Schutz bieten. Als übliche Verfahren gelten sogenannte „White Box“- und „Black Box“-Audits.
Ein „White Box“-Test setzt eine bestimmte Grundlage an Informationen über IT-Systeme und interne Strukturen voraus, die vom Auftraggeber definiert werden. Bei der „Black Box“-Methode wird eine IT-Sicherheitsanalyse ohne Vorkenntnisse über die zu prüfenden Systeme durchgeführt. Hierbei wird das Vorgehen eines externen Angreifers simuliert, um die Möglichkeiten und Wege für einen realen Angriff zu analysieren.
secion bietet und empfiehlt nach eigenen Angaben einen „Grey Box“-Test, der die beiden genannten Verfahren kombiniert, um sowohl den „Black Box“- als auch den „White Box“-Ansatz zur Prüfung der Bedrohungen zu nutzen.

Praktische Empfehlungen für IT-Administration und Geschäftsführung

Nach einem solchen Test sollen die Kunden einen ausführlichen Report erhalten. Dieser umfasse Handlungsempfehlungen für Administratoren zum Schließen der gefundenen Sicherheitslücken sowie eine „Management Summary“. Dabei handele es sich um einen Report für die Geschäftsführung bzw. das Management, also weniger in die technische Tiefe gehend, sondern vielmehr einen umfassenden Überblick über die derzeitige Sicherheitslage des Unternehmens gebend. Die „Management Summary“ beinhalte nicht nur eine Priorisierung der gefundenen Sicherheitslücken, sondern gebe auch Empfehlungen zu deren Schließung innerhalb bestimmter Zeiträume.

Steigendes Risiko zwischen den Momentaufnahmen

Die Praxiserfahrung habe gezeigt, dass bereits im Zeitraum zwischen abgeschlossenem Penetrationstest und Durchführung des Re-Scan neue Sicherheitslücken auftauchen könnten.
Ganz gleich ob „White Box“-, „Black Box“- oder „Grey Box“-Tests – all diese Maßnahmen erfolgten zu einem bestimmten Zeitpunkt und stellten damit eine Momentaufnahme dar. Sei aber die Pause zwischen den Penetrationstest und dem anschließendem Re-Scan zu lang, erhöhe sich das Risiko für IT-Systeme wieder – bis zur Identifizierung und Behebung neue Schwachstellen durch das Unternehmen.

Stetiger valider Überblick über das Sicherheitsniveau

Daher möchte secion mit einem eigenen Ansatz das Sicherheitsniveau signifikant erhöhen und dieser Problematik mit seiner weiterführenden Penetrationtesting-Strategie entgegenwirken: Um einen zuverlässigen Schutz vor Hackerangriffen und Wirtschaftsspionage zu garantieren, empfehlen die Hamburger IT-Sicherheitsspezialisten, die gesamte IT-Infrastruktur im Anschluss an den abgeschlossenen Penetrationstest mittels einer kontinuierlichen Analyse auf neu auftauchende Schwachstellen zu scannen.
Mit der „Managed Vulnerability Scanning Platform“ (MVSP) komplettiert secion nach eigenen Angaben den Ansatz als umfassende „Security as a Service“-Lösung, die einen stetigen und validen Überblick über das aktuelle Sicherheitsniveau liefere. Diese Plattform prüfe die Unternehmens-IT kontinuierlich und proaktiv auf Schwachstellen. Entsprechende Sicherheitslücken priorisiere das System nach Dringlichkeit, so dass eine zeitnahe und angemessene Reaktion auf Bedrohungen möglich sei.

Regelmäßige Penetrationstests und kontinuierliches Schachstellenmanagement

„Nahezu täglich entstehen in Unternehmen neue Sicherheitslücken, die in der Masse und aufgrund ihrer unterschiedlichen Ausprägungen immer schwieriger zu erkennen sind. Wir empfehlen daher dringend, nach Durchführung des Penetrationstests auch das Schachstellenmanagement als laufenden und automatisierten Prozess in den Firmenalltag zu integrieren“, betont Patrick Jung, Leiter „Professional Services“ bei secion.