Weitergehende Maßnahmen - Penetrationstests
Penetrationstests werden zur Simulation von Angriffen sowohl aus dem Inneren eines IT-Verbundes als auch solchen von außerhalb verwendet. Durch die Vorwegnahme solcher Attacken
und die rechtzeitige Entdeckung möglicher Schwachstellen kann die Wahrscheinlichkeit echter und vor allem erfolgreicher Angriffe vermindert werden.
Die angewandten Verfahren lassen sich in manuelle durchgeführte einerseits und weitgehend automatisierte Tests andererseits klassifizieren.
Zum Beispiel kann ein Tester manuell versuchen, einen Firewall zu umgehen oder sich mit Verfahren des Social Engineering Kennwörter oder andere sensible Informationen zu verschaffen. Er kann jedoch auch so genannte Schwachstellenscanner, Portscanner, Passwortcracker etc. einsetzen, um automatisiert und mit relativ geringem Aufwand zahlreiche Systeme gleichzeitig zu untersuchen.
Ein Penetrationstest ist - insbesondere, wenn die manuellen Verfahren einbezogen werden - eine sehr aufwändige Methode, um die Sicherheit eines IT-Verbundes zu erhöhen. Es muss
aus diesem Grund vor dessen Ausführung immer geprüft werden, ob die Kosten und das Risiko des Tests in einem angemessenen Verhältnis zur erwarteten Verbesserung der Sicherheit stehen.
Im Allgemeinen sprechen die folgenden Unternehmensmerkmale gegen (insbesondere manuelle) Penetrationstests:
- kleine bis mittlere Betriebsgröße
- geringe Fluktuation, zufriedene Mitarbeiter
- geringer überregionaler bzw. internationaler Bekanntheitsgrad
- geringe Anforderungen bez. der Geheimhaltung von Unternehmensdaten, keine Eigenentwicklungen
- das Unternehmen ist kein potentielles Ziel des internationalen
Terrorismus
- kein übermäßig harter Konkurenzkampf in der Branche
- kein ECommerce, kein eigener Web- oder Mailserver
|