2023/2 | Fachbeitrag | Digitalisierung

Warum Cybersecurity Ethical Hacking braucht: 6 Argumente für Penetration-Testing

Viele Unternehmen haben die Relevanz von Cybersecurity erkannt. Denn grundsätzlich kann heute jedes Unternehmen zum Ziel eines Cyberangriffs werden - etwa durch Ransomware, die im Rahmen eines Erpressungsversuchs Unternehmensdaten verschlüsselt. Gerade diese Form von Cyberangriffen wird in der Regel breit gestreut: Statt ein spezifisches Unternehmen ins Visier zu nehmen, warten die Angreifer einfach ab, in welcher Organisation ihre Phishing-E-Mail zum Erfolg führt. Externe Fachleute, sogenannte Ethical Hacker oder auch White Hats, können Penetration-Tests durchführen, um die Verwundbarkeit der IT eines Unternehmens auf den Prüfstand zu stellen. Aber viele Organisationen, ob privatwirtschaftlich oder öffentlich, scheuen den Aufwand und die Kosten. Dabei lassen sich nur durch geeignete Pentests so viele Angriffsvektoren wie möglich identifizieren, um sie zu verschließen, bevor Cyberkriminelle sie ausnutzen können. Um die Cyberresilienz einer Organisation auf ein solides Niveau zu heben, ist Ethical Hacking unverzichtbar.

Bildquelle: (C) Pete Linforth / Pixabay

Im Folgenden lesen Sie sechs Argumente, die für Penetration-Testing sprechen.

Argument 1: Externes Pentesting identifiziert Sicherheitslücken

Leider sehen Budgetverantwortliche nicht immer ein, dass ihr IT-Administrationsteam in Sachen Cybersecurity Unterstützung benötigt. Mitunter herrscht im Management die Auffassung, Pentests seien etwas, dass die Administratoren nebenher miterledigen könnten. Das können sie nicht. Dafür gibt es gute Gründe. Die Aufgabe der IT-Administration ist es, für den reibungslosen Betrieb der IT in der Organisation zu sorgen. Hier kennen sich die IT-Fachleute des Unternehmens auch exzellent aus. Die Expertise von Ethical Hackern ist naturgemäß genau entgegengesetzt: Sie decken Wege auf, die es ermöglichen können, die Unternehmens-IT zu zerstören. Zudem sind Cybersicherheit und Ethical Hacking Wissensfelder, die sich extrem schnell wandeln und weiterentwickeln. Pentester und Pentesterinnen können ihren Wissensvorsprung nur sichern, weil sie hochspezialisiert sind und sich täglich mit ihrem Thema beschäftigen.

Argument 2: Den Maschinecode analysieren können

Während es IT-Administratoren mit der Betriebsebene einer Software zu tun haben, beschäftigen sich Ethical Hacker mit dem Programmcode. Gegebenenfalls wenden Pentester und Pentesterinnen auch Reverse Engineering an, bei dem sie die Programmdateien zur Laufzeit analysieren und ihr Verhalten beobachten. Dazu ist es natürlich nötig, den Binär- bzw. Maschinencode des Programms zu verstehen. Administratoren können das in der Regel nicht, da es gar nicht in ihrem Aufgabenbereich liegt. Ethical Hacker sind so auch in der Lage, undokumentierte Funktionalitäten zu finden, die nicht vorhersehbar waren, aber potenzielle Angriffsvektoren darstellen. Dies können beispielswiese Testmethoden sein, die ein Softwareentwickler oder eine Softwareentwicklerin zum Debugging genutzt und irrtümlich im Programm hinterlassen haben. IT-Sicherheit ist ein Spezialgebiet, bei dem sehr viel Know-how durch den täglichen Umgang mit Cybersicherheit entsteht. Schließlich muss die Hauptuntersuchung eines Autos auch durch einen spezialisierten Prüfer erfolgen - der Kfz-Mechaniker selbst kann sie nicht durchführen.

Argument 3: Ein internes Red Team kann Kosten reduzieren

Ist ein Unternehmen groß genug, kann es sich allerdings lohnen, das Ethical Hacking inhouse zu organisieren. Dazu baut das Unternehmen ein eigenes, dediziertes Red Team für mehr oder minder kontinuierliche Pentests auf. Den Angreifern im Red Team steht dann oft ein dediziertes Blue Team mit den Verteidigern gegenüber. Für das eigene Red Team muss ein Unternehmen in der Regel mindestens zwei bis drei Pentester in Vollzeit engagieren - je nach Unternehmensgröße auch mehr. Ein internes Red Team ist in großen Unternehmen auf Dauer die wohl kostengünstigere Lösung in Sachen Ethical Hacking. Sie hat aber den Nachteil, dass dem eigenen Red Team über kurz oder lang eine gewisse Betriebsblindheit droht. Der Vorzug externer Ethical Hacker ist meist, dass sie beim Pentesting einen frischen Blick mitbringen - in Gestalt wertvoller Erfahrung aus zahlreichen anderen Unternehmen und Organisationen mit entsprechend vielfältigen IT-Strukturen.

Argument 4: Die unverzichtbaren Pentests gehören enttabuisiert

In manchen Unternehmen gibt es immer noch eine Tendenz, Ethical Hacking zu tabuisieren. Konsequentes Pentesting scheitert dann bereits an der Sorge, die Tatsache, dass das Unternehmen überhaupt solche Tests durchführen lässt, könne an die Öffentlichkeit gelangen - und dem Image schaden. Dabei hilft es einem Unternehmen in keiner Weise, das Thema Cybersicherheit mit Tabus zu umstellen. Im Gegenteil: IT-Sicherheit ist im Zeitalter der allgemeinen Digitalisierung eine Herausforderung, der sich sämtliche Unternehmen stellen müssen, vom mittelständischen Maschinenbauer bis zum IT-Giganten wie Google. Als Unternehmen zu zeigen, dass man das Thema IT-Sicherheit angemessen adressiert, hilft dem Image weit mehr, als dass es schaden könnte. Durch Ethical Hacking demonstriert eine Organisation ihren Willen, ihre Cyberresilienz zu stärken.

Argument 5: Auch ISO 27001 und TISAX fordern Penetration-Tests

Generell wächst das Verständnis für Penetration-Tests. So fordern auch Normen wie ISO 27001, die das Informationssicherheits-Managementsystem (ISMS) zum Inhalt hat, sowohl anlassbezogene Sicherheitsüberprüfungen bei Veränderungen in der eigenen IT als auch turnusmäßige Prüfungen. Entsprechend sind für eine Zertifizierung gemäß ISO 27001 in jedem Fall regelmäßige Pentests nötig. Im Automotive-Bereich findet die ISO 27001 ihr Pendant im "Trusted Information Security Assessment Exchange" (TISAX). TISAX ist ein branchenspezifischer ISMS-Standard des Verbands der Automobilindustrie (VDA). Auch eine TISAX-Zertifizierung erfordert Penetration-Tests. Unternehmen sollten Pentests als so selbstverständlich ansehen, wie wir dies auch bei der obligatorischen TÜV-Prüfung für unser Auto tun.

Argument 6: Richtig ausgelegte Pentests wirken

Sich für eine Sicherheitsüberprüfung mithilfe von Ethical Hacking zu entscheiden, setzt in jedem Fall ein positives Zeichen. Allerdings will die Ausgestaltung des Tests wohlüberlegt sein. Bei der Auswahl geeigneter Pentester und Pentesterinnen empfiehlt es sich, nicht nur auf deren theoretische Zertifizierungen zu sehen, sondern besonderen Wert auf ihre Praxiserfahrung zu legen. Wichtig ist zudem, den Scope des Tests nicht künstlich zu beschränken - etwa indem Legacy-Systeme ausgeklammert werden. Schließlich käme kein Angreifer auf die Idee, noch in Betrieb befindliche Legacy-Systeme als potenzielle Angriffsvektoren auszuschließen, im Gegenteil. Zudem ist bei Pentests zwischen Whitebox- und Blackbox-Ansätzen zu wählen. Bei ersterem stehen den Ethical Hackern bereits Informationen, Daten oder Quellcodes zur Verfügung. Solch ein Whitebox-Test empfiehlt sich etwa, wenn man gezielt ermitteln möchte, wie es um die Sicherheit einer völlig neuen Anwendung bestellt ist. Dagegen kann ein Blackbox-Ansatz beispielsweise in unabhängigen Folgeprüfungen ratsam sein, wenn der Scope bereits gründlich im Whitebox-Verfahren geprüft wurde und die Organisation schon entsprechende Sicherheitsmaßnahmen getroffen hat. Zwischen diesen beiden Extremen sind selbstverständlich unterschiedlichste Abstufungen möglich.

Fazit

Ethical Hacking ist aus dem Werkzeugkasten für die Cybersecurity von Unternehmen nicht mehr wegzudenken. Dabei dokumentieren Pentests das Engagement einer Organisation in Sachen Cyberresilienz nicht nur gegenüber Zertifizierungseinrichtungen, sondern auch gegenüber der Öffentlichkeit und interessierten Stakeholdern. Es ist höchste Zeit, dass Unternehmen endgültig mit dem unsinnigen Tabu rund um Penetration-Tests brechen und ihr Engagement für Cyberresilienz offensiv kommunizieren. Denn ein gut gemachter Pentest ist immer etwas Positives.



Die Autoren:

Michael Niewöhner ist bei Ventum Consulting seit 2021 als Manager für IT Security & Penetration Testing tätig. Zuvor leitete er den Bereich Security Testing & Research am Münchener Standort eines Cyber-Defense-Unternehmens. Niewöhner ist Offensive Certified Security Professional. Zu seinem breiten Kompetenzportfolio im Bereich Cybersecurity gehören unter anderem Reverse Engineering, Web Application Penetration Testing, Linux Audits und Hardening, Embedded Penetration Testing sowie Security by Design.

Web: www.ventum-consulting.com

 

Daniel Querzola ist bei Ventum Consulting als Manager IT Security & Penetration Testing tätig. Seinen Background hat er in tiefgreifend technischen Bereichen wie Pentesting und Vulnerability Management. Zu seiner Kernexpertise gehört es, Audits im Kontext komplexer Unternehmensarchitekturen durchzuführen. Neben Netzwerk- und Software-Pentests liegt ein besonderer Fokus auf Windows-Domänen. Bevor er 2021 zu Ventum Consulting wechselte, arbeitete Querzola als Head of Penetration Testing eines Cyber-Defense-Unternehmens am Standort Neustadt.

Web: cybersecurity.ventum-consulting.com

 

 

Diese Artikel könnten Sie auch interessieren

Wie KI riesige Datenmengen nutzbar macht

WISSENplus
Es wäre eine Mammutaufgabe, die Unmengen an unstrukturierten Daten und Informationen aus Kundenfeedbacks zu sichten und auszuwerten, obwohl diese tiefe Einblicke in Verhaltensmuster von Kunden und wertvolle neue Erkenntnisse bieten könnten. Das trifft vor allem für den Bereich der qualitativen Befragungen wie Videointerviews zu, deren Auswertung mit sehr hohem Ressourcenaufwand verbunden ist. Doch ...

Weiterlesen

Insider Threats: Willkommen im Zeitalter der kriminellen KI!

WISSENplus
Künstliche Intelligenz (KI), ursprünglich als Treiber von Innovation und Effizienz gefeiert, wird zunehmend zur Waffe in den Händen von Cyberkriminellen. In einer digital vernetzten Welt nutzen Täter KI, um ihre Methoden zu perfektionieren, Angriffe zu automatisieren und neue Schwachstellen auszunutzen. Die Folge: Eine neue Dimension der Cyberkriminalität, die Privatpersonen, Unternehmen und Regie...

Weiterlesen

Wissensmanagement – (k)eine Frage neuer Tools

WISSENplus
Das Schweizerische Tropen- und Public Health-Institut (Swiss TPH) ist zur Erfüllung seines Mandats gegenüber seinen Geldgebern auf eine gute interne und externe Zusammenarbeit angewiesen: Gebäude und Arbeitsumgebung, Kultur, Strukturen und Werkzeuge sind darauf ausgerichtet, dass die Mitarbeitenden optimal gemeinsam an Forschungs- und Umsetzungsprojekten arbeiten können. Die Arbeitskultur und -umge...

Weiterlesen

So wirkt Generative KI in der Fertigung!

Neben den vielen Anwendungsbereichen von GenAI untersuchte die Studie "Von der Fertigungshalle ins KI-Zeitalter: Haben Sie einen Masterplan oder Nachholbedarf?" auch die Herausforderungen, denen sich das produzierende Gewerbe gegenübersieht. Im Fokus standen in erster Linie Hürden im Bereich Personal, Infrastruktur und ethischer Rahmenbedingungen. ...

Weiterlesen

Zwischen Generationen und Erwartungen: Führung in der neuen Arbeitswelt

WISSENplus
In den vergangenen Jahren wurde zunehmend über eine neue Arbeitswelt gesprochen, in der sich mehrere Generationen gleichzeitig zurechtfinden müssen. Besonders in der deutschen Gesellschaft zeichnet sich der demografische Wandel derzeit deutlich ab: Die Arbeitnehmenden werden im Durchschnitt älter, während die jüngeren Generationen Y und Z schrittweise in den Arbeitsmarkt eintreten. Ein zentrales P...

Weiterlesen

Digitale Dokumentenprozesse in der Fertigungsindustrie

WISSENplus
Ein effizientes Dokumentenmanagement und digitale Signaturprozesse sind entscheidend für Präzision, Sicherheit und Compliance in der Fertigungsindustrie. Angesichts der Herausforderungen, die mit der Verwaltung großer Dokumentenmengen einhergehen, gewinnen Werkzeuge zur digitalen Dokumentenbearbeitung und elektronischen Signatur zunehmend an Bedeutung. Sie ermöglichen eine schlanke Gestaltung von ...

Weiterlesen

Wenn Mehrheiten auf der Bremse stehen: Warum Mittelmaß die wahre Innovation tötet

WISSENplus
Haben Sie sich jemals gefragt, warum so viele Entscheidungen, die mit großem Aufwand getroffen werden, am Ende nur halbgare Kompromisse liefern? Demokratische Prozesse, so lobenswert sie sind, führen oft zu einem erschreckenden Ergebnis: dem kleinsten gemeinsamen Nenner. Jede revolutionäre Idee wird stückweise entschärft, bis von ihrer anfänglichen Vision nur noch Mittelmaß bleibt. Ob in Unterne...

Weiterlesen

Sechs Fehler, die KI-Projekte schon in der Anfangsphase zum Scheitern bringen

Der Erfolg von KI-Projekten hängt ganz entscheidend davon ab, dass Unternehmen bereits im Vorfeld genau klären, welche Probleme sie mit Daten und KI lösen wollen, und konkrete Projektziele definieren. Dies ist notwendig, damit die Projektausrichtung stimmt und keine falschen Erwartungen geweckt werden, denn spätere Kurskorrekturen kosten viel Zeit und Geld. Doch auch direkt im Anschluss, wenn die Projek...

Weiterlesen