GlobalSign Blog

01 Aug 2018

Ethical Hacking verstehen: 5 verbreitete Mythen über Penetrationstests

Jedes Unternehmen könnte davon profitieren, einen Penetrationstest (häufig auch "Pentest" genannt) durchführen zu lassen. Es ist jedoch etwas, was einige Unternehmen aufgrund ungerechtfertigter Bedenken aufschieben oder gänzlich vermeiden möchten. Pentests sind ein äußerst wichtiges Instrument, um die Cybersicherheit eines Unternehmens zu bewerten und zu verbessern. Hier gehen wir auf einige der häufigsten Gründe ein, warum Unternehmen sich dagegen entscheiden, einen Penetrationstest durchführen zu lassen.

1. Er stört mein Geschäft

Eines der Hauptbedenken gegen Penetrationstests besteht darin, dass die Tester bei der Durchführung der Bewertung Störungen im Tagesgeschäft des Unternehmens verursachen würden. Es stimmt natürlich, dass Tests die gleichen Techniken und Methoden verwenden wie echte Cyberkriminelle und Hacker, aber das bedeutet nicht, dass sie übermäßig stören.

Wenn Sie sich für eine seriöse Cybersicherheitsfirma zur Durchführung Ihres Penetrationstests entscheiden, wird diese sich bemühen, Schwachstellen in allen betroffenen Netzwerken, Systemen und Anwendungen sicher zu erkennen und auszunutzen, ohne kritische Operationen zu beeinträchtigen. Es ist zwar ideal für den Test, einen realen Angriff zu simulieren, aber es ist nicht notwendig, Ihr Unternehmen in eine Position zu bringen, die es schwer beeinträchtigt.

Es sollte auch daran erinnert werden, dass Störungen im Vergleich zu denen, die durch einen erfolgreichen Hack oder eine Datenschutzverletzung durch Cyberkriminelle verursacht werden, geringfügig sind. Den Pentest durchführen zu lassen kann tatsächlich dazu beitragen, Unterbrechungen des normalen Geschäftsbetriebs zu verhindern.

2. Er ist zu teuer

Einige Unternehmen befürchten die Kosten des Tests. Gute Penetrationstests erfordern qualifizierte Spezialisten und können je nach Aufgabenstellung der Tests oft einige Tage pro Test dauern.

Um den unterschiedlichsten Anforderungen gerecht zu werden, können Penetrationstests an die geschäftlichen und finanziellen Bedürfnisse angepasst werden. Dies bedeutet, wenn Sie ein geringes Sicherheitsbudget haben, dass Tests auf Bereiche konzentriert werden können, die den größten Nutzen bringen. Durch die genaue Festlegung des Umfangs jeder Bewertung können die Pentester Ihrem Unternehmen Angaben dazu liefern, wie lange die Durchführung der einzelnen Bewertungen dauert und Sie können sich vorab über die Kosten einigen.

3. Ein Schwachstellen-Scan reicht aus

Sie glauben vielleicht, dass Sie auf einen Pentest verzichten können, da Sie bereits einen Schwachstellen-Scan durchführen lassen haben. Ein Schwachstellen-Scan kann nützlich sein, um Ihre Cybersicherheit zu beurteilen, aber ein Pentest stellt eine weitaus umfassendere Beurteilung dar.

Ein Schwachstellen-Scan verwendet automatisierte Tools, um bekannte Schwachstellen bei Software, Anwendungen und Infrastruktur aufzudecken. Ein Pentest verwendet sowohl die Softwaretechniken der Schwachstellen-Scans als auch die von Menschen gesteuerten Methoden, um eine viel größere Bandbreite an Sicherheitsschwächen, die in der Umgebung Ihres Unternehmens existieren, zu identifizieren und, entscheidend, zu nutzen.

Während Schwachstellentests Schwächen in der Software untersuchen können, können Penetrationstests das Bewusstsein und die Bereitschaft Ihrer Mitarbeiter gegen Angriffe testen. Zum Beispiel können Pentester das Unternehmen mit Phishing-E-Mails angreifen, um zu sehen, wie Mitarbeiter darauf reagieren. Es spielt keine Rolle, wie stark Ihre digitalen Abwehrsysteme sind, wenn Ihre Mitarbeiter schlecht darüber informiert sind, wie sie auf mögliche Gefahren reagieren sollen.

4. Penetrationstester kompromittieren sensible Daten

Einige Unternehmen befürchten, dass ein Penetrationstest nichts anderes als eine Masche ist, bei der die Tester dem Unternehmen tatsächlich Daten stehlen, während sie den Test durchführen. Andere befürchten, dass der gesamte Sinn des Tests darin besteht, Schwachstellen aufzudecken, die andere dann ausnutzen können.

Hier ist es wichtig, zwischen kriminellen Hackern, die nur daran interessiert sind, Daten zu stehlen, und Penetrationstestern, die ausgebildete Cybersicherheitsexperten sind, zu unterscheiden. Natürlich ist es wichtig, dass Sie nur mit einer Firma arbeiten, der Sie vertrauen können. Suchen Sie nach Unternehmen, die von CREST zugelassen sind und über jahrelange Erfahrung bei der Durchführung von vertraulichen Kundenaufträgen verfügen.

CREST ist die Organisation, die die Branche für technische Informationssicherheit überwacht. Mitglieder der Organisation sind reguliert und müssen Prozesse und Verfahren befolgen. Wenn Sie sich für ein von CREST zugelassenes Unternehmen entscheiden, stellen Sie sicher, dass Sie das hochwertigste Ethical Hacking erhalten, das sich an die Leitlinien für Best Practices hält.

5. Die Cybersicherheit meines Unternehmens ist bereits stark

Viele Unternehmen glauben, dass sie wegen der Stärke ihrer Abwehrmaßnahmen keinen Pentest benötigen. Leider ist "Stärke" ein sehr fließendes Konzept, wenn es um Cybersicherheit geht und es tauchen immer wieder neue Schwachstellen auf.

In der Tat ist Selbstgefälligkeit eine der größten Gefahren für Ihre Sicherheit. Selbst wenn Ihre Abwehrmechanismen derzeit robust sind, werden Cyberkriminelle ständig raffinierter. Dies bedeutet, dass es wichtig ist, Ihre Sicherheit regelmäßig zu überprüfen, um sich den neuesten kriminellen Taktiken und Verfahren zu widersetzen.

Aufgrund dieser Mythen, fällt es Unternehmen leichter, die Idee von Ethical Hacking oder Penetrationstest aufzuschieben. Aber in Wahrheit ist diese gängige Praxis und viele Unternehmen verdanken ihre kontinuierliche Cybersicherheit dem regelmäßigen Ethical Hacking, das sie für sich durchführen lassen. Penetrationstests können für Ihr Unternehmen einen echten Unterschied machen und Ihnen dabei helfen, sich gegen Cyberkriminelle zu wehren - verschieben Sie sie also nicht wegen Mythen.

Über den Autor

Mike James ist ein unabhängiger Autor, Tech-Spezialist und Experte für Cybersicherheit aus Brighton, UK. Seine Arbeiten werden in vielen der führenden Online- und Print-Magazine veröffentlicht und er ist ein hervorragender Autor über Ethical Hacking, Penetrationstests - und wie diese Technologien bei Unternehmen aller Formen und Größen implementiert werden können. Mike schreibt auch über seltsame Diät- und Trainingsprogramme, wenn er nicht über technische Themen schreibt!

Hinweis: Dieser Blog Artikel wurde von einem Gastautor geschrieben, um unseren Lesern eine breitere Vielfalt an Inhalten anzubieten. Die in diesem Gastautorenartikel ausgedrückten Meinungen sind nur die des Autors und geben nicht unbedingt die von GlobalSign wieder.

Artikel teilen