Ein Kommentar von John Shier, Field CTO Commercial bei Sophos

„Wir haben gut vorgesorgt und ich glaube, dass wir gut abgesichert sind“. Dieser oft ausgesprochene Satz täuscht eine trügerische Sicherheit vor. Denn viele Unternehmen haben zwar in die Cybersicherheit investiert, erfahren allerdings erst im Ernstfall, ob die Sicherheitsresilienz tatsächlich an allen Stellen hält, was sie verspricht. Studien wie der aktuelle Sophos Threat Report zeigen, dass trotz aller Anstrengungen noch zu viele Schlupflöcher für die Cyberkriminellen vorhanden sind. Fast 50 Prozent aller analysierten Schadsoftwarefälle hatten es auf kleine und mittlere Unternehmen abgesehen und 90 Prozent aller Cyberangriffe beinhalten Daten- oder Identitätsdiebstahl. Cyberkriminelle nutzen diese entwendeten Informationen später für weitere Aktionen wie unautorisierten Fernzugriff, Erpressung oder das Installieren von Ransomware. Darüber hinaus sind nicht selten unsichere IoT-Geräte ein Einfallstor für die Cyberkriminellen.

Das Problem sind selten die Sicherheitslösungen, sondern unerkannte Schwachstellen in der IT-Infrastruktur, die ohne eine eindeutige Identifizierung nicht abgesichert werden können. Daher sind regelmäßige Schwachstellenbewertungen als auch Penetrationstests wichtig. Erst sie liefern verlässliche Rückmeldungen über den tatsächlichen Stand der Sicherheit und Cyberresilienz im Unternehmen.

Schwachstellenbewertungen und Penetrationstests haben unterschiedliche Ziele. Laut NIST bieten Schwachstellenbewertungen eine „formale Beschreibung und Bewertung der Schwachstellen eines Informationssystems“, während Penetrationstests eine Methodik verwenden, „bei der Prüfer, die in der Regel unter bestimmten Einschränkungen arbeiten, versuchen, die Sicherheitsmerkmale eines Systems zu umgehen oder zu überwinden“. Erst die Ergebnisse beider Maßnahmen geben Unternehmen Aufschluss über die existierenden Risiken und lassen Rückschlüsse zu, welche Prioritäten bei der Beseitigung dieser Risiken gesetzt werden sollten.

Die Frequenz beider Maßnahmen hängt vom IT-Verhalten des Unternehmens und von gesetzlichen Regeln (z. B. Payment Card Industry) ab. Unternehmen mit geringer technologischer Fluktuation (z. B. Code-Änderungen, Hardware-Upgrades, Personalwechsel, Topologieänderungen usw.) kommen zwar keinesfalls ohne Tests, allerdings mit einer niedrigeren Frequenz aus. Organisationen mit hohem technologischem Wandel steigern ihre Cyberresilienz mit häufigeren Tests.

Stufen der Schwachstellenbewertungen und Penetrationstests

Die Durchführung von Schwachstellenbewertungen und Penetrationstests umfasst zwölf wichtige Schritte – von der Suche über die Bewertung bis hin zur Abhilfe und einer abschließenden Berichterstattung: