Geschäftsrisiko durch mangelnde Cyber-Sicherheit

Sicherung der Netzwerke als Herausforderung

Wo große Konzerne ganze Abteilungen damit beauftragen, die Cyber-Sicherheit zu gewährleisten, da stehen kleine und mittelständische Unternehmen vor Herausforderungen. Sie verfügen nämlich sehr häufig nicht über die großen Budgets, die eine gut aufgestellte IT-Abteilung jährlich benötigt, um die Cyber-Sicherheit des Unternehmens zu gewährleisten. Weil es hoher Kompetenz in diesem Bereich bedarf, verursacht entsprechendes Personal hohe Kosten.

Um die Herausforderung dennoch anzunehmen und sich effizient gegen Hackerattacken zu schützen, kann man als Unternehmensleitung beispielsweise auf regelmäßige Pentests zurückgreifen. Ein solcher Penetrationstest zeichnet sich dadurch aus, dass der ausführende IT-Sicherheitsexperte in einem vorher abgesteckten, geschützten und vom Auftraggeber vorgegebenen Rahmen versucht, in die IT-Infrastruktur des Unternehmens einzudringen und es so zu kompromittieren.

Durch einen Pentest wird also proaktiv nach ausnutzbaren Schwachstellen gesucht, und zwar bevor sie von jemand anderem entdeckt und genutzt werden, etwa zum Stehlen und Verkaufen von sensiblen Daten, zum Zweck der Erpressung oder zur Durchführung terroristischer Taten.

Was den Pentest auszeichnet und sinnvoll macht

Die größte Besonderheit beim Pentest besteht darin, dass der Ausführende auf Hackerwissen zurückgreift und beim Test so vorgeht, wie es ein Hacker bzw. Cyber-Krimineller bei einer Attacke tun würde. Dabei kann er seinen Versuch extern starten oder von innen heraus versuchen, Zugriff auf das interne Netzwerk des Unternehmens zu erlangen. Um mögliche Zugänge zu finden, verwendet er vorher gesammelte Informationen zu den vom Netzwerk genutzten Systemen und genutzten internen oder externen Diensten. Bei diesen sucht er beispielsweise nach Fehlprogrammierungen oder Fehlkonfigurationen, schwachen Verschlüsselungen oder mangelhaftem Session-Management.

Auch vorhandene Exploits, also bestimmte Befehlsfolgen bzw. Schadprogramme, die nach Fehlfunktionen oder Sicherheitslücken in Anwendungs- oder Hilfssoftware suchen und diese programmtechnisch für Manipulationen nutzen, sind häufig genutzte Schwachstellen in der Unternehmens-IT. Solche möglichen Schwachstellen zu identifizieren und Gegenmaßnahmen vorzuschlagen, ist die vordringlichste Aufgabe des Pentests. Dadurch kann man die digitale Angst vieler kleinerer Unternehmen reduzieren, denn die Ergebnisse des Pentests können Basis für mehr Cyber-Sicherheit sein.

Was ein Penetrationstest prüft

Ein Pentest lässt sich relativ flexibel einsetzen, soll heißen, er kann das gesamte Netzwerk eines Unternehmens, einer Behörde oder einer Organisation auf mögliche Schwachstellen testen oder aber auf bestimmte Bereiche beschränkt werden, etwa auf den Bereich der genutzten Cloud, die Web-Application oder andere Teilbereiche. Je nach Umfang des Penetrationstests kann dieser mehrere Tage dauern.

Der Pentest kann als externer Test oder als interner Penetrationstest angelegt sein. Intern bedeutet, dass der Tester beispielsweise über mit dem Netzwerk verbundene Endgeräte wie Laptops, Tablet-PCs oder sogar einen USB-Stick versucht, die Sicherheitsbarrieren zu überwinden. Auch Mitarbeitende als schwächstes Glied der Sicherheitskette können Gefahrenpotenzial mitbringen, z. B. durch von ihnen verwendete schwache Passwörter oder das Öffnen einer sogenannten Pishing-Mail und das Anklicken eines dort platzierten Links.

Externe Pentests sind vor allem dann sinnvoll, wenn der Auftraggeber vorher eventuell neue Sicherheitsmaßnahmen implementiert hat, dann zeigt der Test, wie effizient diese funktionieren und ob sie vielleicht versteckte Schwachstellen enthalten, die man wiederum ausnutzen könnte. Ein interner Penetrationstest ist dann sinnvoll, wenn interne Veränderungen vorgenommen wurden. Durch beide Testvarianten kann also die Cyber-Sicherheit von Unternehmen erhöht werden.

Eine Frage, die oft gestellt wird, lautet, ob es sinnvoll ist, einen Pentest vorher anzukündigen oder ihn unangekündigt durchzuführen. Bei einem im Unternehmen nicht angekündigten Pentest lässt sich z. B. in Echtzeit verfolgen, wie die IT-Abteilung auf einen Hackerangriff reagiert, welche Maßnahmen sie ergreift und wie schnell und effizient vorhandene Sicherheitsvorkehrungen reagieren. Bei einem angekündigten Pentest besteht hingegen die Möglichkeit, dass sich die IT-Abteilung bzw. die für die Cyber-Sicherheit Verantwortlichen als „Blue-Team“ vorbereiten und nach kreativen Lösungen suchen, um das „Red-Team“, also die Angreifer abzuwehren. Beide Varianten sind denkbar.

Cyber-Sicherheit gehört auf die Leitungsebene eines Unternehmens

Mangelnde Cybersicherheit und das damit verbundene Risiko für Unternehmen sind sehr oft darin begründet, dass das Thema nicht weit genug oben in der Unternehmenshierarchie angesiedelt ist. Es genügt heute nicht mehr, das Thema der IT-Abteilung zu überlassen, es muss in der Unternehmensleitung präsent sein. Nur so wird sichergestellt, dass die Cyber-Sicherheit stetig im Blick bleibt.

Außerdem kann die IT-Sicherheit in einem Unternehmen auf Dauer nur dann gewährleistet werden, wenn sie im Rahmen einer umfassenden IT-Sicherheitsstrategie betrachtet und behandelt wird. Es braucht aufgrund der wachsenden Komplexität des Themas das Zusammenspiel aller Unternehmensbereiche, weil in allen Bereichen mögliche Schwachstellen lauern können, die sich Hacker zunutze machen könnten.

Aus diesen Gründen, und weil die Leitungseben ein ganz natürliches Interesse am Schutz des eigenen Unternehmens hat, gehört die Cyber-Sicherheit in die Vorstandssitzungen bzw. in die Verantwortlichkeit der Geschäftsführer, Behördenleiter und Organisationslenker.