Wie sicher ist meine IT? Diese Frage sollten sich Unternehmerinnen und Geschäftsführer immer wieder stellen. Und in Zeiten boomender Ransomware-Angriffe sowieso. Antworten liefern Security-Assessments und Penetration Tests. Doch wann sind diese sinnvoll?
Wenn die IT nicht läuft, stehen viele Unternehmen still. Doch nicht nur deshalb sollten Firmen ein vitales Interesse daran haben, dass Angriffe von Cyberkriminellen abgeblockt werden. Denn die Geschäftsleitung kann auch haftbar sein für Schäden, die Cyberattacken verursachen. Doch wie stellt ein Unternehmen überhaupt fest, dass seine Informatik gut geschützt ist – oder eben auch nicht? Zwei geläufige Ansätze hierzu sind Security-Assessments und Penetration Tests.
Security-Check
Verschaffen Sie sich schnell einen ersten Eindruck über den Stand Ihrer IT-Sicherheit mit unserem IT-Security-Check. Dieser dient als Basis für weitere Schritte.
Security-Assessment oder Penetration Test?
Ein Security-Assessment (deutsch etwa «Sicherheitseinschätzung») untersucht die technischen und organisatorischen Massnahmen. Bei dieser Analyse werden anhand verschiedener Methoden potenzielle Sicherheitslücken identifiziert, ohne diese auszunutzen.
Dagegen wird bei einem Penetration Test oder kurz Pentest (deutsch etwa «Einbruchsversuch») ein Cyberangriff simuliert. Ein Sicherheitsspezialist versucht im Auftrag, in die Systeme des Unternehmens einzudringen. Dabei nutzt er bestehende Sicherheitslücken aus.
Was ist ein Security-Assessment?
Hierbei werden die getroffenen Sicherheitsmassnahmen untersucht. Das Vorgehen ist weitgehend standardisiert und erfolgt in Form eines Interviews mit IT-Verantwortlichen und Geschäftsleitungsmitgliedern. Sie werden zu technischen und organisatorischen Schutzmassnahmen befragt. Beispiele für solche Fragen sind:
- Gibt es ein Konzept für den sicheren Umgang mit Rechnern und Daten, beispielsweise Passwort-Richtlinien und auf die Aufgaben der Mitarbeitenden abgestimmte Zugriffsrechte?
- Gibt es Vorgaben für die sichere Konfiguration von Arbeitsplatz-Rechnern und Servern?
- Wie schaut das Sicherungskonzept aus, um bei einem Ausfall Daten wiederherzustellen?
Zusätzlich kann ein Assessment einen Vulnerability Scan umfassen. Diese Schwachstellensuche zeigt allfällige Sicherheitslücken auf, beispielsweise aufgrund einer veralteten Softwareversion. Dazu wird eine spezialisierte Software eingesetzt, die alle Systeme im Netzwerk untersucht und zusätzlich ein Inventar der eingesetzten Hardware erstellen kann.
Das Resultat eines Security-Assessments wird in einem Bericht festgehalten. Dieser liefert nicht nur einen Überblick über getroffene Massnahmen, sondern nimmt auch eine Einschätzung der erkannten Risiken vor. Das hilft dem Unternehmen, nötige Sicherheitsmassnahmen zu priorisieren. Setzt ein Unternehmen diese Empfehlungen um, erhöht es die Sicherheit der gesamten IT-Infrastruktur.
Was ist ein Penetration Test?
Hierbei greift ein Security-Spezialist («Hacker») im Auftrag des Unternehmens die IT-Infrastruktur mit denselben Mitteln an, wie es auch Cyberkriminelle machen würden. Umfang und Art des Angriffs werden vorgängig aufgrund der individuellen Bedürfnisse des Unternehmens festgelegt. Beispiele sind:
- Einbrechen in die Website oder den Online-Shop
- Administrative Zugriffsrechte verschaffen auf Systemen im Firmennetz
- Zugriff von aussen aufs Firmennetz
Der Sicherheitsspezialist versucht nun mittels speziellen Tools, in die entsprechenden Systeme einzudringen. Das Vorgehen ist dabei teils manuell, teils automatisiert, und nutzt sowohl Schwachstellen in der Software als auch organisatorische Mängel wie unsichere Passwörter. Übliches Ziel ist dabei, administrative Rechte auf dem angegriffenen System zu erlangen und dieses so unter Kontrolle zu bringen.
Die Ergebnisse des Penetration Tests werden wie beim Security-Assessment in einem Bericht festgehalten. Er zeigt auf, welche Sicherheitslücken bestehen und welche Verbesserungsmassnahmen empfehlenswert sind, priorisiert nach Dringlichkeitsgrad respektive Schwere der Sicherheitslücke.
Security Audit
Während Assessment und Pentest die Sicherheit der IT prüfen, untersucht ein Security Audit Prozesse auf ihre Konformität zu einer bestimmten Norm. Es kommt dann zum Zug, wenn sich ein Unternehmen zertifizieren lassen möchte, etwa für den sicheren IT-Betrieb nach ISO 27001. Eine solche Prüfung ist umfassend und entsprechend aufwändig.
Welches Verfahren eignet sich wann?
Als Start, um den aktuellen Stand der Sicherheit zu überprüfen, empfiehlt sich ein Security-Assessment. Dieses reicht aus, um grundsätzliche Versäumnisse zu erkennen und entsprechende Massnahmen zu ergreifen. Je nach Zuständigkeit ist es sinnvoll, den IT-Partner in ein Assessment einzubeziehen.
Im Vergleich dazu ist ein Penetration Test ungleich aufwändiger. Er lohnt sich, wenn der Betrieb eines Unternehmens stark von der IT-Infrastruktur abhängt. Etwa, wenn der gesamte Verkauf über einen Online-Shop läuft oder Bestellungen, Rechnungen und Logistik über ein selbst betriebenes ERP-System (Unternehmenssoftware) abgewickelt werden.
Doch unabhängig davon, wie Ihr Unternehmen aufgestellt ist: Am teuersten kommt oft, gar nichts zu tun und nach einer erfolgreichen Cyberattacke die gesamte Infrastruktur wiederherstellen zu müssen.
Security-Assessment von Swisscom
Sie möchten detailliert wissen, wie gut Ihre IT geschützt ist? Bei unserem Security-Assessment untersuchen Fachleute Ihre Infrastruktur auf mögliche Lücken und helfen Ihnen, das Risiko eines erfolgreichen Angriffs zu verringern.
