Hacken mit Köpfchen oder die Zukunft der Penetrationstests

Jeder kennt sie und die meisten Unternehmen ziehen für sie blank. Gemeint sind Penetrationstests, kurz: Pentests, mit denen interne IT-Systeme auf Herz und Nieren geprüft werden.

„Alle Jahre wieder“ ist überholt

Die Aussage zahlreicher Unternehmen „Wir werden es schon merken, wenn wir angegriffen werden“ zeigt zwei Dinge: Erstens ist es schlecht um das Thema Vorsorge bestellt. Zweitens ist den meisten die aktuelle Gefahrenlage gar nicht bewusst. Denn, wenn ein Hacker-Angriff bemerkt wird, ist es in der Regel bereits zu spät. Warten ist also nie eine kluge und schon gar keine effiziente Maßnahme, insbesondere in Hinsicht auf Compliance-Vorschriften. Pentests bieten demnach eine Grundlage zur Problemanalyse. Sie helfen dabei, Schwachstellen im System zu identifizieren oder beispielsweise die allgemeine Belastbarkeit  von Webanwendungen bei einer DDoS-Attacke zu eruieren. Auf den Ergebnissen können dann gezielte Maßnahmen aufgebaut und die eigenen Sicherheitshürden kontinuierlich erhöht werden. Eines sollte dabei im Hinterkopf bleiben: Pentests sind eine Momentaufnahme und geben keine Auskunft darüber, wie es künftig um das Sicherheitsniveau bestellt sein wird. Smartere Maschinen, neue Firmware usw. – jede Änderung im System birgt die Gefahr neuer Lücken. Aus diesem Grund ist es entscheidend, regelmäßig entsprechende Tests einzusetzen und unterschiedliche Angriffsszenarien sowie neue Angriffstechniken durch Profi-Hacker am eigenen System zu testen.

Don’t bring a knife to a gunfight!

Die jüngste Angriffswelle auf namhafte US-Giganten wie Netflix, Twitter oder Spotify Mitte Oktober dieses Jahres offenbarten erneut das vorherrschende Ungleichgewicht zwischen Angreifer (Hacker) und Verteidiger (Unternehmen). Das legt auch nahe, dass Pentests nicht komplett automatisiert ablaufen können. In der Praxis zeigt sich jedoch oft genau das Gegenteil: Die Zahl automatisierter Schwachstellen-Scans am Markt nimmt immer mehr zu. Doch gerade im Kampf gegen professionelle, organisierte und ggfs. staatlich finanzierte Cyberkriminelle ist die Komponente „Mensch“ ein entscheidender Faktor. Denn bei der Durchführung der Tests sind Erfahrung und Kreativität gefordert. Profis wissen, wie Hacker denken und vorgehen. Zudem braucht es Leute, die die Ergebnisse interpretieren können und damit erst den entscheidenden Wissensschatz für das sich verteidigende Unternehmen bergen. Ideal wäre eine Verteilung von 20 Prozent Automation und 80 Prozent Mensch.

Dokumentieren – Beweisen – Absichern

Ab 2018 wird auch die Dokumentation von Sicherheitsmaßnahmen für Firmen ein wichtiger Punkt. Denn sie ist einer der Eckpunkte der EU-Datenschutz-Grundverordnung (EU-DS-GVO), die am 25. Mai 2016 in Kraft getreten ist und in zwei Jahren schlagend wird. Demnach müssen alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, organisatorische und technische Schutzmaßnahmen in den Bereichen Datenschutz und Datensicherheit nachweislich treffen und dokumentieren. Die Pönale für Versäumnisse bei Datensicherheitsthemen klettern dabei von 25.000 Euro auf zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes. Natürlich können Penetrationstests nicht die einzige Art der Dokumentation darstellen. Doch sie werden künftig eine wichtige Beweisrolle in Fragen des Datenschutzes und der Datensicherheit spielen.