Penetrationstest – Luxus oder Notwendigkeit?
Im Rahmen unserer Tätigkeit als Datenschutzbeauftragte raten wir unseren Kunden dazu, sich umfassend mit der Sicherheit Ihres Unternehmens, ihrer Netzwerke und IT-Systeme auseinanderzusetzen.
Prozesse erstellt, nun ist alles gut!
Viele Unternehmen entwickeln Prozesse und geben Anweisungen wie bspw. der Umgang mit Besuchern und der Zugang zu Räumlichkeiten zu erfolgen hat oder auch die Erstellung von Back-Up und Recovery-Konzepten sowie Tests zur Wiederherstellung.
Nach Erstellung dieser Konzepte und deren Implementierung in der Praxis glauben viele, dass sie nun „sicher“ sind und sich zurücklehnen können.
Wichtig ist es aber, alle vorhandenen Maßnahmen und Sicherheitsvorkehrungen von Zeit zu Zeit zu überprüfen, da mittlerweile immer häufiger auch die IT-Systeme von „kleinen“ oder „mittelständischen“ Unternehmen in den Fokus von Angreifern geraten.
Penetrationstests zur Aufdeckung von Schwachstellen
Mit Hilfe von Penetrationstests können die Schwachstellen im Unternehmen, insbesondere – aber nicht ausschließlich- von IT-Systemen für Einbruchs- und Manipulationsversuchen aufgedeckt werden.
Diese Tests werden in der Regel von IT-Experten durchgeführt, die in diesem Rahmen ähnliche Methoden und Techniken anwenden, wie sie von Hackern eingesetzt werden. Dadurch können Schwachstellen rechtzeitig aufgedeckt und behoben werden.
Gefahr von innen oder außen?
Zu überlegen ist bei der Beauftragung von Penetrationstests auch, ob eher eine Gefahr von außen oder von innen zu erwarten ist. Ab einer Unternehmensgröße von ca. 50-100 Mitarbeitern steigt die Gefahr von internen Angriffen, da das Vertrauen in die eigenen Mitarbeiter nicht mehr durch ein familiäres Umfeld gedeckt ist.
Welche Art und wie umfangreich ein Penetrationstest sein sollte, hängt von der Unternehmensart und der Unternehmensgröße ab. Es könnten in einem ersten Schritt bspw. die im Unternehmen implementierten Prozesse bzgl. des Umgangs mit externen Personen geprüft werden. Kann ein Dritter einfach so auf das Unternehmensgelände und in die Büroräumlichkeiten gelangen? Wird dieser von Mitarbeitern Ihres Unternehmens aufgehalten bzw. angesprochen oder darf er ungehindert durch Ihre Büros spazieren?
Kann ein Dritter sich über eine Netzwerkdose einfach mit Ihrem Server verbinden oder sind alle „nicht“ benutzten Netzwerkbuchsen abgeklemmt? Kann ein Dritter unbemerkt einen Keylogger an einen Ihrer PCs anstecken und zu einem späteren Zeitpunkt wieder „abholen“, um so Zugriff auf alle Passwörter von einem Arbeitsplatz zu erhalten?
Welche Hackerangriffe führen möglicherweise zu einem Offenlegen oder gar Zerstören aller Daten? Können diese verändert bzw. manipuliert werden? Wird ein solcher Angriff von Ihrer IT überhaupt festgestellt?
Penetrationstest notwendig?
Wir raten Ihnen, sich Gedanken darüber zu machen, wie sicher Ihr Unternehmen wirklich ist und ob ein Penetrationstest für Ihr Unternehmen nicht hilfreich wäre, um rechtzeitig Schwachstellen aufzudecken.
Kein Kommentar