Penetrationstest vs. Schwachstellenscan: der Leitfaden

Wenn Unternehmen einen Penetrationstest beauftragen wollen, sollten sie zunächst ihr Verständnis dessen prüfen – das heißt Definition und Scope – und was das genaue Ziel der Überprüfung sein soll. Dieses Vorgehen hat vor allem zwei Gründe: Zum einen gibt es nicht den einen standardisierten Penetrationstest. Hier ist es wichtig, die Begrifflichkeiten und Herangehensweisen zu definieren. Zum anderen ist es sinnvoll, vor der Beauftragung eines Penetrationstests einen gewissen Security-Reifegrad festgelegt und erreicht zu haben. Das spart Zeit und Kosten, ein kontinuierlicher Prozess für mehr IT-Sicherheit im Unternehmen hilft dabei.

Pentesting als Maßnahme einer umfassenden IT-Sicherheitsstrategie

Wenn ein Pentest eine Sicherheitslücke aufspürt, die sonst unbemerkt geblieben wäre, dann ist er ohne Zweifel sein Geld wert. Doch mit etwas Abstand betrachtet, kann sich ein anderes Bild ergeben: Wenn sich der Pentester zum Beispiel bei Lücken aufhält, die sich genauso gut mit erheblich weniger Aufwand beseitigen ließen. Kostspielige Pentests wahllos über die gesamte IT zu streuen, das hieße, den zweiten Schritt vor dem ersten zu tun. Besser gesagt: den dritten vor dem zweiten.

Drei Schritte für bestmögliche Sicherheit

Der erste Schritt ist ein solides Patchmanagement für alle Systeme: Windows, Linux und andere Open-Source-Komponenten sowie Anwendungen von Dritten. Selbstverständlich ist auch das beste Patchmanagement nie komplett: Manche Systeme fallen aus der kontrollierten Netzwerk-Architektur. Andere sind zwar bei den Windows Server Update Services (WSUS) hinterlegt, installieren aber dennoch keine Updates. Oder Updates sind fehlerhaft und lassen gravierende Sicherheitslücken offen.

All das mit Pentests aufspüren zu wollen, würde unverhältnismäßig lange dauern. Wirtschaftlicher und sicherer ist es, einen Schritt dazwischen zu schalten.

Schwachstellenscans spüren regelmäßig Lücken auf

Der zweite Schritt ist ein umfassendes Schwachstellen-Management, mit Scans, die systematisch Lücken im Patchmanagement aufspüren. Das Schwachstellen-Management schlägt Alarm, wenn mit der Konfiguration etwas nicht stimmt, Passwörter zu einfach sind oder WSUS auf einem Server nicht mehr funktioniert. Dem IT-Management liefert es regelmäßig Reports. An die Administratoren verteilt es gezielt die Patchaufträge, für die sie zuständig sind, und kontrolliert die Ausführung. So verhindert es, dass Einfallstore wochenlang offenstehen.

Als dritter Schritt werden Pentests gezielt auf die anspruchsvollen Sicherheitslücken angesetzt, die nur sie schließen können. Solche Lücken können im Webshop lauern, bei der Erfassung der Kreditkartendaten oder auch an der Schnittstelle zwischen Bewerbungsplattform und internem SAP-System.

Kontinuierlicher Schutz

Aus diesem Grund empfiehlt es sich in jedem Unternehmen, Schwachstellenscans als regelmäßigen Prozess zu etablieren. Zwar kann auch ein einmaliges Schwachstellen-Audit die verwundbaren Stellen im Netzwerk aufzeigen. Aber dieser Befund ist schon nach dem nächsten Windows-Patchday überholt. Clients ändern sich, virtuelle Server-Umgebungen sind schneller eingerichtet als abgesichert.

Der bestmögliche Schutz gegen feindliche Eindringlinge besteht also erstens aus einem möglichst umfassenden Patchmanagement. Zweitens aus einem kontinuierlichen Schwachstellenmanagement. Und drittens aus Pentests, die gezielt die besonders komplexen Lücken schließen – Lücken, die zuvor das Schwachstellenmanagement aufgespürt hat.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.