Abbildung: Security Awareness im Unternehmen aufbauen. | Bidlquelle: (C) StockSnap / Pixaby
Belastungstest für optimale IT-Sicherheit
Um sich gegen die Attacken von Cyberkriminellen möglichst effizient wehren zu können, ist es vor allem notwendig, dass ein Unternehmen die eigenen Schwachstellen in seiner IT-Infrastruktur kennt. Diese potenziellen Einfallstore für Hacker lassen sich durch einen Belastungstest, der auch als Penetration Test bezeichnet wird, identifizieren. Wie das funktioniert? Durch einen gezielten Angriff auf die IT Sicherheit. Die Besonderheit besteht allerdings darin, dass ein solcher Angriff vom Unternehmen genehmigt und beauftragt ist. Er findet also unter detailliert abgesprochenen Rahmenbedingungen statt und wird von einem IT-Sicherheitsexperten durchgeführt.
Der ausführende Experte kennt alle Methoden professioneller Hacker und verhält sich beim Versuch, Zugang zum Netzwerk zu erhalten genauso, wie es ein Cyberkrimineller tun würde. Er sammelt zunächst alle verfügbaren Informationen zum vorhandenen Netzwerk und genutzten Netzwerkdiensten sowie alle Infos zu Firewalls, IP-Adressen oder Kontaktdaten.
In einem nächsten Schritt identifiziert er potenzielle oder schon vorhandene Schwachstellen (etwa Exploits, fehlerhafte Konfigurationen oder schwache Passwörter) im IT-System und versucht, diese weitestgehend auszunutzen.
Sämtliche Schritte dokumentiert er, analysiert den Penetrationstest und listet sämtliche Schwachstellen, den jeweiligen Weg zur Ausnutzung sowie entsprechende Lösungsansätze für bessere Datensicherheit auf. In einem letzten Schritt säubert er das System von "Testrückständen".
Die wichtigsten Rahmenbedingungen bei einem IT-Belastungstest
Damit der Pentest in einem geeigneten und von allen Beteiligten befürworteten Rahmen stattfindet, müssen bereits im Vorfeld bestimmte Parameter in einem Dienstleistungsvertrag festgelegt werden. Zu diesen Parametern gehören beispielsweise die Benennung der ausführenden Person sowie die Klärung der Eigentumsrechte von verwendeten Netzdienstleistern (nur im Eigentum des Auftraggebers stehende Soft- und Hardware darf getestet werden).
Aber auch die Art des Penetrationstests (Gesamtnetzwerk- oder Einzelbereichstest, z. B. Cloud, Web-Application), der Zeitraum für die Durchführung und die Festlegung erlaubter und verbotener Testmethoden müssen vor Beginn des Belastungstests geregelt werden. Übrigens kann auch vereinbart werden, ob der Pentest im Unternehmen angekündigt wird oder unangekündigt vonstatten gehen soll.
Was in keinem Vertrag fehlen darf, ist eine allseitige Verschwiegenheitsklausel. Immerhin ist es durchaus möglich, dass der Penetrationstester bei seinem Angriff an sensible Daten gelangt. Um diese zu schützen, wird eine Vereinbarung hinsichtlich des Umgangs mit solchem Wissen benötigt. Erst nach Regelung dieser Details kann der IT-Sicherheitsexperte mit seinem IT-Belastungstest beginnen.
Notfallplan als Teil des IT-Sicherheitskonzepts
In vielen Bereichen gibt es Notfallpläne, für Umweltkatastrophen, Reaktorunglücke in Kernkraftwerken oder Schiffshavarien. Es gibt aber auch Notfallpläne für Hackerattacken. Bei einem solchen Notfallplan handelt es sich um ein Handbuch, in dem man Anweisungen hinsichtlich zu ergreifender Notfallmaßnahmen findet, wenn es zu Problemen im IT-Bereich kommt.
Der Sinn eines Notfallplans ist es, ein Unternehmen vor Ausfallzeiten in einzelnen Abteilungen oder ganzen Betriebsstillständen zu schützen und so die aus solchen Ereignissen entstehenden finanziellen Schäden in Grenzen zu halten. Notfallpläne haben sehr häufig die Form einer Checkliste, die bei einem real auftretenden Problem einfach abgearbeitet werden können. Im Rahmen eines Penetrationstests lässt sich sehr gut erkennen, wie effizient ein vorhandener Notfallplan ist und ob es eventuell Bereiche gibt, in denen er optimiert bzw. überarbeitet werden sollte.
Die Methoden professioneller Hacker entwickeln sich sehr schnell weiter und werden immer komplexer. Daher besteht bei solchen Notfallplänen nicht selten Verbesserungsbedarf. Der Abschlussbericht eines Penetrationstests gibt hier wertvolle Hinweise, wie sich zu schwache IT-Sicherheitsperipherie stärken lässt.
Mitarbeiter-Schulung für bessere IT-Sicherheit
Hacker suchen nach immer neuen Schlupflöchern, um in die Systeme eines Unternehmens einzudringen, Daten zu stehlen, Systeme zu blockieren und das Unternehmen zu Erpressen oder Abläufe zur Durchsetzung terroristischer Ziele zu sabotieren. Dabei haben sie nicht nur technische Schwachstellen im Blick, sondern versuchen auch verstärkt, über den Menschen als schwächstes Glied der Sicherheitskette Zugang zu erlangen.
Dafür nutzen sie vor allem das sogenannte Phishing, also das Versenden von gefälschten E-Mails mit verborgenen Download-Links. Sie schrecken aber auch vor "Zoombombing", einer noch relativ jungen Methode, nicht zurück. Dabei kapern sie Videokonferenzen und belästigen oder bedrohen die Teilnehmenden. Zudem nutzen Cyberkriminelle Webcams, um sich in den Büroalltag einzuklinken und auf diese Weise Informationen zu erhalten.
Gegen diese Formen des Hackings sind regelmäßige Schulungen und Workshops zu den genannten Methoden extrem hilfreich. Bei solchen Veranstaltungen erhalten die Mitarbeitenden wichtige Informationen und es werden Verhaltensregeln ausgegeben, wie sie reagieren sollen, wenn sie beispielsweise eine Phishing-Mail erhalten. Die Schulungen werden von IT-Sicherheitsexperten durchgeführt, was den großen Vorteil hat, dass sie über fundiertes und stets aktuelles Hackerwissen verfügen. Durch das Nutzen dieses Wissens beim Penetrationstest, der Optimierung von Notfallplänen und bei den Schulungen von Personal ist das jeweilige Unternehmen den Cyberkriminellen immer einen Schritt voraus oder kann zumindest Schritt halten.
Cybersicherheit muss Priorität haben
Die im Netzwerk steckenden Informationen sind die wichtigste Ressource für jedes Unternehmen. Ihr Schutz muss daher ganz oben auf der Prioritätenliste stehen und sollte als Thema direkt bei der Unternehmensleitung angesiedelt sein. Auf diese Weise können Entscheidungen schnell getroffen und finanzielle Mittel zur Stärkung der IT-Sicherheit bei Bedarf zeitnah freigegeben werden.