Penetrationstests

Drei Security-Argumente für den Chef

| Redakteur: Franz Graser

„Penetrationstests sind als Investition in die IT-Sicherheit von Unternehmen unbezahlbar wertvoll“, so Bernhard Weber, IT-Security-Experte bei msg.
„Penetrationstests sind als Investition in die IT-Sicherheit von Unternehmen unbezahlbar wertvoll“, so Bernhard Weber, IT-Security-Experte bei msg. (Bild: msg)

Viele Unternehmen behandeln Penetrationstests zum Auffinden von IT-Sicherheitslücken stiefmütterlich. Mit Hilfe von drei Argumenten können gewissenhafte Security-Beauftragte ihre Chefs aber von individuell angepassten Penetrationstests überzeugen.

Wie wertvoll Penetrationstests für die Informationssicherheit in einem Unternehmen oder einer Behörde sind, gerät angesichts knapper Budgets bei vielen IT-Chefs in Vergessenheit. Dabei decken solche Tests nicht nur Risiken auf, sondern können auch aufzeigen, wie sich ein knapp bemessenes Budget gezielt einsetzen lässt.

Ein einziger Sicherheitsvorfall kann das Unternehmen ruinieren: Die Folgekosten eines Datenlecks können vom Preis eines Penetrationstests bis zum Unternehmensbankrott reichen. Und die Wahrscheinlichkeit für einen solchen Sicherheitsvorfall steigt kontinuierlich. Dies ist aus zahlreichen Studien bekannt. Auch das Bundesamt für Sicherheit in der Informationstechnik warnt davor: Die Zahl gezielter Spionage- und Sabotageangriffe auf Unternehmen nimmt zu. Wer wissen möchte, auf welchem Weg Hacker gerade versuchen, in sein Unternehmen einzudringen, muss gezielt nach diesem Weg suchen.

Ein Vorfall fällt auf die Abteilung und die Leitung zurück: Wird eines Tages eine Sicherheitslücke ausgenutzt, die ein Penetrationstest rechtzeitig hätte aufdecken können, hat es nicht nur für das Unternehmen selbst Konsequenzen. Auch der IT-Chef, der der Informationssicherheit nicht die gebotene Aufmerksamkeit geschenkt hat sowie die ganze Abteilung geraten dann in Erklärungsnot. Im schlimmsten Fall kann es sogar zu einer persönlichen Haftung kommen: So hat beispielsweise das OLG Hamm bereits für entsprechende Sicherheitsvorfälle eine persönliche Haftung für leitende Angestellte festgestellt.

Ein Penetrationstest kann Geld sparen: Penetrationstests können sehr fokussiert angelegt werden und beispielsweise nur bekannte Hochrisikobereiche für Angriffe, zum Beispiel OWASP TOP-10, von außen oder innen abdecken. So können Schwachstellen gezielt abgesichert werden, ohne das gesamte Jahresbudget für den Bereich Security auszugeben.

„Zunächst kostet ein professioneller Penetrationstest natürlich Geld. Als Investition in die Sicherheit der Unternehmensdaten ist er jedoch unbezahlbar. Empfehlenswert ist die Auswahl eines seriösen und erfahrenen externen Anbieters. Denn nur er kann dabei helfen, die richtigen Schwerpunkte hinsichtlich der zu testenden Systeme zu setzen und die Tests mit der notwendigen Professionalität vorzunehmen“, sagt Bernhard Weber, Experte für Information Security bei msg.

Industrial Security Day am 7. Oktober

Der erste Tag des diesjährigen IoT-Kongresses befasst sich mit dem Thema „Industrial Security“: Angesichts digitaler Schädlinge wie Stuxnet & Co. hat der Schutz von Industrieanlagen gegen Angreifer aus dem Netz höchste Priorität. In seinem Grundlagenseminar vermittelt Christian Gresser, Gründer der NESEC – Gesellschaft für angewandte Netzwerksicherheit – die Basics. Darauf aufbauend gibt Günther Fischer vom Karlsruher Technologieanbieter Wibu-Systems Informationen zum IP-Schutz.

Anhand eines realen Fallbeispiels stellt Heiko Rudolph, Geschäftsführer von admeritia IT-Security, die sichere Einführung von Industrie 4.0 vor. Mit einer interaktiven Simulation zum Schutz industrieller Einrichtungen (KIPS – Kaspersky Industrial Protection Simulation) vertieft Michael Hirschmann von Kaspersky diese Inhalte und schärft den Blick für die Prioritäten. Das Programm finden Sie auf www.iot-kongress.de.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43577783 / Safety & Security)