Thought Leadership
Nahezu jede Woche ist in den Medien von Angriffen auf sensible IT-Systeme zu lesen. Für Unternehmen bedeuten diese sowohl finanzielle Schäden als auch den Verlust von Vertrauen und Ansehen bei ihren Geschäftspartnern und Kunden. Zum Teil sind die Verantwortlichen im Unternehmen sogar haftbar, wenn diese für keine ausreichende Absicherung ihrer Systeme sorgen, sodass ihnen empfindliche Bußgelder im Schadensfall drohen können.
Um einen ausreichenden Schutz vor Angriffen zu gewährleisten, ist es demnach nötig, entsprechende Gegenmaßnahmen auf verschiedenen Ebenen zu ergreifen. Ein probates Mittel stellt dabei unter anderem ein Penetrationstest von Software und Infrastruktur dar, der zum Beispiel von turingsecure.com angeboten wird.
Im Rahmen des Tests werden mit den gleichen Methoden und Werkzeugen, die auch kriminelle Hacker nutzen, Sicherheitslücken in den Systemen aufgespürt, sodass im Anschluss die entsprechenden Schutzmaßnahmen eingeleitet werden können. Welche Gründe für die Durchführung eines Penetrationstests sprechen, erklärt der folgende Beitrag.
Schutz von geistigem Eigentum und sensiblen Daten
Die Durchführung eines Penetrationstests dient dazu, vorhandene Systemschwachstellen aufzudecken und eine generelle Überprüfung hinsichtlich der Verwundbarkeit eines Systems vorzunehmen. Im Anschluss werden mit dem Kunden gemeinsam die nötigen Absicherungsmaßnahmen bestimmt, die in Zukunft einen Schutz von sensiblen Daten und geistigem Eigentum vor tatsächlichen Hackerangriffen bieten.
Schutz vor Rufschädigung
Nachdem Hacker ein Unternehmen erfolgreich angegriffen haben, folgen häufig grenzwertige Auftritte in der Öffentlichkeit, bei denen sich die Unternehmen für den Diebstahl der Daten rechtfertigen müssen. Wird durch einen unabhängigen Dritten ein umfangreicher Penetrationstest durchgeführt, wird eine wirkungsvolle Absicherung gegen derartige Angriffe geschaffen, sodass einem möglichen Reputationsverlust effektiv vorgebeugt wird.
Erfüllung gesetzlicher Pflichten
Sensible Dokumente und Daten müssen besonders geschützt werden. Die Etablierung und das Betreiben eines Informationssicherheitsmanagementsystems wird so durch eine Vielzahl rechtlicher Vorgaben aus TKG, TMG, HGB und BDSG erforderlich.
Erleidet ein Unternehmen einen sogenannten 42a-Fall, besteht laut dem BDSG die Pflicht, den Vorfall der zuständigen Aufsichtsbehörde und den Betroffenen unverzüglich zu melden. Findet ein Verstoß gegen diese Informationspflicht statt, wird eine Ordnungswidrigkeit oder eventuell sogar eine Straftat begangen. Allerdings ist es in der Realität gar noch so einfach, festzustellen, ob es zu einem derartigen Vorfall gekommen ist. Daher ist es zwingend notwendig, die Systeme durch regelmäßige Pentests überprüfen zu lassen, um die entsprechenden Schutzmaßnahmen ergreifen zu können.
Steigende Angriffsgefahr
Die modernen IT-Systeme werden stetig komplexer, sodass es immer schwieriger wird, deren Sicherheit und eine vollumfängliche Kontrolle zu gewährleisten. Diese Entwicklungen machen sich Kriminelle zunutze und suchen gezielt nach Systemschwachstellen. Im Zuge dessen sind nicht nur gezielte Angriffe zu befürchten, sondern auch automatisierte Tests, die durch Bots durchgeführt werden. Diese Durchsuchen das Internet weltweit nach Schwachstellen, um Opfer für ihre kriminellen Handlungen zu finden. Daher ist es wichtig, vorhandene Schwachstellen zu identifizieren und diese zu schließen, bevor sie von den Cyberkriminellen entdeckt werden.
Cyber-Risk-Versicherungen günstiger gestalten
Unternehmen, die für ihre Systeme umfangreiche Schutz- und Kontrollmaßnahmen etablieren, können das Risiko, dass es zu einem erfolgreichen Hackerangriff kommt, maßgeblich reduzieren. Das wissen auch die Anbieter der Cyber-Risk-Versicherungen. Die Versicherungsprämien richten sich daher nach den vorhandenen Sicherheitsmaßnahmen. Sogar werden die entsprechenden Produkte von einigen Versicherungen nur dann angeboten, wenn gewisse Standards im Bereich der IT-Sicherheit vorhanden sind. Die Ausführung von Pentests kann so zu einem Einsparpotential im Bereich der Cyber-Risk-Versicherungen führen.
