Obwohl Penetrationstests in vielen Unternehmen nicht mehr sehr hoch im Kurs stehen, vermutlich weil unerfahrene „Pen-Tester“ nur elementare Schwachstellen aufdecken konnten, die mit einem effizienten Patch-Management vermeidbar waren, sind sie in manchen Situationen immer noch sehr nützlich, besonders für Unternehmen, deren Website eine wichtige Komponente ihres Geschäftsmodells darstellt.
Ein guter Penetrationstester wird alles versuchen, um in das zu prüfende System einzudringen. Erfolgt der Zugriff schließlich über eine bereits bekannte Schwachstelle auf einem der Unternehmensrechner, nützt das natürlich nicht allzu viel.
Sollte das Schlupfloch aber auf irgendeinem alten Rechner im Netzwerk, der schon längst in Vergessenheit geraten ist, oder in einer Design-Schwachstelle einer selbst entwickelten Anwendung liegen, dann wäre diese Information Gold wert.
Das Problem besteht darin, jemanden zu finden, der dieser Aufgabe auch gewachsen ist. Allein hierzu ist bereits ein Experte erforderlich, da im Grunde jeder IT-Leiter, der in der Lage ist zu beurteilen, ob ein Penetrationstester seine Sache gut macht, die Tests wahrscheinlich auch selbst vornehmen könnte. Es empfiehlt sich daher bei der Suche verschiedene Meinungen einzuholen. Große Dienstleister lassen sich diesen Job teuer bezahlen, doch gibt es auch kleinere Unternehmen und Freiberufler, die ebenso zuverlässig arbeiten.
Chris Wysopal (auch bekannt als Weld Pond), der derzeitige Chief Technology Officer der US-amerikanischen Beraterfirma für Netzwerksicherheit @Stake, gibt folgende Ratschläge, um einem Penetrationstest zu widerstehen.
„Die meisten Systeme mit schützenswerten Daten beinhalten auch selbstentwickelte Codes. Sobald Sie einen Code selbst schreiben, schaffen Sie vermutlich eine Schwachstelle,“ so Wysopal. „Schreiben Sie sicheren Code. Aktivieren Sie die Windows XP Firewall. Sie ist eine der besten Sicherheitskomponenten, die ich kenne. Falls Ihnen das noch immer nicht ausreicht, nutzen Sie alternative Architekturen. Sicher, Sie verwenden bereits Linux oder OpenBSD, aber wenn Sie diese auf einem Alpha-Prozessor ausführen, haben herkömmliche Eindringlinge kaum eine Chance mehr.“
Vernetzte Produkte müssen laut Cyber Resilience Act über Möglichkeiten zur Datenverschlüsselung und Zugangsverwaltung verfügen.
Das jüngste Update für Windows, macOS und Linux stopft drei Löcher. Eine Anfälligkeit setzt Nutzer…
Zwei von Google-Mitarbeitern entdeckte Schwachstellen werden bereits aktiv gegen Mac-Systeme mit Intel-Prozessoren eingesetzt. Sie erlauben…
Die Hintermänner haben es unter anderem auf Daten von Facebook-Geschäftskonten abgesehen. Opfer werden über angebliche…
Bis 2027 werden 90 Prozent der Unternehmen eine Hybrid-Cloud-Strategie umsetzen.
Apple belegt in der Statistik von Counterpoint die ersten drei Plätze. Samsungs Galaxy S24 schafft…