Das Thema rund um die Automatisierung ist in Deutschland in den letzten Jahren ein großes Thema gewesen. Smarte Lautsprecher wie Alexa und Co. in Verbindung mit smarten Produkten, wie denen von Philips Hue, haben die Automatisierung in deutsche Haushalte gebracht. Doch nicht nur dort hat das Thema Platz gefunden.

Auch Webseiten setzen immer mehr auf Automation z. B. in Form eines Chatbots, welcher grundlegend einen Support-Mitarbeiter ersetzt.

Mittlerweile existieren Dienstleistungen, die automatisiert durchgeführt werden können, von welchen man dies nie gedacht hätte: Die IT-Sicherheit. Die IT-Sicherheit in Unternehmen gehört aktuell zu den essenziellsten Punkten, wenn es um die Sicherheit geht.

Konkret wird dafür in der Regel ein Unternehmen für einen Pentest engagiert. Wie dieser automatisiert abläuft und ob das wirklich sinnvoll ist, zeigen wir in diesem Artikel.

Wozu dient ein Penetration Test?

In Zeiten, wo Millionen von Kundendaten (Adresse, Mail, Passwörter) online gespeichert werden bzw. auf den Datenbanken der Unternehmen, ist eine entsprechende IT-Sicherheit so wichtig wie noch nie zuvor. Ein solcher Test fand anfangs lediglich auf der Netzwerkebene statt. Mittlerweile ist dieser sogar auf der Webanwendungsebene möglich.

Ein Pentest dient somit dazu, Schwachstellen des Unternehmens zu analysieren, damit diese schnellstmöglich behoben werden können.

Dafür wird ein spezielles Unternehmen mit IT-Sicherheitsexperten beauftragt, welche einen realen Hackerangriff simulieren. Dazu werden Methoden genutzt, welche auch reale Angreifer nutzen würden. Je nach Art der Methode kann das Unternehmen gar keine Informationen über das Unternehmen bekommen oder z. B. den Quellcode ihrer Systeme, sodass gezielt spezifischere Angriffe imitiert werden können.

Solch ein Test wird in einem Handbuch ausführlich dokumentiert, sodass im Nachhinein alle Schwachstellen nachvollziehbar sind und der Sicherheitsstatus des Unternehmens bekannt ist.

Anhand dieser Analyse kann das Unternehmen schließlich gemeinsam mit dem „Angreifer“ Maßnahmen zur Verbesserung der Sicherheit durchgehen.

In der zuletzt geschilderten Situation wurde ein Sicherheitsexperte manuell beauftragt und hat all diese Schritte durchgeführt. Doch dies ist nur eine mögliche Variante. Ein solcher Pentest ist ebenso in der Lage diesen automatisiert durchzuführen. Dadurch ist es möglich, viele verschiedene Systeme zur selben Zeit zu testen, und damit Zeit und Geld zu sparen. Doch ist das wirklich effektiv?

Der automatisierte Penetration Test im Überblick

Automatisierte Pentests sind in der Lage Anwendungen, den Code und deren Algorithmen zu analysieren. Jedoch kann dieser lediglich die Schwachstelle an sich finden und nicht den Grund dafür. Somit kann es schnell zu Missverständnissen kommen, da bestimmte Schwachstellen aufgrund von Personengruppen oder bestimmten Rechten geduldet sind.

Damit ein solcher Test grundlegend alles testen kann, sollten die Geräte und IP-Adressen im Unternehmen bekannt sein, was meistens schon die erste Hürde darstellt.

Einer der größten Vorteile für Unternehmen ist der Preis, gerade wenn es kleine Start-Ups sind. Manuelle Penetration Tests gehen über mehrere Tage und können bis zu 20.000 Euro kosten. Ein automatisierter hingegen benötigt lediglich einen Knopfdruck und ist ab 100€ erhältlich und zeigt die Ergebnisse binnen weniger Stunden nach der Analyse an. Für kleine Unternehmen absolut empfehlenswert. Sehr große Unternehmen sollten jedoch auf den manuellen zurückgreifen.

Der geringe Preis bringt gleichzeitig auch den nächsten Vorteil mit sich: Ein solcher Test kann regelmäßig wiederholt werden, ohne dass dieser das Unternehmen in finanzielle Schwierigkeiten bringt.

Im Gegensatz zur manuellen Durchführung erkennt die Software des automatischen Tests selbstständig neu hinzugefügte Geräte im Unternehmen. Ein automatisierter Angriff wird jedes Mal unter identischen Bedingungen durchgeführt, weshalb er optimal mit älteren Analysen verglichen werden kann.

Wo sind in Unternehmen häufig Schwachstellen zu finden:

Oftmals liegen Schwachstellen auch nicht in den Systemen, sondern bei den Mitarbeitern, welche nicht diskret oder vertraut genug mit Daten umgehen.

Solche Fehler können natürlich nur mit manuellen Tests durchgeführt werden. Diese nennt man beim Pentest auch Social Engineering Test. Sollte sich solch ein Mangel herausstellen, hat das Unternehmen die Möglichkeit, die Mitarbeiter entsprechend zu schulen, um solche Fehler zu vermeiden.

(Bildquelle Artikelanfang: © madartzgraphics /Pixabay.com)