Schwachstellen aufdecken wie ein Hacker

Die Entwicklungen im Bereich IT und Cybercrime sind besorgniserregend. Steigende Cyberattacken und der Fachkräftemangel stellen dabei ein ernsthaftes Problem dar. Neben gängigen Sicherheitsmaßnahmen ist der Einsatz automatisierter Pentests deshalb sinnvoll, um die wirklich kritischen Risiken aufzudecken. [...]

Foto: Tumisu/Pixabay

Die Ereignisse der vergangenen Jahre haben wie ein Beschleuniger sowohl im Bereich der IT als auch im Hinblick auf Cyberkriminalität gewirkt. Faktoren wie die Corona-Pandemie und der damit verbundene Anstieg des hybriden Arbeitens, die zunehmende Digitalisierung der Arbeitswelt sowie der Fachkräftemangel im Bereich der IT haben die Lage weiter zugespitzt.

Zu den bedrohlichsten Risiken zählen zurzeit Malware,  Phishing und Ransomware. Der Wirtschaft entstehen dadurch enorm hohe Schäden und es sind sämtliche Branchen und Unternehmen jeglicher Größe betroffen. Zu den Ursachen zählen in den meisten Fällen Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage.

Problematisch ist die Tatsache, dass Hacker immer professioneller vorgehen und sich verstärkt in Gruppen organisieren. Der Druck auf IT-Fachkräfte und IT-Abteilungen ist dementsprechend hoch.

Gleichzeitig nimmt die Anzahl an auftretenden Sicherheitslücken stetig zu. Tagtäglich müssen IT-Administratoren lange Listen priorisierter Schwachstellen überprüfen und abarbeiten, mit denen sie von Vulnerability-Management-Tools auf Trab gehalten werden. Oftmals fehlen die nötigen Kapazitäten, um mit diesem Workload Schritt zu halten.

Wenn Zeit und Kapazitäten Mangelware sind, bietet Automatisierung die nötige Abhilfe. Durch automatisierte Pentesting-Lösungen erhalten IT-Administratoren die Möglichkeit herauszufinden, welche Schwachstellen ein tatsächlich hohes Risiko für das zu schützende Netzwerk darstellen. 

Die richtige Security-Strategie

Hacker-Strategien entwickeln sich ständig weiter. Sicherheitsteams, die lediglich auf Vulnerability-Management-Tools setzen, können sich nie hundertprozentig darauf verlassen, dass das zu schützende Netzwerk tatsächlich sicher ist, denn: Gängige Schwachstellenscanner können lediglich Sicherheitslücken erkennen, die dem Hersteller des Scanners bekannt sind und die in der Datenbank hinterlegt wurden.

Deshalb läuft man Gefahr, neue Lücken nicht auf dem Radar zu haben. Dadurch entwickelt sich auf Dauer ein Katz-und-Maus-Spiel zwischen Sicherheitsteams und Cyberkriminellen. Auch sind die Prüfmechanismen solch eines Scanners bei der Identifizierung einer Schwachstelle eingeschränkt, da diese nicht ausgenutzt wird.

Der Scanner führt nämlich keine Exploits durch, weshalb der gesamte Verlauf eines möglichen Angriffs nicht nachvollzogen werden kann. 

Um die IT-Security eines Unternehmens zu komplettieren, fehlt eine wichtige Komponente sowie strategisches Umdenken. Neben einem soliden Patchmanagement und langfristigem Schwachstellenmanagement ist Automated Security Validation (ASV) mittels Pentesting die dritte Komponente für eine umfassende IT-Security.

Haben Unternehmen ihre Schwachstellen schon im Griff, können komplexere Sicherheitslücken durch Pentesting ausfindig gemacht werden. Bei dieser Art des Tests kommt eine komplett andere Strategie zum Einsatz.

Mit der gleichen Taktik und Technik, die ein Hacker anwenden würde, werden Sicherheitslücken eines IT-Systems, einer Geschäftsanwendung oder auch kompletter Unternehmensnetzwerke identifiziert, analysiert und letztlich auch behoben. Die von der Software durchgeführten sicheren Echtzeit-Angriffe auf eine IT-Infrastruktur zeigen exakt auf, wie sich Cyberkriminelle Zugang zu einem Netzwerk verschaffen können.

Gefundene Schwachstellen werden in Prioritäten eingeteilt und es werden Lösungsvorschläge inklusive Group Policy Object-Konfiguration (GPO) mitgeliefert. Dabei nutzt die Software unter anderem dieselben Schwachstellen in Windows-Domänen wie Ransomware-Varianten.

Im Anschluss an den Test wird auf Knopfdruck ein Reporting erstellt. Daraus können Unternehmen ableiten, ob das eigene Netzwerk sicher genug ist, echte bedrohliche Angriffe abzuwehren. Durch den Report können sämtliche Angriffsoperationen nachvollzogen werden.

Für die Ausführung des Tests benötigt man lediglich ein Notebook – der Test kann aber auch auf einem normalem Desktop oder auf dem Server im Rechenzentrum laufen. Ein schneller Grafikprozessor im Hintergrund ist unbedingt notwendig. 

Mehr Effizienz und Sicherheit durch Automatisierung

Die automatisierte Pentesting-Lösung ist im Vergleich zur manuellen Ausführung eine Neuerung und punktet aufgrund zahlreicher Vorteile. Einer davon ist im Unterschied zwischen Mensch und Maschine begründet.

Denn jeder Mensch hat unterschiedlich stark ausgeprägte Fähigkeiten. Die Software liefert dagegen unabhängig von der Person konsistent Leistung – die Testqualität ist stets gleichbleibend. Ein weiterer Vorteil ist die fortwährende Versorgung der Software mit neuen Angriffen durch regelmäßige Updates.

Wenn der Pentest kontinuierlich laufen gelassen wird, kann sichergestellt werden, dass das Netzwerk den neuesten komplexen Angriffen standhalten kann. Im Gegensatz dazu müsste sich der Mensch in dieser Thematik zuerst fortbilden, was Zeit- und Kostenaufwand bedeutet.

Darüber hinaus kann der automatisierte Pentest jederzeit durchgeführt werden, da er den laufenden Betrieb eines Unternehmens nicht beeinträchtigt. Für die Bedienung werden keine besonderen Skills in diesem speziellen Feld benötigt. Da Pentesting-Experten eher selten zu finden sind, punktet die automatisierte Version an dieser Stelle erneut. 

Den Hackern einen Schritt voraus sein

Unternehmen müssen sich auch in Zukunft auf die Bedrohung aus dem Cyberraum vorbereiten. Besonders kleinere und mittlere Unternehmen können es sich häufig nicht leisten, das Lösegeld bei einem Ransomware-Angriff aufzubringen.

Die Methoden krimineller Hacker, sich Zugang zu Unternehmensnetzwerken und deren Daten zu verschaffen, werden sich stetig wandeln und Cyberkriminelle werden weiterhin gängige Abwehrmechanismen adaptieren.

Das birgt enorme Risiken. Deshalb lohnt sich langfristig die Investition in die Sicherheit der Unternehmensnetzwerke und in den Ausbau der dazu notwendigen Maßnahmen. Automatisiertes Pentesting ist gegenwärtig und auch in Zukunft die Software, die der ganzheitlichen IT-Security einen bedeutenden Baustein liefert und mit der man Cyberkriminellen stets einen Schritt voraus sein kann. 

*Sebastian Brabetz ist in der Geschäftsleitung bei der mod IT Services GmbH für die Professional Security Solutions verantwortlich. Er ist als „Offensive Security Certified Professional“ sowie als „Tenable Certified Security Engineer“ zertifiziert und hat darüber hinaus zwei Bücher zum Thema „Penetration Testing“ veröffentlicht.

powered by www.it-daily.net


Mehr Artikel

News

KI-gestützte Effizienzoptimierung im Lager

Die österreichische TeDaLoS GmbH, Anbieter von smarten Lagerstandsüberwachungssystemen, hat ein Kapital-Investment erhalten, mit dem das Unternehmen eine beschleunigte internationale Expansion und den Ausbau von KI-gestützten Lösungen zur Optimierung der Materialbewirtschaftung vorantreiben will. […]

Helmut Reich, Managing Director proALPHA Software Austria (c) Erich Reismann
Interview

ERP auf dem Weg zum Digital Twin

Die in einem ERP-System hinterlegten Daten spiegeln in der Regel die Wirklichkeit nur bedingt wider. Mit Hilfe der künstlichen Intelligenz soll sich das bald ändern. proALPHA entwickelt seine Kernapplikation im Zusammenspiel mit seiner schnell wachsenden ERP+-Familie in Richtung eines Digital Twin weiter. Das Ziel: die 1:1-Abbildung der realen Wirtschaftswelt. […]

Ismet Koyun, CEO und Gründer der KOBIL Gruppe (c) KOBIL Gruppe
Kommentar

Wie SuperApps den Mobilitätsmarkt revolutionieren können

Bahntickets, Busse, Carsharing, Taxis – wer mobil sein will, benötigt eine Vielzahl von Apps. Das muss nicht sein, sagt Ismet Koyun, Gründer und CEO des Unternehmens KOBIL, Weltmarktführer für digitale Identitäts- und mobile Sicherheitslösungen. Neue Technologien könnten all diese Angebote in einer einfachen, komfortablen und sicheren Lösung bündeln. Intelligente, vernetzte Verkehrssysteme und Datenaustausch auf österreichischer und europäischer Ebene bereiten dafür den Weg und schaffen die nötigen Voraussetzungen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*