M-A. Ester, M. Jungbauer, N. Pohlmann, M. Smiatek:,
“Pentest: Sinn oder Unsinn?”,
IT-Sicherheit – Management und Praxis,
DATAKONTEXT-Fachverlag,
06/2008 Die Zahl der Angriffe auf Rechnersysteme, unabhängig ob in Unternehmen oder privat, steigt stetig. Verbunden mit der immer stärkeren Durchdringung der IT ist die Rolle der Cyber-Sicherheit so wichtig wie nie zuvor. Insbesondere bei der immer weiteren Vernetzung aller Rechnersysteme in Unternehmen stehen den durchaus zahlreich vorhandenen positiven Effekten auch zahlreiche Risiken gegenüber. Die Verbindung der Rechnersysteme führt häufig dazu, dass lokale Sicherheitsprobleme einzelner Rechnersysteme zu Risiken des Netzwerks und somit des gesamten Unternehmens werden. In den letzten Jahren werden verstärkt sogenannte Penetrationstests (kurz: Pentest) angeboten. Bei einem Pentest betrachten externe Dienstleister die eigene IT-Infrastruktur nach dem Vier-Augen-Prinzip.
Denn schnell schleicht sich eine „Betriebsblindheit“ ein und man übersieht Lücken, die einem externen Pentest-Dienstleister sofort auffallen würden.
Doch sind diese Tests wirklich notwendig oder teure Spielerei? Oder können Cyber-Sicherheitsmaßnahmen innerhalb der Unternehmen ein ebenso ausreichendes oder höheres Sicherheitslevel erreichen? Dieser Artikel versucht, diese Fragen zu klären.
Interne IT-Sicherheit
Um einen Teil der Antwort schon vorwegzunehmen: Pentests sind kein Ersatz für eine gute IT-Sicherheitsstrategie, sondern ein Prüfinstrument für die Wirksamkeit dieser Strategien. Eine gute IT-Sicherheitsstrategie besteht dabei nicht aus einer reinen Absicherung der Konfiguration von Rechnersystemen und Strukturen. Durch die tiefgehende Verflechtung von IT mit Unternehmensstrukturen besteht optimale Informationssicherheit heute aus einer ganzheitlichen Betrachtung, die weitere Cyber-Sicherheitsmaßnahmen abseits der reinen Konfiguration und die Zusammenarbeit mit anderen Unternehmensbereichen umfasst.
Im Folgenden werden die vier Kernfelder einer guten IT Sicherheitsstrategie kurz erläutert:
1) „Klassische“ IT-Sicherheit
Auch heute ist eine sichere Konfiguration der Unternehmens-IT die Grundlage für alle anderen IT-Sicherheitsbemühungen. Sie umfasst sowohl die Software- als auch die Hardware-Sicherheit. Sind beispielsweise die Arbeitsplatz-Rechner abgeschlossen, das Bootmenü gesperrt, nicht benötigte Schnittstellen deaktiviert und das BIOS mit einem Passwort geschützt, ist eine Kompromittierung auf Hardware-Seite, beispielsweise über einen Boot eines anderen Betriebssystems per Live-CD, relativ schwierig. Sind zusätzlich die Netzwerk-Dosen im Unternehmen durch eine Zugangskontrolle wie IEEE 802.1x geschützt, wird ein unbemerktes Einbringen unternehmensfremder Hardware erschwert.
Auf der Seite der Software-Sicherheit werden die Maßnahmen wie Patch-Management, Firewall-Systeme und Virenscanner durch weitere Maßnahmen wie eine sichere Konfiguration von Betriebssystem und Anwender-Software unterstützt. So gilt es zum Beispiel unbedingt den Autostart von Wechseldatenträgern wie USB-Sticks und CDs zu unterbinden, da dieser ein potentielles Einfallstor für Angreifer ist. An dieser Stelle wird klar, dass es einen weiteren Faktor in der IT-Sicherheit gibt, der nicht über die Konfiguration abgedeckt werden kann: der Mitarbeiter.
…
kostenlos downloaden | 
