Sicher­heits­ana­lysen fürs Unter­nehmen

IT-Sicherheit kann nur dann gewähr­leistet werden, wenn die rich­tigen Vor­keh­rungen getroffen werden. Das ist aber im baby­lo­ni­schen Spra­chen­gewirr der IT-Sicher­heits-Begrif­f­­li­ch­­keiten manchmal leichter gesagt, als getan.

Sicher­heits­ana­lysen:
Nehmen wir mal an, sie möchten für ihr Unter­nehmen einen Onlineshop eröffnen. Wie würden sie sicher­stellen, dass der Shop nicht gehackt wird? Wäre eine Ver­wund­bar­keits­analyse, ein Pene­tra­ti­onstest oder eine Risi­ko­analyse sinnvoll? Was pas­siert da eigentlich? Der Unter­schied dieser Begriff­lich­keiten macht auch einen großen Unter­schied für Ihre IT-Sicherheit.
Ein oft ver­nach­läs­sigter, aber trotzdem sehr wich­tiger Punkt, bevor man eine Dienst­leistung online stellt, ist in jedem Fall, sie auf ihre Ver­wund­barkeit zu testen. Wenn Sie Pro­gram­mierung und Sicher­heits­tests an ein externes Unter­nehmen ver­geben, welche Tests wären ange­messen? Wie könnten sie die Sicherheit gewähr­leisten?

Die Ver­wund­bar­keits­analyse:
Eine Ver­wund­bar­keits­analyse wird häufig mit einem Pene­tra­ti­onstest ver­wechselt, es liegen aber Welten dazwi­schen. Die Ver­wund­bar­keits­analyse testet mit fer­tigen, stan­dar­di­sierten Tools ihre Software auf bekannte Schwach­stellen wie z.B. Heart­bleed. Findet das Tool Anzeichen dafür, erstellt es einen Bericht, in dem alle bekannten Schwach­stellen auf­ge­listet werden. Es handelt sich hierbei jedoch aus­schließlich um Schwach­stellen, die zum Zeit­punkt der Prüfung überall hin­länglich bekannt sind. Es gibt ja, aber immer Schwach­stellen, die noch im Ver­bor­genen schlummern, solche Schwach­stellen können hiermit nicht auf­ge­zeigt werden.

Der Pene­tra­ti­onstest:
Beim Pene­tra­ti­onstest hin­gegen begnügt sich der Tester nicht nur mit dem Auf­spüren der Schwach­stelle. Er nutzt zwar auch reguläre Tools und scannt das Netzwerk, aber zusätzlich pro­biert er auch aus, was er innerhalb dieser Schwach­stelle anrichten kann. Im Gegensatz zum vor­an­ge­gan­genen eher auto­ma­ti­sierten Test, wird ein erfah­rener Fachmann im Pene­tra­ti­onstest ver­schiedene Test­ver­fahren kom­bi­nieren und sie der zu tes­tenden Umgebung anpassen. Er wird meist ver­suchen, alle bekannten und rele­vanten Angriffs­muster nach­zu­bilden.

Die Risi­ko­analyse:
Zu guter Letzt haben wir noch die Risi­ko­analyse, die häufig auch mit den beiden vor­an­ge­gan­genen Ver­fahren ver­wechselt, oder in einen Topf geschmissen wird. Die Risi­ko­analyse benötigt keine auto­ma­ti­sierten oder ange­passten Tools, sie stellt vielmehr eine indi­vi­duelle Erhebung der Gefahren für ein Unter­nehmen oder eine Anwendung dar. Sie ver­sucht das Risiko für das Unter­nehmen zu bewerten, wenn die Sicher­heits­lücke aus­ge­nutzt werden sollte, und zwar in Bezug auf alle Unter­neh­mens­werte wie Kapital, Repu­tation und Business-Con­­ti­­nuity.

Fazit:
Um eine umfas­sende IT-Sicherheit zu gewähr­leisten sind sicherlich alle drei der oben genannten Ver­fahren sinnvoll.
All diese Ver­fahren tragen zur Ver­bes­serung der IT-Sicherheit in ihrem Unter­nehmen bei. Zur vollen Ent­faltung kommen sie aber nur, wenn sie zur rich­tigen Zeit am rich­tigen Ort ein­ge­setzt werden.

Weitere Infor­ma­tionen zum Thema finden Sie in den blog-Bei­­trägen von Hrn. Dr. Thomas Lohre und auf den Seiten des BSI.

 Bild: © Michael Heimann/ pixelio.de