Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Sicherheitsanalysen fürs Unternehmen
IT-Sicherheit kann nur dann gewährleistet werden, wenn die richtigen Vorkehrungen getroffen werden. Das ist aber im babylonischen Sprachengewirr der IT-Sicherheits-Begrifflichkeiten manchmal leichter gesagt, als getan.
Sicherheitsanalysen:
Nehmen wir mal an, sie möchten für ihr Unternehmen einen Onlineshop eröffnen. Wie würden sie sicherstellen, dass der Shop nicht gehackt wird? Wäre eine Verwundbarkeitsanalyse, ein Penetrationstest oder eine Risikoanalyse sinnvoll? Was passiert da eigentlich? Der Unterschied dieser Begrifflichkeiten macht auch einen großen Unterschied für Ihre IT-Sicherheit.
Ein oft vernachlässigter, aber trotzdem sehr wichtiger Punkt, bevor man eine Dienstleistung online stellt, ist in jedem Fall, sie auf ihre Verwundbarkeit zu testen. Wenn Sie Programmierung und Sicherheitstests an ein externes Unternehmen vergeben, welche Tests wären angemessen? Wie könnten sie die Sicherheit gewährleisten?
Die Verwundbarkeitsanalyse:
Eine Verwundbarkeitsanalyse wird häufig mit einem Penetrationstest verwechselt, es liegen aber Welten dazwischen. Die Verwundbarkeitsanalyse testet mit fertigen, standardisierten Tools ihre Software auf bekannte Schwachstellen wie z.B. Heartbleed. Findet das Tool Anzeichen dafür, erstellt es einen Bericht, in dem alle bekannten Schwachstellen aufgelistet werden. Es handelt sich hierbei jedoch ausschließlich um Schwachstellen, die zum Zeitpunkt der Prüfung überall hinlänglich bekannt sind. Es gibt ja, aber immer Schwachstellen, die noch im Verborgenen schlummern, solche Schwachstellen können hiermit nicht aufgezeigt werden.
Der Penetrationstest:
Beim Penetrationstest hingegen begnügt sich der Tester nicht nur mit dem Aufspüren der Schwachstelle. Er nutzt zwar auch reguläre Tools und scannt das Netzwerk, aber zusätzlich probiert er auch aus, was er innerhalb dieser Schwachstelle anrichten kann. Im Gegensatz zum vorangegangenen eher automatisierten Test, wird ein erfahrener Fachmann im Penetrationstest verschiedene Testverfahren kombinieren und sie der zu testenden Umgebung anpassen. Er wird meist versuchen, alle bekannten und relevanten Angriffsmuster nachzubilden.
Die Risikoanalyse:
Zu guter Letzt haben wir noch die Risikoanalyse, die häufig auch mit den beiden vorangegangenen Verfahren verwechselt, oder in einen Topf geschmissen wird. Die Risikoanalyse benötigt keine automatisierten oder angepassten Tools, sie stellt vielmehr eine individuelle Erhebung der Gefahren für ein Unternehmen oder eine Anwendung dar. Sie versucht das Risiko für das Unternehmen zu bewerten, wenn die Sicherheitslücke ausgenutzt werden sollte, und zwar in Bezug auf alle Unternehmenswerte wie Kapital, Reputation und Business-Continuity.
Fazit:
Um eine umfassende IT-Sicherheit zu gewährleisten sind sicherlich alle drei der oben genannten Verfahren sinnvoll.
All diese Verfahren tragen zur Verbesserung der IT-Sicherheit in ihrem Unternehmen bei. Zur vollen Entfaltung kommen sie aber nur, wenn sie zur richtigen Zeit am richtigen Ort eingesetzt werden.
Weitere Informationen zum Thema finden Sie in den blog-Beiträgen von Hrn. Dr. Thomas Lohre und auf den Seiten des BSI.
Bild: © Michael Heimann/ pixelio.de

Über die Autorin:
Diplom-Kauffrau
Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienstleistungen und Security seit 2005 zuständig für übergreifende Kommunikation und Vermarktung technischer Produktlösungen. Verfasst in diesem Kontext regelmäßig Beiträge in der Kundenzeitschrift der DATEV und ist Co-Autorin des Leitfadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „technische Beraterin” der Unternehmer im Bekanntenkreis.

Neueste Kommentare