DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Sicher­heits­ana­lysen fürs Unternehmen

IT-Sicherheit kann nur dann gewähr­leistet werden, wenn die rich­tigen Vor­keh­rungen getroffen werden. Das ist aber im baby­lo­ni­schen Spra­chen­gewirr der IT-Sicher­heits-Begrif­f­­li­ch­­keiten manchmal leichter gesagt, als getan.

 

 

Sicher­heits­ana­lysen:
Nehmen wir mal an, sie möchten für ihr Unter­nehmen einen Onlineshop eröffnen. Wie würden sie sicher­stellen, dass der Shop nicht gehackt wird? Wäre eine Ver­wund­bar­keits­analyse, ein Pene­tra­ti­onstest oder eine Risi­ko­analyse sinnvoll? Was pas­siert da eigentlich? Der Unter­schied dieser Begriff­lich­keiten macht auch einen großen Unter­schied für Ihre IT-Sicherheit.
Ein oft ver­nach­läs­sigter, aber trotzdem sehr wich­tiger Punkt, bevor man eine Dienst­leistung online stellt, ist in jedem Fall, sie auf ihre Ver­wund­barkeit zu testen. Wenn Sie Pro­gram­mierung und Sicher­heits­tests an ein externes Unter­nehmen ver­geben, welche Tests wären ange­messen? Wie könnten sie die Sicherheit gewährleisten?

Die Ver­wund­bar­keits­analyse:
Eine Ver­wund­bar­keits­analyse wird häufig mit einem Pene­tra­ti­onstest ver­wechselt, es liegen aber Welten dazwi­schen. Die Ver­wund­bar­keits­analyse testet mit fer­tigen, stan­dar­di­sierten Tools ihre Software auf bekannte Schwach­stellen wie z.B. Heart­bleed. Findet das Tool Anzeichen dafür, erstellt es einen Bericht, in dem alle bekannten Schwach­stellen auf­ge­listet werden. Es handelt sich hierbei jedoch aus­schließlich um Schwach­stellen, die zum Zeit­punkt der Prüfung überall hin­länglich bekannt sind. Es gibt ja, aber immer Schwach­stellen, die noch im Ver­bor­genen schlummern, solche Schwach­stellen können hiermit nicht auf­ge­zeigt werden.

Der Pene­tra­ti­onstest:
Beim Pene­tra­ti­onstest hin­gegen begnügt sich der Tester nicht nur mit dem Auf­spüren der Schwach­stelle. Er nutzt zwar auch reguläre Tools und scannt das Netzwerk, aber zusätzlich pro­biert er auch aus, was er innerhalb dieser Schwach­stelle anrichten kann. Im Gegensatz zum vor­an­ge­gan­genen eher auto­ma­ti­sierten Test, wird ein erfah­rener Fachmann im Pene­tra­ti­onstest ver­schiedene Test­ver­fahren kom­bi­nieren und sie der zu tes­tenden Umgebung anpassen. Er wird meist ver­suchen, alle bekannten und rele­vanten Angriffs­muster nachzubilden.

Die Risi­ko­analyse:
Zu guter Letzt haben wir noch die Risi­ko­analyse, die häufig auch mit den beiden vor­an­ge­gan­genen Ver­fahren ver­wechselt, oder in einen Topf geschmissen wird. Die Risi­ko­analyse benötigt keine auto­ma­ti­sierten oder ange­passten Tools, sie stellt vielmehr eine indi­vi­duelle Erhebung der Gefahren für ein Unter­nehmen oder eine Anwendung dar. Sie ver­sucht das Risiko für das Unter­nehmen zu bewerten, wenn die Sicher­heits­lücke aus­ge­nutzt werden sollte, und zwar in Bezug auf alle Unter­neh­mens­werte wie Kapital, Repu­tation und Business-Continuity.

Fazit:
Um eine umfas­sende IT-Sicherheit zu gewähr­leisten sind sicherlich alle drei der oben genannten Ver­fahren sinnvoll.
All diese Ver­fahren tragen zur Ver­bes­serung der IT-Sicherheit in ihrem Unter­nehmen bei. Zur vollen Ent­faltung kommen sie aber nur, wenn sie zur rich­tigen Zeit am rich­tigen Ort ein­ge­setzt werden.

Weitere Infor­ma­tionen zum Thema finden Sie in den blog-Bei­­trägen von Hrn. Dr. Thomas Lohre und auf den Seiten des BSI.

 

 Bild: © Michael Heimann/ pixelio.de
 

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Manuela Moretta, DATEV eG

Über die Autorin:

Diplom-Kauffrau

Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienst­leis­tungen und Security seit 2005 zuständig für über­grei­fende Kom­mu­ni­kation und Ver­marktung tech­ni­scher Pro­dukt­lö­sungen. Ver­fasst in diesem Kontext regel­mäßig Bei­träge in der Kun­den­zeit­schrift der DATEV und ist Co-Autorin des Leit­fadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „tech­nische Bera­terin” der Unter­nehmer im Bekanntenkreis.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.