DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

White Hats für die Daten­si­cherheit?

Können sie sich vor­stellen, dass es Unter­nehmen gibt, die sich absichtlich hacken lassen? Die gibt es …, und sie haben gute Gründe.

 

 

Black Hats und White Hats
In der IT-Branche unter­scheidet man zwi­schen „guten“ und „bösen“ Hackern. Sog. White Hats sind die „Guten“, und diese werden von Unter­nehmen oft dafür ein­ge­setzt bewusst Sicher­heits­lücken und Schwach­stellen im IT-System auf­zu­decken. D.h. solche It-Spe­­zia­­listen haben nichts mit den kri­mi­nellen Machen­schaften von Cyber­kri­mi­nellen zu tun. Vielmehr setzen diese „Crack´s“ ihr Fach­wissen gezielt ein, um poten­ti­ellen Angreifern zuvor zu kommen. Oftmals müssen sich diese White Hats in die Denke und kri­mi­nellen Vor­ge­hens­weisen von Cyber­kri­mi­nellen rein­ver­setzen, um Gefah­ren­po­ten­tiale zu erkennen.

Lohnt sich der Einsatz?
Legales Hacken von Hard- und Soft­ware­pro­dukten zur Auf­de­ckung von Sicher­heits­lücken erfordert sehr viel Erfahrung und Know-how. Lohnt sich ein der­ar­tiger Einsatz für ein Unter­nehmen.?
Wenn man bedenkt, dass in Deutschland jährlich ein Schaden von ca. 50 Mil­li­arden (!!!) Euro durch Cyber­kri­mi­nal­tität ent­steht, dann kann man sich gut vor­stellen, dass die Kosten für der­artige IT-Spe­­zia­­listen für ein Unter­nehmen ein gut in die Zukunft und die Sicherheit inves­tiertes Geld sein kann.
Dies muss natürlich jedes Unter­nehmen im Ver­hältnis ihres event. Scha­den­po­ten­tials und ent­ste­henden Kos­ten­auf­wands selbst ent­scheiden. Im Wesent­lichen geht es um eine Opti­mierung der Sicher­heits­stra­tegie mit den unter­schied­lichen Tests.

Welche Tests gibt es?
Zum einen die sog. Schwach­stel­len­analyse, bei der offen­sicht­liche Schwach­stellen im System und Lösungen zur Abschaffung auf­ge­zeigt werden.  Dar­über­hinaus können dann Pene­tra­ti­ons­tests, die dann aber schon mehr kosten tlw. einige Zehn­tausend Euro,  ange­wendet werden.  Als nächstes können Whitebox- und Blackbox-Tests durch­ge­führt werden. Große Firmen kümmern sich bereits bei der Pro­gram­mierung um das Thema Sicherheit. Hier sei nochmals auf das Thema „Security by design“ ver­wiesen. (s. dazu auch meinen blog-Beitrag vom Aug 2015). Welcher Test für welches Unter­nehmen der richtige ist, kann nur ein IT-Experte (z.B. eben ein White-Hat) mit der Unter­neh­mens­leitung (Frage: „welches Budget steht für IT-Sicherheit zur Ver­fügung“, sprich welchen Betrag ist man bereit dafür zu inves­tieren) ent­scheiden.


Fazit:

Sich dem legalen Hacking mit Hilfe eines White Hat´s zu widmen kann durchaus Sinn machen, wenn man bedenkt, welche Gefah­ren­quellen durch die intensive Auf­de­ckung von Sicher­heits­lücken gezielt ver­mieden werden können. Regel­mäßige Ana­lysen von Hard- und soft­ware­pro­dukten mit Unter­stützung von pro­fes­sio­nellen „White Hat´s“ kann dazu führen, dass poten­tielle Angreifer immer einen Schritt zu langsam sind und das muss das Ziel eines Unter­nehmens sein. Kommen Sie „bösen“ Hackern (Black Hat´s) zuvor.

 

 Bild: © Silke Kaiser/ pixelio.de
 

 

 

 


 

 

 

 

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Joachim Vogel, DATEV eG

Dipl. Betriebswirt (FH)

Studium der Betriebs­wirt­schaft im Schwer­punkt Mar­keting
Erfah­rungen in der Pro­gram­mier­sprache RPGII

Aufbau einer EDV-Ver­triebs-Abteilung in einem großen Ver­si­che­rungs­konzern (Ver­ant­wortlich für die techn. Infra­struktur in den Filialdirektionen/Disposition und Instal­lation der EDV)

Seit 1989 bei DATEV eG in Nürnberg tätig. Pro­jekt­leitung “esecure bei Behörden und Insti­tu­tionen”; techn. Know-how im TK-Management (Cloud-Lösungen; Beratung und Instal­lation von Tele­kom­mu­ni­ka­tions-Lösungen in Steu­er­kanz­leien; Koordinator/Ansprechpartner bei techn. Tele­kom­mu­ni­ka­ti­ons­an­fragen); Zer­ti­fi­zierung nach ITIL

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.