Image for Mdm Logo

Penetrationstest: Wie Sie Ihren Hacker des Vertrauens finden

Ehrliche Haut: Einen Penetrationstest Ihrer IT-Infrastruktur vertrauen Sie selbstverständlich nur einem Experten an. Was aber muss der Fachmann können? Und wo bekommen Sie jemanden her, auf den Sie wirklich zählen können?
Penetrationstest: Wie Sie Ihren Hacker des Vertrauens finden Hacker Ihres Vertrauens: Um zu testen, wie effektiv Ihre Cyberabwehr ist, können IT-Profis einen sogenannten Penetrationstest durchführen. (© 2016 welcomia/Shutterstock)

Know-how finden: Penetrationstests vom Profi

Ist Ihr Unternehmen eigentlich geschützt? Eine berechtigte Frage, denn Schlagzeilen wie Mittelstand unterschätzt Gefahr durch Cyberkriminalität von "Heise" zeigen in regelmäßigen Abständen: In Deutschland ist in Sachen IT- und –Datensicherheit noch einiges zu tun. Wie wahrscheinlich digitale Attacken tatsächlich sind, lesen Sie auch in unserem Text "Mitarbeiter sind ein Sicherheitsrisiko": Ein Hacker packt aus.

Die latente Gefahr gilt besonders für Unternehmen mit einer direkten Schnittstelle im Netz, etwa einem Onlineshop. Doch auch WLAN, Bluetooth und Eingangskontrollen bieten eine Angriffsfläche für Kriminelle. Ein Werkzeug, um die zahlreichen Gefahrenquellen zu erkennen – und zu beseitigen –, ist der Penetrationstest: Ein gedungener Hacker tastet probeweise nach Lücken im Sicherheitsgeflecht. Wird er fündig, kann das Leck gestopft werden.

Einen solchen Spezialisten finden Sie relativ einfach: Das Bundesamt für Sicherheit und Informationstechnik, kurz BSI, zertifiziert und bestätigt Dienstleister mit den adäquaten Kompetenzen auf seiner offiziellen Internetpräsenz.

Kenntnisstand prüfen: Hacker mit Zertifikat

Ihr Hacker für den Penetrationstest braucht eine Expertise– schließlich soll nicht irgendjemand einen Einblick in Ihr digitales Reich bekommen. Mit der oben genannten Liste des BSIs fahren Sie daher gut: Die Behörde klopft die Serviceunternehmen genau ab – so brauchen Mitarbeiter bestimmte Schulungen und Ausbildungsnachweise, damit ein Zertifikat ausgestellt wird.

Gleichzeitig suchen Sie selbst bei Anbietern nach den folgenden Kriterien:

  • Kenntnisse von Programmiersprachen
  • Sachkompetenz in Sachen Daten, Speichertechnik und Netzwerk
  • Erfahrung in der Administration von Systemen
  • Grundsätzliches Wissen von Hard- und Software

Kennen sich Ihre potenziellen Tester mit dieser Materie aus, sind sie vermutlich qualifiziert – das BSI geht im Leitfaden über Penetrationstests noch weiter ins Detail. Trotzdem braucht es noch etwas mehr, denn Wissen um Technologie reicht noch nicht aus. Vielmehr benötigt Ihr Hacker neben analytischem Geschick, Urteilskraft und Strapazierfähigkeit eine ganze Liste weiterer Soft Skills. Wie so etwas zu überprüfen ist? Lassen Sie sich Arbeitszeugnisse und Referenzen zeigen – das empfiehlt auch die Behörde.

Angriff fingieren: Strategie mit Erfolgsgarantie

Was noch? Jedweder Scheinangriff auf Ihre IT-Infrastruktur muss innerhalb eines festgelegten Rahmens ablaufen: Werden einzelne Zwischenschritte ausgelassen und vom beauftragten Hacker vernachlässigt, fallen einige Sicherheitslücken wahrscheinlich nicht auf. Kurzum, der Experte beziehungsweise die Experten müssen akribisch vorgehen. Wie Sie das vor dem Test schon prüfen? Im Grunde folgt der Penetrationstest einem Rezept:

  • Zunächst werden Daten gesammelt. Alle möglichen Informationen über Technologien in Ihrem Unternehmen werden zusammengesucht. Gibt es WLAN, Server, Webseiten, Zugangskarten etc. Damit wollen die Kenner die Frage beantworten: Welche Stellen sind unter Umständen sensibel?
  • Im zweiten Schritt werden Sicherheitslücken identifiziert. Wichtige Frage dabei: Wo könnte ein Angriff stattfinden?
  • Es folgt die Auswertung aller Fakten aus den ersten beiden Schritten. Und es wird die Probe aufs Exempel gemacht: Sind die Schwachstellen angreifbar? Wie viel Schaden kann verursacht werden?

Folgt Ihr Dienstleister bei der Prüfung diesem Schema, haben Sie von der Übung sehr wahrscheinlich einen Mehrwert für Ihre Sicherheit. Ihr Hacker sollte vor allem den letzten Schritt gehen – werden Gefahren für die IT- und –Datensicherheit nur rein theoretisch ausfindig gemacht, handelt es sich nicht um einen Penetrationstest, sondern lediglich um eine Schwachstellenanalyse. Das heißt, der Profi muss versuchen, so viel Schaden anzurichten, wie er kann. Natürlich ohne wirklich etwas zu zerstören oder zu stehlen.

Weiterführende Links:

Weitere Artikel zum Thema
Neue Ratgeber
alle ratgeber
Neues zu Datensicherheit
alle ratgeber Alle Beiträge

Penetrationstest: Wie Sie Ihren Hacker des Vertrauens finden

Ehrliche Haut: Einen Penetrationstest Ihrer IT-Infrastruktur vertrauen Sie selbstverständlich nur einem Experten an. Was aber muss der Fachmann können? Und wo bekommen Sie jemanden her, auf den Sie wirklich zählen können?
Penetrationstest: Wie Sie Ihren Hacker des Vertrauens finden Hacker Ihres Vertrauens: Um zu testen, wie effektiv Ihre Cyberabwehr ist, können IT-Profis einen sogenannten Penetrationstest durchführen. (© 2016 welcomia/Shutterstock)

Know-how finden: Penetrationstests vom Profi

Ist Ihr Unternehmen eigentlich geschützt? Eine berechtigte Frage, denn Schlagzeilen wie Mittelstand unterschätzt Gefahr durch Cyberkriminalität von "Heise" zeigen in regelmäßigen Abständen: In Deutschland ist in Sachen IT- und –Datensicherheit noch einiges zu tun. Wie wahrscheinlich digitale Attacken tatsächlich sind, lesen Sie auch in unserem Text "Mitarbeiter sind ein Sicherheitsrisiko": Ein Hacker packt aus.

Die latente Gefahr gilt besonders für Unternehmen mit einer direkten Schnittstelle im Netz, etwa einem Onlineshop. Doch auch WLAN, Bluetooth und Eingangskontrollen bieten eine Angriffsfläche für Kriminelle. Ein Werkzeug, um die zahlreichen Gefahrenquellen zu erkennen – und zu beseitigen –, ist der Penetrationstest: Ein gedungener Hacker tastet probeweise nach Lücken im Sicherheitsgeflecht. Wird er fündig, kann das Leck gestopft werden.

Einen solchen Spezialisten finden Sie relativ einfach: Das Bundesamt für Sicherheit und Informationstechnik, kurz BSI, zertifiziert und bestätigt Dienstleister mit den adäquaten Kompetenzen auf seiner offiziellen Internetpräsenz.

Kenntnisstand prüfen: Hacker mit Zertifikat

Ihr Hacker für den Penetrationstest braucht eine Expertise– schließlich soll nicht irgendjemand einen Einblick in Ihr digitales Reich bekommen. Mit der oben genannten Liste des BSIs fahren Sie daher gut: Die Behörde klopft die Serviceunternehmen genau ab – so brauchen Mitarbeiter bestimmte Schulungen und Ausbildungsnachweise, damit ein Zertifikat ausgestellt wird.

Gleichzeitig suchen Sie selbst bei Anbietern nach den folgenden Kriterien:

  • Kenntnisse von Programmiersprachen
  • Sachkompetenz in Sachen Daten, Speichertechnik und Netzwerk
  • Erfahrung in der Administration von Systemen
  • Grundsätzliches Wissen von Hard- und Software

Kennen sich Ihre potenziellen Tester mit dieser Materie aus, sind sie vermutlich qualifiziert – das BSI geht im Leitfaden über Penetrationstests noch weiter ins Detail. Trotzdem braucht es noch etwas mehr, denn Wissen um Technologie reicht noch nicht aus. Vielmehr benötigt Ihr Hacker neben analytischem Geschick, Urteilskraft und Strapazierfähigkeit eine ganze Liste weiterer Soft Skills. Wie so etwas zu überprüfen ist? Lassen Sie sich Arbeitszeugnisse und Referenzen zeigen – das empfiehlt auch die Behörde.

Angriff fingieren: Strategie mit Erfolgsgarantie

Was noch? Jedweder Scheinangriff auf Ihre IT-Infrastruktur muss innerhalb eines festgelegten Rahmens ablaufen: Werden einzelne Zwischenschritte ausgelassen und vom beauftragten Hacker vernachlässigt, fallen einige Sicherheitslücken wahrscheinlich nicht auf. Kurzum, der Experte beziehungsweise die Experten müssen akribisch vorgehen. Wie Sie das vor dem Test schon prüfen? Im Grunde folgt der Penetrationstest einem Rezept:

  • Zunächst werden Daten gesammelt. Alle möglichen Informationen über Technologien in Ihrem Unternehmen werden zusammengesucht. Gibt es WLAN, Server, Webseiten, Zugangskarten etc. Damit wollen die Kenner die Frage beantworten: Welche Stellen sind unter Umständen sensibel?
  • Im zweiten Schritt werden Sicherheitslücken identifiziert. Wichtige Frage dabei: Wo könnte ein Angriff stattfinden?
  • Es folgt die Auswertung aller Fakten aus den ersten beiden Schritten. Und es wird die Probe aufs Exempel gemacht: Sind die Schwachstellen angreifbar? Wie viel Schaden kann verursacht werden?

Folgt Ihr Dienstleister bei der Prüfung diesem Schema, haben Sie von der Übung sehr wahrscheinlich einen Mehrwert für Ihre Sicherheit. Ihr Hacker sollte vor allem den letzten Schritt gehen – werden Gefahren für die IT- und –Datensicherheit nur rein theoretisch ausfindig gemacht, handelt es sich nicht um einen Penetrationstest, sondern lediglich um eine Schwachstellenanalyse. Das heißt, der Profi muss versuchen, so viel Schaden anzurichten, wie er kann. Natürlich ohne wirklich etwas zu zerstören oder zu stehlen.

Weiterführende Links:

Weitere Artikel zum Thema
Neue Ratgeber