Flexible Security for Your Peace of Mind
Passwort Tools

Schwachstellen-Scan und Penetrationstest – Maßnahmen für mehr IT-Sicherheit

Angesichts eines breiten Spektrums wachsender Bedrohungen für die Cybersicherheit, müssen sich Unternehmen proaktiv mit diesem Thema beschäftigen. Die Zeiten reaktiver Sicherheit und des Wartens auf Cybersecurity-Vorfälle sind vorbei. Der schiere Umfang, das Ausmaß und das Schadenspotential der heutigen Cybersecurity-Vorfälle sind viel zu groß, um passiv zu reagieren. Stattdessen müssen Unternehmen Schwachstellen und “Schlupflöcher” finden, bevor Cyberkriminelle sie entdecken. Zwei nützliche Werkzeuge im Arsenal der Unternehmen sind der Schwachstellen-Scan und der Penetrationstest. Worum es sich dabei handelt, und wie sie sich unterscheiden erfahren Sie in diesem Artikel.

Verschiedene Werkzeuge für verschiedene Zwecke

Unternehmen stehen heute vor immer größeren Herausforderungen in Bezug auf Cybersicherheit und Compliance. Angesichts großflächiger Cyberangriffe, die Schlagzeilen machen und selbst kritische Infrastrukturdienste erheblich stören, müssen Unternehmen Verantwortung für den Schutz ihrer geschäftskritischen Ressourcen übernehmen. Es gibt hierfür zwei Maßnahmen, auf die Unternehmen zurückgreifen können, um die IT-Sicherheit zu erhöhen.

Diese sind:

  • Schwachstellen-Scans
  • Penetrationstests

Im Folgenden wird erläutert, welchen Nutzen Unternehmen aus Schwachstellenscans und Penetrationstests ziehen können. Sind beide notwendig? Wie lassen sie sich vergleichen?

Schwachstellen-Scans

Was ist ein Schwachstellen-Scan und welchen Nutzen hat er für Ihr Unternehmen? Bei einem Schwachstellen-Scan wird Ihre geschäftskritische Umgebung auf bekannte Schwachstellen in Software, Hardware, Firmware, Treibern und anderen gefährdeten Komponenten gescannt.

Sind Sicherheitslücken in den meisten Umgebungen ein Problem? Ja, das sind sie. Neben kompromittierten Anmeldeinformationen nutzen Angreifer häufig auch Sicherheitslücken, um sich Zugang zu Netzwerken zu verschaffen. Am 27. April 2022 veröffentlichte die Cybersecurity & Infrastructure Security Agency (CISA) eine aktualisierte Warnung, in der 15 Schwachstellen aufgeführt sind, die im Jahr 2021 von böswilligen Cyber-Akteuren routinemäßig ausgenutzt wurden.

Darin wird Folgendes festgestellt:

“Im Jahr 2021 zielten böswillige Cyber-Akteure weltweit auf internetgestützte Systeme wie E-Mail-Server und Server für virtuelle private Netzwerke (VPN) ab und nutzten neu bekannt gewordene Schwachstellen aus. In geringerem Maße nutzten böswillige Cyber-Akteure weiterhin öffentlich bekannte, veraltete Software-Schwachstellen aus, von denen einige auch schon 2020 oder früher regelmäßig ausgenutzt wurden.

Die Ausnutzung älterer Schwachstellen zeigt, wie groß das Risiko für Unternehmen ist, die es versäumen, ihre Software rechtzeitig mit Patches zu versehen, oder die Software verwenden, die von einem Hersteller nicht mehr unterstützt wird.”

Im Jahr 2020 betrafen viele der von den Schwachstellen betroffenen Systeme die Fernarbeit, einschließlich VPNs. Cloud-Technologien und Netzwerkanmeldeinformationen waren ebenfalls betroffen. Darüber hinaus hat die enorme Zunahme der Fernarbeit seit Anfang 2020 dazu geführt, dass Unternehmen vor der Herausforderung stehen, ein rigoroses Patch-Management für Endpunkte, Server, Netzwerkgeräte usw. durchzuführen.

Ende 2021 wurde eine kritische Schwachstelle in der Apache Log4j-Bibliothek entdeckt, die in vielen verschiedenen Anwendungen, einschließlich vieler Unternehmenssysteme und Fernarbeitslösungen, eingesetzt wird. Dies führte dazu, dass Unternehmen alle von der kritischen Sicherheitslücke betroffenen Softwareanwendungen identifizieren mussten. Diese Bemühungen sind bei vielen Unternehmen noch nicht abgeschlossen.

Die jüngste Apache Log4j-Schwachstelle und viele andere unterstreichen, wie wichtig es ist, Schwachstellen-Scans von geschäftskritischen Systemen, Endpunkten, Netzwerkgeräten und Anwendungen durchzuführen.

Der Schutz Ihres Unternehmens vor schwachen und kompromittierten Anmeldeinformationen ist ein wichtiger Bestandteil der allgemeinen IT-Sicherheitsmaßnahmen, die Unternehmen heute durchführen. Unternehmen sollten die kontinuierliche Durchführung von Schwachstellen-Scans in Betracht ziehen. Wenn auch nicht kontinuierlich, so ist es doch ratsam, mindestens einmal im Quartal oder immer dann, wenn wesentliche Änderungen an der Umgebung vorgenommen wurden, eine gründliche Schwachstellenprüfung durchzuführen.

Was sind die Vorteile von Schwachstellen-Scans?

  • Schwachstellen-Scans sind ein proaktiver Ansatz, um Sicherheitsprobleme zu finden, bevor Angreifer sie finden.
  • Sie ermöglichen eine Risikopriorisierung – Sie können die Kritikalität einer Schwachstelle einschätzen, was bei der Festlegung der Prioritäten für die Behebung hilft.
  • Schwachstellen-Scans sind für Unternehmen mit relativ geringen Kosten verbunden.
  • Schwachstellen-Scans können automatisiert werden.
  • Viele Compliance-Regelwerke verlangen Schwachstellen-Scans
  • Sie sind nicht intrusiv, da sie nur Schwachstellen finden.
  • Ein Schwachstellen-Scan ist weniger kostspielig als ein Penetrationstest, da die meisten Scans mit automatisierten Tools durchgeführt werden können.
  • Darüber hinaus ermöglicht ein automatisiertes risikobasiertes Schwachstellenmanagement den Unternehmen, die größten Bedrohungen durch eine Risikobewertung zu priorisieren und so Zeit und Geld für Abhilfemaßnahmen zu sparen.

Was sind die Grenzen von Schwachstellen-Scans?

  • Sie können zu vielen Fehlalarmen (false positives) führen.
  • Der Schwachstellenscan sucht nur nach einer bestimmten Schwachstelle und prüft nicht, ob sie ausnutzbar ist.
  • Die Überprüfung und Behebung der Ergebnisse von Schwachstellen-Scans ist ein manueller Prozess.
  • Schwachstellen-Scans finden in der Regel keine kombinierten Angriffspunkte, da sie nur nach einzelnen Schwachstellen suchen, wie z. B. fehlende Patches usw.

Was ist ein Penetrationstest (Pen-Test)?

Ein weitere äußerst hilfreiche Cybersicherheitsmaßnahme für Unternehmen ist der Penetrationstest. Ein Penetrationstest (Pen-Test) ist eine spezielle Reihe von Aktivitäten, die von einem “White-Hat”- oder “Ethical-” Hacker durchgeführt werden. Diese erfahrenen Cybersicherheitsexperten arbeiten häufig für Sicherheitsunternehmen, die Pen-Tests durchführen. Diese seriösen Hacker führen bei einem Penetrationstest eine Reihe simulierter Angriffe auf das Netzwerk und die geschäftskritische Infrastruktur durch.

Der Vorteil des Penetrationstests besteht darin, dass der seriöse Hacker die Methoden kennt, die böswillige Hacker einsetzen, um Ihre Umgebung zu kompromittieren. So können sie beispielsweise die bei der Schwachstellenprüfung gefundenen Schwachstellen nutzen, um zu versuchen, in das Netzwerk einzudringen oder verschiedene Techniken anwenden, um anfällige oder schwache Passwörter zu kompromittieren.

Mit einem Penetrationstest erhalten Unternehmen einen Überblick darüber, wie böswillige Angreifer ihre Systeme erfolgreich kompromittieren können und wie hoch das Risiko ist. Darüber hinaus helfen die Ergebnisse eines Pen-Tests Unternehmen, ihr Risiko zu quantifizieren.

In vielen Regelwerken sind Penetrationstests vorgeschrieben, so auch im Rahmen von PCI DSS (Payment Card Industry Data Security Standard), und werden in der Regel mindestens einmal im Jahr durchgeführt. Darüber hinaus können Unternehmen ihre internen Penetrationstests auch häufiger durchführen. Die meisten Compliance-Vorschriften schreiben jedoch vor, dass Penetrationstests von einer externen Stelle durchgeführt werden, die einen Bericht eines Dritten erstellen und die Pen-Test-Ergebnisse verifizieren kann.

Was sind die Vorteile von Penetrationstests?

  • Echte “White-Hat”-Hacker, die versuchen, Ihr Netzwerk zu kompromittieren, und die Ergebnisse ihrer Versuche liefern, sind von unschätzbarem Wert, um Schwachstellen in der Cybersicherheitsverteidigung aufzudecken.
  • Der Penetrationstest hilft dabei, falsch-positive Ergebnisse eines Schwachstellen-Scans entweder zu verifizieren oder auszuschließen.
  • Sie müssen im Allgemeinen nur einmal im Jahr durchgeführt werden.
  • Der Pen-Tester ist in der Lage, potenzielle Schwachstellen so zu kombinieren, wie es ein echter Hacker tun würde, um mehr Einblick in realistische Kompromittierungsversuche zu erhalten. Bei den meisten Unternehmen sind Tests zur Behebung der Schwachstellen im Preis inbegriffen.

Was sind die Grenzen von Penetrationstests?

  • Sie können extrem kostspielig sein (von 5000 bis 100.000 €)
  • Sie werden sehr selten durchgeführt (einmal pro Jahr), so dass bei erheblichen Änderungen die Schwachstellen bis zum nächsten Penetrationstest noch eine ganze Weile bestehen können.
  • Sie können aufdringlich sein – um einen Pen-Test durchzuführen, müssen möglicherweise invasive Tests durchgeführt werden, die sich auf die Produktionssysteme auswirken können.

Schwachstellen-Scans vs. Penetrationstests

Schwachstellen-Scans und Penetrationstests sind keine Entweder-Oder-Tools, die von Unternehmen zur Verbesserung ihrer Cybersicherheit eingesetzt werden, sondern dienen vielmehr unterschiedlichen Zwecken. Der Schwachstellen-Scan hilft bei der Aufdeckung von Schwachstellen mithilfe automatischer Scanprogramme. Sie helfen dabei, fehlende Patches, Konfigurationsprobleme und andere Erkenntnisse zu erkennen. Die Ergebnisse der Schwachstellen-Scans bieten schließlich die nötige Transparenz, um gefundene Probleme zu beheben.

Penetrationstests gehen einen Schritt weiter als Schwachstellenscans. Ein ethischer Hacker ist es gewohnt, Penetrationstests in Ihrer Umgebung mit realen Techniken durchzuführen. Der Pen-Tester wird versuchen, alle in der Umgebung gefundenen Schwachstellen auszunutzen, um nachzuweisen, ob es sich bei den entdeckten Schwachstellen um Fehlalarme oder echte Probleme handelt.

Schwachstellen-ScanPenetrationstest
BeschreibungSchwachstellen-Scans finden Schwachstellen, einschließlich fehlender Patches, Konfigurationsprobleme usw., mit Hilfe automatisierter Tools. Der von Schwachstellen-Scans gelieferte Bericht hilft bei der Priorisierung der Schwachstellen, die behoben werden müssen. Diese können sowohl intern als auch extern durchgeführt werden.Bei einem Penetrationstest wird ein ethischer Hacker als Pen-Tester eingesetzt, um die realen Angriffstechniken eines böswilligen Angreifers zu simulieren. Er hilft dabei, den Grad des Risikos in Ihrer Umgebung für geschäftskritische Ressourcen zu bestimmen
Wer führt sie aus?Interne Organisation oder Cybersicherheitsberater, der als zugelassener Scanning-Anbieter (ASV) fungiert.In der Regel führt ein externer Berater oder eine Firma für Cybersicherheit den Pen-Test durch und stellt anschließend die Ergebnisse und einen Abhilfetest zur Verfügung.
Wie oft werden die Test ausgeführtMindestens vierteljährlichEinmal im Jahr
KostenRelativ preiswertTeuer
Wird benötigt um Compliance Richtlinien zu erfüllenJaJa

Zusammenfassung

Schwachstellen-Scans und Penetrationstests sind nützliche Maßnahmen für die IT-Sicherheit. Darüber hinaus sind Schwachstellen-Scans und Penetrationstests in vielen Regelwerken wie zum Bespiel dem PCI-DSS vorgeschrieben. Die Verwendung von Schwachstellen-Scans und Penetrationstests ermöglicht es Unternehmen, ihre Cybersicherheit proaktiv zu gestalten. Es ist immer besser, Schwachstellen und Cybersicherheitsprobleme zu finden, bevor ein böswilliger Angreifer sie entdeckt.

Der Einsatz eines seriösen, erfahrenen Drittanbieters für Pen-Tests wie Outpost24 hilft Ihrem Unternehmen, sicher und Compliance-konform zu bleiben und sich vor neuen und sich abzeichnenden Bedrohungen zu schützen.

(Zuletzt aktualisiert am 31/08/2022)

Tags: , ,

Zurück zum Blog

© 2024 Specops Software. All rights reserved.

Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.

Zur Datenschutzerklärung

OK