Datenschutz bis ins Detail: Auf allen Stufen gut abgesichert?

Obwohl Penetrationstests in vielen Unternehmen nicht mehr sehr hoch im Kurs stehen, vermutlich weil unerfahrene „Pen-Tester“ nur elementare Schwachstellen aufdecken konnten, die mit einem effizienten Patch-Management vermeidbar waren, sind sie in manchen Situationen immer noch sehr nützlich, besonders für Unternehmen, deren Website eine wichtige Komponente ihres Geschäftsmodells darstellt.

Ein guter Penetrationstester wird alles versuchen, um in das zu prüfende System einzudringen. Erfolgt der Zugriff schließlich über eine bereits bekannte Schwachstelle auf einem der Unternehmensrechner, nützt das natürlich nicht allzu viel.

Sollte das Schlupfloch aber auf irgendeinem alten Rechner im Netzwerk, der schon längst in Vergessenheit geraten ist, oder in einer Design-Schwachstelle einer selbst entwickelten Anwendung liegen, dann wäre diese Information Gold wert.

Das Problem besteht darin, jemanden zu finden, der dieser Aufgabe auch gewachsen ist. Allein hierzu ist bereits ein Experte erforderlich, da im Grunde jeder IT-Leiter, der in der Lage ist zu beurteilen, ob ein Penetrationstester seine Sache gut macht, die Tests wahrscheinlich auch selbst vornehmen könnte. Es empfiehlt sich daher bei der Suche verschiedene Meinungen einzuholen. Große Dienstleister lassen sich diesen Job teuer bezahlen, doch gibt es auch kleinere Unternehmen und Freiberufler, die ebenso zuverlässig arbeiten.

Chris Wysopal (auch bekannt als Weld Pond), der derzeitige Chief Technology Officer der US-amerikanischen Beraterfirma für Netzwerksicherheit @Stake, gibt folgende Ratschläge, um einem Penetrationstest zu widerstehen.

„Die meisten Systeme mit schützenswerten Daten beinhalten auch selbstentwickelte Codes. Sobald Sie einen Code selbst schreiben, schaffen Sie vermutlich eine Schwachstelle,“ so Wysopal. „Schreiben Sie sicheren Code. Aktivieren Sie die Windows XP Firewall. Sie ist eine der besten Sicherheitskomponenten, die ich kenne. Falls Ihnen das noch immer nicht ausreicht, nutzen Sie alternative Architekturen. Sicher, Sie verwenden bereits Linux oder OpenBSD, aber wenn Sie diese auf einem Alpha-Prozessor ausführen, haben herkömmliche Eindringlinge kaum eine Chance mehr.“

Page: 1 2 3 4 5 6 7 8 9 10 11

ZDNet.de Redaktion

Recent Posts

Angriffe auf industrielle Kontrollsysteme

Die CISA warnt vor Software-Schwächen in industriellen Kontrollsystemen, unter anderem von Siemens. Schwachstellen in Systemen…

5 Tagen ago

Ransomware-Gang veröffentlichte Daten von 47 deutschen Unternehmen

Mit ARMattack, der kürzesten und dennoch erfolgreichste Kampagnen der russischsprachigen Ransomware-Gang Conti, haben die Hacker…

5 Tagen ago

Angreifbar trotz sicherer Passwörter: Wenn Compliance allein nicht ausreicht

Trotz aller Bemühungen, Passwörter sind weiterhin für die Authentifizierung in Unternehmensnetzwerken unerlässlich. Starke und komplexe…

5 Tagen ago

Scalper-Bots kidnappen Behördentermine

Scalper-Bots schnappen sich Termine für den öffentlichen Dienst in Israel und verkaufen sie weiter. Die…

6 Tagen ago

ESA Mars Express verabschiedet sich von Windows 98

Eine der kostengünstigsten und erfolgreichsten Missionen der Europäischen Weltraumorganisation ESA, Mars Express, erhält nach fast…

1 Woche ago

Erste Schritte mit Threat Hunting

Bedrohungen proaktiv abwehren ist besser als bloßes Reagieren. Wir geben Ihnen eine praktische Anleitung zur…

1 Woche ago