Obwohl Penetrationstests in vielen Unternehmen nicht mehr sehr hoch im Kurs stehen, vermutlich weil unerfahrene „Pen-Tester“ nur elementare Schwachstellen aufdecken konnten, die mit einem effizienten Patch-Management vermeidbar waren, sind sie in manchen Situationen immer noch sehr nützlich, besonders für Unternehmen, deren Website eine wichtige Komponente ihres Geschäftsmodells darstellt.
Ein guter Penetrationstester wird alles versuchen, um in das zu prüfende System einzudringen. Erfolgt der Zugriff schließlich über eine bereits bekannte Schwachstelle auf einem der Unternehmensrechner, nützt das natürlich nicht allzu viel.
Sollte das Schlupfloch aber auf irgendeinem alten Rechner im Netzwerk, der schon längst in Vergessenheit geraten ist, oder in einer Design-Schwachstelle einer selbst entwickelten Anwendung liegen, dann wäre diese Information Gold wert.
Das Problem besteht darin, jemanden zu finden, der dieser Aufgabe auch gewachsen ist. Allein hierzu ist bereits ein Experte erforderlich, da im Grunde jeder IT-Leiter, der in der Lage ist zu beurteilen, ob ein Penetrationstester seine Sache gut macht, die Tests wahrscheinlich auch selbst vornehmen könnte. Es empfiehlt sich daher bei der Suche verschiedene Meinungen einzuholen. Große Dienstleister lassen sich diesen Job teuer bezahlen, doch gibt es auch kleinere Unternehmen und Freiberufler, die ebenso zuverlässig arbeiten.
Chris Wysopal (auch bekannt als Weld Pond), der derzeitige Chief Technology Officer der US-amerikanischen Beraterfirma für Netzwerksicherheit @Stake, gibt folgende Ratschläge, um einem Penetrationstest zu widerstehen.
„Die meisten Systeme mit schützenswerten Daten beinhalten auch selbstentwickelte Codes. Sobald Sie einen Code selbst schreiben, schaffen Sie vermutlich eine Schwachstelle,“ so Wysopal. „Schreiben Sie sicheren Code. Aktivieren Sie die Windows XP Firewall. Sie ist eine der besten Sicherheitskomponenten, die ich kenne. Falls Ihnen das noch immer nicht ausreicht, nutzen Sie alternative Architekturen. Sicher, Sie verwenden bereits Linux oder OpenBSD, aber wenn Sie diese auf einem Alpha-Prozessor ausführen, haben herkömmliche Eindringlinge kaum eine Chance mehr.“
- Datenschutz bis ins Detail: Auf allen Stufen gut abgesichert?
- Schwachstellen-Scanner
- Penetrationstests und Code-Audits
- Authentifizierung und Single Sign-On
- Firewalls
- Virtual Private Networks
- Intrusion Detection
- Patches, Antivirenprogramme und Ausführungsberechtigungen
- Honeypots und Honeynets
- Biometrik, Token und Smartcards
- Fazit und Fallstudie
Neueste Kommentare
Noch keine Kommentare zu Datenschutz bis ins Detail: Auf allen Stufen gut abgesichert?
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.