mod IT Blog Penetrationstest vs. Schwachstellenscan: Wann Sie die richtige Wahl treffen

18. Februar 2016

Penetrationstest vs. Schwachstellenscan: Wann Sie die richtige Wahl treffen

Als mod IT Services werden wir von unseren Kunden häufig auf das Thema Penetrationstest angesprochen oder um Angebote für einen „Pentest“ gebeten. Wenn wir solch eine Anfrage erhalten, erarbeiten wir als erstes gemeinsam mit dem Kunden, was dieser unter einem Pentest genau versteht – also Definition und Scope – und was das genaue Ziel der Überprüfung sein soll.

Dieses Vorgehen hat vor allem zwei Gründe: Zum einen gibt es nicht den einen standardisierten Penetrationstest. Hier ist es wichtig, die Begrifflichkeiten und Herangehensweisen zu definieren. Zum anderen ist es sinnvoll, vor der Beauftragung eines Penetrationstests einen gewissen Security-Reifegrad festgelegt und erreicht zu haben. Der folgende Artikel soll Ihnen dabei helfen, einzuschätzen, wann der richtige Zeitpunkt für einen Schwachstellenscan und wann der richtige Zeitpunkt für einen Pentest ist.

Timing spart Kosten

Wenn ein Pentest eine Sicherheitslücke aufspürt, die sonst unbemerkt geblieben wäre, dann ist er ohne Zweifel sein Geld wert. Aber nicht, wenn er sich bei Lücken aufhält, die sich genauso gut mit erheblich weniger Aufwand beseitigen ließen. Kostspielige Pentests wahllos über die gesamte IT zu streuen – das hieße, den zweiten Schritt vor dem ersten zu tun. Besser gesagt: den dritten vor dem zweiten.

Drei Schritte für bestmögliche Sicherheit

Der erste Schritt ist ein solides Patchmanagement für alle Systeme, ob Windows, Linux und andere Open-Source-Komponenten oder Anwendungen von Dritten. Freilich ist auch das beste Patchmanagement nie komplett: Manche Systeme „fallen“ aus der kontrollierten Netzwerk-Architektur. Andere sind zwar bei den Windows Server Update Services (WSUS) hinterlegt, installieren aber dennoch keine Updates, oder die Updates sind fehlerhaft und lassen gravierende Sicherheitslücken offen.

All das mit Pentests aufspüren zu wollen, würde unverhältnismäßig lange dauern. Wirtschaftlicher und sicherer ist es, einen Schritt dazwischen zu schalten: Der zweite Schritt ist ein umfassendes Schwachstellen-Management mit Scans, die systematisch Lücken im Patchmanagement aufspüren. Der Schwachstellenscanner schlägt Alarm, wenn mit einer Konfiguration etwas nicht stimmt, Passwörter zu einfach sind oder WSUS auf einem Server nicht mehr funktioniert. Dem IT-Management liefert er regelmäßig Reports. Administratoren erhalten gezielt die Patchaufträge, für die sie zuständig sind. So verhindert ein regelmäßiger Schwachstellenscan, dass Einfallstore wochenlang offenstehen.

Als dritter Schritt werden Penetrationstests gezielt auf bestimmte Systeme angesetzt. Zum Beispiel können Lücken im Webshop lauern, bei der Erfassung der Kreditkartendaten oder auch an der Schnittstelle zwischen Bewerbungsplattform und internem SAP-System.

Kontinuierlicher Schutz

Wir bei mod IT Services empfehlen, Schwachstellenscans als kontinuierlichen Prozess zu etablieren. Zwar kann auch ein einmaliges Schwachstellen-Audit die verwundbaren Stellen im Netzwerk aufzeigen. Aber dieser Befund ist schon nach dem nächsten Windows-Patchday überholt. Clients ändern sich, virtuelle Server-Umgebungen sind schneller eingerichtet als abgesichert.

Der bestmögliche Schutz besteht also erstens aus einem möglichst umfassenden Patchmanagement. Zweitens aus einem kontinuierlichen Schwachstellenmanagement. Und drittens aus Pentests, die gezielt die besonders komplexen Lücken schließen. Die Reihenfolge zu beachten spart Kosten und sorgt für die größtmögliche Effizienz der IT-Sicherheitsmaßnahmen. Pentests sind erst dann sinnvoll, wenn Unternehmen ihre Schwachstellen schon mit einem etablierten Schwachstellenmanagement-Prozess im Griff haben.

Dieser Blog-Artikel ist der dritte aus unserer Reihe zum Thema Schwachstellenscan. Lesen Sie doch auch den ersten Teil Schwachstellenscans mit Tenable in der Praxis: Wie verwundbar ist Ihr IT-System? und den zweiten Teil Die ultimative 10-Punkte-Checkliste zum Schwachstellenscan.

Auf unserer Site Schwachstellenscan finden Sie ebenfalls weitere Informationen zu diesem Thema sowie ein Festpreisangebot.

Wenn Ihnen dieser Artikel gefällt, sagen Sie es weiter!
1 Star2 Stars3 Stars4 Stars5 Stars (4 votes, average: 5,00 out of 5)
Loading...

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

mod IT Blog Die ultimative 10-Punkte-Checkliste zum Schwachstellenscan

Die ultimative 10-Punkte-Checkliste zum Schwachstellenscan

Wann ist der richtige Zeitpunkt für einen Schwachstellenscan? Welche Teams sollten Sie einbeziehen? Und inwiefern könnte der laufende IT-Betrieb davon beeinträchtigt werden? Schwachstellenscans zählen zu den wesentlichen Maßnahmen einer Security-Strategie. Meine persönliche Checkliste zeigt Ihnen, […]

weiterlesen
Gastbeitrag: Goodbye, Windows XP! – Ein persönliches Nachwort auf das erfolgreichste Betriebssystem aller Zeiten weiterlesen
Wissen, wie Cyberkriminelle agieren: Mitarbeiter-Coaching gehört zum effektiven IT-Schutz dazu weiterlesen
On Premise war gestern – das neue Arbeiten in der Cloud weiterlesen
Safe Harbor wird zum EU US Privacy Shield weiterlesen

AKTUELLE ARTIKEL

Einstieg mod – dann kam der Kulturschock

Am 1. Oktober 2018 hatte THERESA KRAUSE im Inside Sales bei mod ihren ersten Arbeitstag. Wir blicken gemeinsam mit ihr zurück: Wie der erste Arbeitstag war, was es mit dem KULTURSCHOCK auf sich hat und […]

weiterlesen
Anja Osterloh als Landesvorsitzende des Wirtschaftsrates Niedersachsen bestätigt weiterlesen
Cloud Based Computing: Flexibler Hosting-Service für Aucotec AG weiterlesen
mod IT Services – mit Sicherheit IT-Dienstleistung weiterlesen
Schwachstelle Mensch – Social Engineering ist heute aktueller und gefährlicher denn je weiterlesen