Unkategorisiert

ENTWURF – Was können automatisierte Pentests?

Für größere Unternehmen sind Penetrationstests inzwischen eine Routine geworden. Pentests von IT-Experten und automatisierte Pentests können die IT-Infrastruktur auf Cybersicherheit testen und mögliche Angriffspunkte entdecken. Pentests sind auf jeden Fall günstiger wie ein echter Sicherheitsvorfall. Ein echter Sicherheitsvorfall ist nach Möglichkeit zu vermeiden, denn es ist sehr teuer für das Unternehmen, weil er einen Reputationsverlust und erhebliche Kosten verursacht. Automatisierte Pentests schützen die IT-Security des Unternehmens. Regelmäßige Penetrationstests erhöhen die Datensicherheit und Unternehmen gelingt es dadurch ständig aktualisierten Sicherheitszertifizierungen zu entsprechen. Je früher Schwachstellen erkannt werden, desto besser für das Unternehmen. Pentests haben inzwischen internationale Normen und Standards, weil die IT-Sicherheit sehr wichtig für ein Unternehmen ist.

Vorteile eines Pentests für das Unternehmen

Pentests dienen der Sicherheitsüberprüfung und des Sicherheitslevels Ihrer Organisation. Sie sind kontrollierte Angriffe auf die Netzwerke, Systeme, Applikationen, um Schwachstellen zu identifizieren. Die IT-Abteilung hat dafür Fachkräfte eingestellt. Automatisierte Pentests können ein paar dieser Pentester ersetzen, sodass die Pentests regelmäßig und automatisch nach Zeitplan erfolgen und Ergebnisse liefern. Die Vorteile dieser Pentests sind zum Beispiel:

  • Frühzeitiges Erkennen und Schließen von Schwachstellen in IT-Netzwerken
  • Simulation von Hackerangriffen
  • Identifizierung physischer, menschlicher und hard- und softwarebedingter Schwachstellen im gesamten Unternehmen
  • Präsentation der Ergebnisse und der entsprechenden konkreten Handlungsempfehlungen
  • Sicherheits- und Schwachstellen-Scans mit Adressierung und Behebung aller identifizierten Sicherheitsschwachstellen
  • Schutz von Firmengeheimnissen und Schutz vor Imageschaden
  • Vermeiden von Bußgeldern bei Datenpannen nach DSGVO
  • Reduzierung von Ausfallzeiten mit Folgekosten

Regelmäßige Audits und Durchführung von Pentests

In großen Firmen werden auch regelmäßig Audits für die Mitarbeiter durchgeführt. Informationssicherheitsmanagementsysteme (ISMS) orientieren sich an weltweit anerkannten Standards. Firmen, die Penetrationstests anbieten, haben Penetrationstests, die automatisch im Hintergrund in IT-Systemen Scans durchführen. Diese Pentests sind nach dem internationalen Standard ISO 9001 und ISO 27001 zertifiziert. Pentest-Experten konfigurieren diese Pentests und können Unternehmen auch nach aktuellen Bestimmungen der DSGVO und nach BSI – Bundesamt für Sicherheit in der Informationstechnik beraten. Internationale Regeln orientieren sich nach NIST – U.S. National Institute of Standards and Technology und nach OSSTM – Open Source Security Testing Methodology Manual sowie OWASP – The Open Web Application Security Project. Das Mass der Angriffsmöglichkeiten ist groß, sodass auch regelmäßige Audits in jeder großen Firma durchgeführt werden sollen. Damit Mitarbeiter sich an die Regeln halten und sie verstehen.

Umfang einer Sicherheitsüberprüfung

Eine Sicherheitsprüfung ist in sechs Schritten durchzuführen. Zuerst werden im Unternehmen in einer Besprechung grundlegenden Anforderungen und Ziele für die IT-Sicherheitsprüfung definiert. Mit dem internen Team Ihrer IT-Abteilung kann dann gemeinsam ein Pentest durchgeführt werden. Verschiedene Szenarien und Vorgehensweisen werden festgelegt. Ein Szenario ist, dass ein IT-Systemanalytiker den Penetrationstest verdeckt in Ihrem Unternehmen durchführt, ohne dass Mitarbeitende der Firma informiert werden. So lässt sich auch die menschliche Komponente der IT-Sicherheit, das sogenannte Social Engineering im Unternehmen, überprüfen. Je nach durchgeführten Maßnahmen werden die Ergebnisse dann in einer Präsentation besprochen und Schwachstellen behoben. Nachträglich wird der Maßnahmenplan noch mal kontrolliert, um die Schwachstellen noch mal zu überprüfen, ob die Maßnahmen ausreichend gewesen sind.

Pentest-Experten führen Beratungen durch und geben Handlungsempfehlungen

Penetrationstests werden von Pentest-Experten manuell in Handarbeit entwickelt, um Unternehmen individuellen und konkreten sicheren Schutz anzubieten. Experten geben nach aktuellen Standards Entscheidungshilfen zur Optimierung der Sicherheitsstrategie in Unternehmen. Pentests, die von Experten entwickelt werden, können zusätzlich automatisch oder auch remote durchgeführt werden. Nach den jeweiligen Ergebnissen dieser automatisierten Pentests können die Experten dann neue Handlungsempfehlungen für das Unternehmen geben. Pentest-Spezialisten können die Szenarien für Tests entwickeln, wenn sie die Netzwerke im Unternehmen kennen. Wer das Unternehmen kennt, kennt auch die Stellen, an denen die Schwachstellen zu finden sind. Die Fähigkeit, die richtige Methode einzusetzen und ausgewählte Perimeter lässt sich kaum automatisieren. Dennoch sind automatisierte Pentests auch wichtig, weil sie die Geschwindigkeit der Untersuchungen verkürzen und die Kosten senken. IT-Mitarbeiter als Pentest-Experten sind Detektive in IT-Systemen fremder Unternehmen. Diese Detektivarbeit wird jetzt durch automatische Tests ergänzt. Automatische Pentests, die öfter nach Schwachstellen suchen, erleichtern die Arbeit von Systemspezialisten. Die Sicherheitsreports von automatischen Tests können nach Schwere sortiert werden, um gefunden Schwachstellen zu analysieren und zu beheben. Ein automatisch durchgeführter Pentest ist schneller durchzuführen wie ein manueller Pentest. Eine automatisierte Pentest-Plattform kann das Unternehmen rund um die Uhr überprüfen und überwachen. Das erleichtert die Arbeit der Experten, die dann mehr Zeit haben, um die gefundenen Sicherheitslücken wieder zu schließen.

Kann Automatisierung und künstliche Intelligenz Pentester ersetzen?

Manuelle Tests sind aufwendig und kosten mehr Geld. Deswegen werden automatisierte Pentests mit künstlicher Intelligenz entwickelt. KI hält sich stets streng an Regeln und an einzuhaltende Prozesse und Prozeduren. Die Ergebnisse sind leicht wiederholbar und gut zu verifizieren. Das ist ein Vorteil, wenn es um die Einhaltung der Compliance- und Regulierungsvorgaben geht. Weitere teure Sicherheitsexperten können eingespart werden und KI kann Pentester teilweise ersetzen. Die automatisierten Lösungen im Bereich der Pentests sind ebenfalls in der Lage, qualitativ gute Ergebnisse zu liefern und Schwachstellen aufzudecken. Die automatischen Pentests sind von IT-Experten entwickelt worden und haben auch ihren Preis. Im Vergleich zu vielen manuellen Pentests sind sie eine gute und zusätzliche Alternative, weil sie meist günstiger sind wie menschliche Experten. Sie können jedoch nur in großen Firmen einen Teil der Arbeit erledigen. Denn für Details in Unternehmen werden weiter Pentester ausgebildet, weil die menschliche Intelligenz momentan noch der künstlichen Intelligenz überlegen ist. Künstliche Intelligenz kann nur zum Teil Arbeitskräfte ersetzen. Menschliche Experten werden nach wie vor noch für spezielle Überprüfungen und weiteren Aufgaben eingesetzt werden.

Automatisierte Pentesting-Plattformen

Automatisierte Pentesting-Plattformen werden schon in manchen großen Firmen eingesetzt und sie leisten gute Arbeit und liefern Ergebnisse. Wenn allerdings neue Mitarbeiter in Firmen hinzukommen und das Netzwerk ständig erweitert wird, sind auch neue Schwachstellen von IT-Mitarbeitern zu überprüfen. Menschliche Pentester können sich leichter auf neue Netzwerke und Aufgaben einstellen, während automatisierte Pentests erst neu zu programmieren sind. Neue Methoden, neue Herangehensweisen und auch unkonventionelle Denkweisen von Experten können automatisierte Tests nicht ersetzen. Automatisierte Pentesting-Plattformen können einen Teil der Aufgaben von Pentestern übernehmen. Denn einfache Tätigkeiten, die sich ständig wiederholen, können auch Programme übernehmen. Wenn Programme zusätzlich eingesetzt werden, können sich Sicherheitsexperten um andere Aufgaben kümmern. Deswegen werden wohl als mehr automatisierte Verfahren und Pentests eingesetzt werden, die zusammen mit manuellen Analysen ausgewertet werden. Der Prozess des Pentestverfahren kann dadurch beschleunigt werden. Durch die Kombination können auch Kosten gesenkt werden. Menschen werden den Maschinen im Testen von Sicherheitsvorfällen weiterhin voraus sein.

Fazit

Größere Unternehmen und Konzerne haben ständig Pentests durchzuführen, um Schwachstellen möglichst früh zu erkennen. IT-Experten von außen können interne Schwachstellen besser erkennen durch Pentests. Das Automatisieren der Pentests kann Zeit und Kosten reduzieren. Doch da sich Netzwerke als weiter entwickeln, werden auch ständig noch menschliche Systemexperten gebraut werden, um in der Cybersicherheit mögliche neue Schwachstellen aufdecken, weil es so viele Angriffspunkte in der IT-Sicherheit gibt. Automatische Pentests können zwar rund-um-die-Uhr eingesetzt werden und Sicherheitsreports zur Verfügung stellen. Die automatische Ergänzung erleichtert Pentest-Eperten die Arbeit. Da die künstliche Intelligenz auch als weiterzuentwickeln ist, werden IT-Experten zum Programmieren neuer Testverfahren weiter benötigt. Eine vollständige Automatisierung ist nicht möglich.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.