IT mit Penetrationstests vor Hackern schützen

Sicherheitslücken selbst entdecken

24. September 2007
Werner Kurzlechner lebt als freier Journalist in Berlin und stellt regelmäßig Rechtsurteile vor, die Einfluss auf die tägliche Arbeit von Finanzentscheidern nehmen. Als Wirtschaftshistoriker ist er auch für Fachmagazine und Tageszeitungen jenseits der IT-Welt tätig.
Wenn es nur die chinesischen Hacker wären, die derzeit für mächtigen Wirbel in Politik und Medien sorgen: Um 27 Prozent ist die Zahl der Online-Straftaten im vergangenen Jahr gestiegen. Selbst im System des Bundeskanzleramtes schnüffelten die IT-Spione. Die IT vieler Unternehmen aber ist noch deutlich anfälliger. Die Berater von Steria Mummert Consulting haben dagegen eine Lösung parat: Penetrations-Tests.
Leider gibt es für IT-Security keine einfachen Sicherheitsschlösser. Deshalb sind Firmen auf Methoden wie Penetrationstests angewiesen.
Leider gibt es für IT-Security keine einfachen Sicherheitsschlösser. Deshalb sind Firmen auf Methoden wie Penetrationstests angewiesen.

Bei diesen Tests prüfen Spezialisten die Netze der Firmen mit den ureigenen Methoden der Cyber-Kriminellen auf Schwachstellen. Effektiver Schutz setze voraus, dass man sich in die Denkweise der Angreifer hineinversetzen kann, so Steria Mummert.

Die Security-Experten versuchen selbst, von außen in System und NetzwerkeNetzwerke einzudringen. Auf diese Weise spüren sie Lecks auf, bevor Verbrechern das gelingt. "Penetrationstests sind ein unverzichtbares Messinstrument für das tatsächliche IT-Sicherheitsniveau", sagt Wolfgang Nickel, Leiter des Kompetenzzentrums für Sicherheit im Beratungshaus. Alles zu Netzwerke auf CIO.de

Die Kontrolleure nehmen dabei auch oftmals vernachlässigte Schnittstellen wie Telekommunikationsleitungen und Funknetze ins Visier. Neben technischem Know-how ist psychologisches Einfühlungsvermögen gefragt. Denn schließlich versuchen die Spione gezielt, menschliche Schwächen auszunutzen. Diese Art des "Social Engineering" ahmen die Spezialisten ebenfalls nach. Ihr Experten- und Erfahrungswissen ist alleine deshalb nicht durch automatisierte Software-Tools ersetzbar.

Eine beunruhigende Nachricht für die Firmen dürfte sein, dass die Tests fast immer Lücken aufdecken. Für hundertprozentige Sicherheit bieten die großen und komplexen Unternehmensnetze einfach zu viel Angriffsfläche. Überdies kann selbst ein winziges Leck enormen Schaden verursachen.