Bei diesen Tests prüfen Spezialisten die Netze der Firmen mit den ureigenen Methoden der Cyber-Kriminellen auf Schwachstellen. Effektiver Schutz setze voraus, dass man sich in die Denkweise der Angreifer hineinversetzen kann, so Steria Mummert.
Die Security-Experten versuchen selbst, von außen in System und Netzwerke einzudringen. Auf diese Weise spüren sie Lecks auf, bevor Verbrechern das gelingt. "Penetrationstests sind ein unverzichtbares Messinstrument für das tatsächliche IT-Sicherheitsniveau", sagt Wolfgang Nickel, Leiter des Kompetenzzentrums für Sicherheit im Beratungshaus.
Die Kontrolleure nehmen dabei auch oftmals vernachlässigte Schnittstellen wie Telekommunikationsleitungen und Funknetze ins Visier. Neben technischem Know-how ist psychologisches Einfühlungsvermögen gefragt. Denn schließlich versuchen die Spione gezielt, menschliche Schwächen auszunutzen. Diese Art des "Social Engineering" ahmen die Spezialisten ebenfalls nach. Ihr Experten- und Erfahrungswissen ist alleine deshalb nicht durch automatisierte Software-Tools ersetzbar.
Eine beunruhigende Nachricht für die Firmen dürfte sein, dass die Tests fast immer Lücken aufdecken. Für hundertprozentige Sicherheit bieten die großen und komplexen Unternehmensnetze einfach zu viel Angriffsfläche. Überdies kann selbst ein winziges Leck enormen Schaden verursachen.
Ohne die eigenen Schwächen zu kennen, lassen sie sich freilich auch nicht beheben. Deshalb ergibt es Sinn, sie mit Hilfe der Experten aufzuspüren. Zumal die Firmen selbst mit dieser Aufgabe überfordert sind. Ohne die externen Helfer sind sie laut Steria Mummert dazu verurteilt, den Angaben von Herstellern und Dienstleistern blind zu vertrauen.
Die Augen der externen Spezialisten sehen mehr
Zudem können betrieblich bedingte blinden Flecken verdecken, dass die eigenen Sicherheitsrichtlinien nicht greifen. Die Augen der Beobachter von außerhalb sehen hier meist mehr.
Steria Mummert empfiehlt, diese Tests regelmäßig durchzuführen. Anders sei ein Prüfen der Sicherheitsrichtlinie nicht mit vertretbarem Aufwand zu realisieren.
Die Berater geben ihre Tipps unter der Überschrift "IT-Sicherheitslücken finden, bevor andere es tun“.