Penetrationstest vs. Schwachstellenscan: Wann Sie die richtige Wahl treffen
Als mod IT Services werden wir von unseren Kunden häufig auf das Thema Penetrationstest angesprochen oder um Angebote für einen „Pentest“ gebeten. Wenn wir solch eine Anfrage erhalten, erarbeiten wir als erstes gemeinsam mit dem Kunden, was dieser unter einem Pentest genau versteht — also Definition und Scope — und was das genaue Ziel der Überprüfung sein soll.
Dieses Vorgehen hat vor allem zwei Gründe: Zum einen gibt es nicht den einen standardisierten Penetrationstest. Hier ist es wichtig, die Begrifflichkeiten und Herangehensweisen zu definieren. Zum anderen ist es sinnvoll, vor der Beauftragung eines Penetrationstests einen gewissen Security-Reifegrad festgelegt und erreicht zu haben. Der folgende Artikel soll Ihnen dabei helfen, einzuschätzen, wann der richtige Zeitpunkt für einen Schwachstellenscan und wann der richtige Zeitpunkt für einen Pentest ist.
Timing spart Kosten
Wenn ein Pentest eine Sicherheitslücke aufspürt, die sonst unbemerkt geblieben wäre, dann ist er ohne Zweifel sein Geld wert. Aber nicht, wenn er sich bei Lücken aufhält, die sich genauso gut mit erheblich weniger Aufwand beseitigen ließen. Kostspielige Pentests wahllos über die gesamte IT zu streuen — das hieße, den zweiten Schritt vor dem ersten zu tun. Besser gesagt: den dritten vor dem zweiten.
Drei Schritte für bestmögliche Sicherheit
Der erste Schritt ist ein solides Patchmanagement für alle Systeme, ob Windows, Linux und andere Open-Source-Komponenten oder Anwendungen von Dritten. Freilich ist auch das beste Patchmanagement nie komplett: Manche Systeme „fallen“ aus der kontrollierten Netzwerk-Architektur. Andere sind zwar bei den Windows Server Update Services (WSUS) hinterlegt, installieren aber dennoch keine Updates, oder die Updates sind fehlerhaft und lassen gravierende Sicherheitslücken offen.
All das mit Pentests aufspüren zu wollen, würde unverhältnismäßig lange dauern. Wirtschaftlicher und sicherer ist es, einen Schritt dazwischen zu schalten: Der zweite Schritt ist ein umfassendes Schwachstellen-Management mit Scans, die systematisch Lücken im Patchmanagement aufspüren. Der Schwachstellenscanner schlägt Alarm, wenn mit einer Konfiguration etwas nicht stimmt, Passwörter zu einfach sind oder WSUS auf einem Server nicht mehr funktioniert. Dem IT-Management liefert er regelmäßig Reports. Administratoren erhalten gezielt die Patchaufträge, für die sie zuständig sind. So verhindert ein regelmäßiger Schwachstellenscan, dass Einfallstore wochenlang offenstehen.
Als dritter Schritt werden Penetrationstests gezielt auf bestimmte Systeme angesetzt. Zum Beispiel können Lücken im Webshop lauern, bei der Erfassung der Kreditkartendaten oder auch an der Schnittstelle zwischen Bewerbungsplattform und internem SAP-System.
Kontinuierlicher Schutz
Wir bei mod IT Services empfehlen, Schwachstellenscans als kontinuierlichen Prozess zu etablieren. Zwar kann auch ein einmaliges Schwachstellen-Audit die verwundbaren Stellen im Netzwerk aufzeigen. Aber dieser Befund ist schon nach dem nächsten Windows-Patchday überholt. Clients ändern sich, virtuelle Server-Umgebungen sind schneller eingerichtet als abgesichert.
Der bestmögliche Schutz besteht also erstens aus einem möglichst umfassenden Patchmanagement. Zweitens aus einem kontinuierlichen Schwachstellenmanagement. Und drittens aus Pentests, die gezielt die besonders komplexen Lücken schließen. Die Reihenfolge zu beachten spart Kosten und sorgt für die größtmögliche Effizienz der IT-Sicherheitsmaßnahmen. Pentests sind erst dann sinnvoll, wenn Unternehmen ihre Schwachstellen schon mit einem etablierten Schwachstellenmanagement-Prozess im Griff haben.
Dieser Blog-Artikel ist der dritte aus unserer Reihe zum Thema Schwachstellenscan. Lesen Sie doch auch den ersten Teil Schwachstellenscans mit Tenable in der Praxis: Wie verwundbar ist Ihr IT-System? und den zweiten Teil Die ultimative 10-Punkte-Checkliste zum Schwachstellenscan.
Auf unserer Site Schwachstellenscan finden Sie ebenfalls weitere Informationen zu diesem Thema sowie ein Festpreisangebot.
