Unternehmenseigene IT-Netzwerke müssen möglichst effizient geschützt werden, weil Hacker immer wieder mit neuen Methoden versuchen, in IT-Infrastrukturen einzudringen. Ihr Ziel ist es, Daten zu stehlen oder Schadsoftware zu platzieren, mit der sie das Unternehmen erpressen können. Wie könnte eine Cyber-Attacke aussehen und wie lässt sie sich effektiv abwehren?
Penetrationstest – Identifizierung von Schwachstellen
Die IT-Infrastrukturen von Unternehmen werden immer komplexer und dadurch leider auch anfälliger für „ungebetene Gäste“ in Form von hochspezialisierten, professionell arbeitenden Hackern. Sie entwickeln immer neue Methoden, um Sicherheitsvorkehrungen zu überwinden, wodurch sich die Arbeit der IT-Abteilungen im Bereich der Cyber-Sicherheit schwieriger gestaltet. Eine Lösung kann ein Netzwerk-Pentest sein.
Ein solcher Netzwerk-Penetrationstest ist in der Lage, bereits bekannte und auch bisher nicht bekannte Schwachstellen zu identifizieren. Dazu versucht der ausführende IT-Sicherheitsexperte, über Fehlkonfigurationen, schwache Kennwörter, Fehlprogrammierungen oder mangelhaft geschützte Zugriffsrechte in das unternehmenseigene Netzwerk einzudringen und auf diese Weise zu ermitteln, ob und wie weit sich die Schwachstellen ausnutzen lassen. Die Besonderheit beim Netzwerk-Pentest besteht darin, dass der Experte Hackerwissen für den Test nutzt, das bedeutet, er handelt so, wie es ein professioneller Hacker tun würde. Die folgenden drei Paxisbeispiele zeigen, wie ein Cyber-Krimineller vorgehen könnte, um ein Netzwerk oder Teile davon zu manipulieren.
Externer Zugriffsversuch durch Phishing-E-Mails
Immer häufiger werden externe Hacker-Angriffe, z. B. durch Phishing-Mail verübt. Der Hacker versucht also, über die Internetverbindung und den Mail-Service eines Unternehmens in das Netzwerk einzudringen. Bei einem solchen Szenario erhält ein Mitarbeitender des Unternehmens eine E-Mail, die ihrem Äußeren nach von einem Kunden oder Geschäftspartner stammt. In der Mail wird der Empfänger motiviert, einen Link anzuklicken, etwa, um sich ein angebliches Angebot anschauen zu können. Wird der Link angeklickt, wird der Download eines Schadprogramms auf den Rechner des Mitarbeitenden gestartet, von wo aus es beispielsweise Teile des Netzwerkes blockiert.
Um erfolgreiches Phishing zu verhindern, muss ein Zusammenspiel von Netzwerk-Pentest und Mitarbeiterschulung erfolgen. Während der Penetrationstest die technische Ausstattung nach Schwachstellen absucht, können Schulungen dafür sorgen, dass der Mensch als „schwächstes Glied“ der Kette Informationen erhält, wie er Phishing-Mails erkennen und das Unternehmen so schützen kann.
Erfolgreiches Spear-Phishing oder illoyaler Mitarbeitender
Ist es einem Hacker gelungen, mittels einer Spear-Phishing-Attacke oder durch Zuarbeit eines illoyalen Mitarbeitenden internen Zugriff zu erhalten, kann er von dort aus unter Ausnutzung weiterer Schwachstellen noch weiter eindringen und größeren Schaden anrichten. Ein Netzwerk-Pentest kann zur Erkenntnis eines Unternehmens beitragen, dass stärkere Sicherheitsvorkehrungen wichtig sind. Vor allem zeigen solche Hacker-Erfolge, die in einem Penetrationstest in sicherer Umgebung und auf Basis detaillierter Absprachen mit dem Auftraggeber quasi „nachgespielt“ werden, an welchen konkreten Stellen die Sicherheit erhöht werden muss. Das kann eine zu schwache Firewall ebenso sein, wie ungenügende Kennwörter oder unzureichende Zugriffsberechtigungen.
Hackerangriff über einen Homeoffice-Computer
Aufgrund der Corona-Pandemie arbeiten viele Mitarbeitende nicht mehr im Büro, sondern vom Homeoffice aus. Weil der Wechsel in den Remote-Modus schnell vonstatten gehen musste, sind viele Homeoffice-Laptops und Kommunikationsleitungen technisch nur unzureichend vor Hacker-Attacken geschützt. Was am Standort des Unternehmens in Sachen IT möglich ist, das lässt sich im heimischen Büro oft nur unzulänglich realisieren. Dies machen sich Cyber-Kriminelle zunutze. Alleine im Jahr 2020 verursachten Hacker-Angriffe auf Homeoffice-Mitarbeiter in Deutschland einen finanziellen Schaden von etwa 52 Milliarden Euro, Tendenz steigend.
Regelmäßig durchgeführte Netzwerk-Pentests können den Unternehmen wichtige Hinweise geben, in welchen Bereichen sie die Sicherheitsvorkehrungen stärken müssen. Zudem wird deutlich, dass es für Unternehmen, egal welcher Größe, unerlässlich ist, ein umfassendes IT-Sicherheitskonzept zu entwickeln.
Dem Netzwerk-Pentest muss ein Sicherheitskonzept folgen
Die Schwachstellenanalyse mittels Pentest kann aber stets nur ein erster Schritt zu mehr IT-Sicherheit sein. Letztlich müssen die Unternehmen selbst dafür Sorge tragen, dass ihre Daten und Informationen effizient geschützt sind. Dazu braucht es ein umfassendes IT-Sicherheitskonzept.
Fazit: Penetrationstests sorgen für Sensibilisierung und größere IT-Sicherheit
Die Sicherheit der unternehmenseigenen Daten und der IT-Infrastruktur im Ganzen liegt im ureigendsten Interesse der Führungsebenen. Nur bei Ansiedlung des Themas auf Entscheider-Ebene ist sichergestellt, dass ein Sicherheitskonzept entwickelt wird, für das ein Netzwerk-Pentest die Grundlage sein kann. Er hat allerdings nicht die Aufgabe, identifizierte Schwachstellen zu schließen. Der Penetrationstest nennt zwar im Abschlussbericht mögliche Maßnahmen, die Umsetzung obliegt aber dem Unternehmen selbst.
