- Hotline +49 351 477770
Schwachstellen identifizieren, Sicherheit maximieren – die Bedeutung von Pentests
So helfen Penetrationstests Unternehmen
Haben Sie sich auch schon einmal gefragt, wie sicher Ihre IT-Systeme wirklich sind? Professionelle Penetrationstests (kurz Pentests) geben Ihnen hierfür eine umfassende Antwort. Mit ihnen erkennen Sie Schwachstellen, bevor es zu spät ist. Doch was macht den Unterschied zwischen einem Blackbox- und einem Whitebox-Test? Und wie helfen modulare Ansätze, Schwachstellen gezielt zu schließen?
Im Interview mit Herrn Götzrath-Herda, Senior Berater Informationssicherheit & Datenschutz bei der DOMUS Consult Wirtschaftsberatungsgesellschaft mbH, erfahren Sie, wie Pentests dabei unterstützen Sicherheitslücken frühzeitig aufzudecken, Risiken realistisch einzuschätzen und daraufhin die IT-Systeme kontinuierlich zu verbessern.
Herr Götzrath-Herda, erklären Sie, warum ein professioneller Pentest für Unternehmen heutzutage unverzichtbar ist?
Ein professioneller Pentest ist heute für Unternehmen jeder Größe ein unverzichtbares Instrument zur Absicherung der IT-Sicherheit. Er hilft nicht nur, Schwachstellen zu identifizieren, sensible Daten zu schützen, Compliance-Anforderungen zu erfüllen und finanzielle Schäden durch Cyberangriffe zu minimieren, sondern stärkt auch die Mitarbeitersensibilisierung und bietet Wettbewerbsvorteile durch erhöhtes Kundenvertrauen. Ein Pentest ist hierbei nicht als „Eintagsfliege“ zu betrachten, da die regelmäßige Durchführung von Pentests zu einer kontinuierlichen Verbesserung der Sicherheitsmaßnahmen (technisch, organisatorisch, menschlich) führt.
Wie hebt sich der Pentest von der IBH von anderen Anbietern ab?
Der Pentest ist modular aufgebaut und erfolgt zuerst als Blackbox-Test „von außen“, in der die Tester versuchen über erreichbare IP-Adressen gefundene Lücken aktiv auszunutzen, um die Risiken realistisch einzuschätzen. Nachfolgend können dann bei gefundenen Schwachstellen und mit Abstimmung des Kunden Eindringversuche gestartet werden, um den möglichen Grad der Kompromittierung zu ermitteln.
Über ein weiteres Modul, der als Whitebox-Test ausgestaltet ist, erhält der Tester vollständige Einsicht in den Zugang der Systemarchitektur und in interne Datenstrukturen. Der Test umfasst eine detaillierte Analyse aller Komponenten, um gezielt Schwachstellen zu identifizieren und Sicherheitslücken in der Konfiguration und im Systemdesign effektiv aufzudecken und zu beheben.
Die aufeinander aufbauenden Module sind für den Kunden transparent und nachvollziehbar beschrieben und heben sich durch ein gegenüber dem Wettbewerb günstiges Preis-Leistungs-Verhältnis ab.
Wieso haben Sie sich für die Zusammenarbeit mit der IBH in Bezug auf das Pentesting entschieden?
Die IBH ergänzt die Beratungskompetenz der DOMUS Consult Wirtschaftsberatungsgesellschaft mbH in der Informationssicherheit um Beratungs- und Dienstleistungen zur Umsetzung von technischen Maßnahmen. Somit kann ganzheitlich eine 360 Grad-Sicht auf die Informationssicherheit auf der Grundlage einer partnerschaftlichen Zusammenarbeit den Kunden angeboten werden.
Können Sie uns einige besondere Herausforderungen schildern, die Ihnen bei der Durchführung eines Pentests bei Ihren Kunden aufgefallen sind und die dann durch uns behoben wurden?
Über das vorhandene Knowhow der Tester der IBH werden Schwachstellen gefunden, die für viele IT-Administratoren der Kunden unbekannt waren. Dieser Effekt führt nicht nur zum Schließen der Sicherheitslücke, sondern ebenso zur Erweiterung der Kenntnis bei IT-Administratoren.
Wie haben Ihre Kunden die Zusammenarbeit vor, während und nach des Pentests mit der IBH empfunden?
Die Zusammenarbeit zwischen Experten und Nicht-Experten beruht auf gegenseitigem Respekt und klarer Kommunikation. Experten vermitteln ihr Wissen verständlich und berücksichtigen die Perspektiven der Nicht-Experten. Dabei stellen sie komplexe Inhalte anschaulich dar und beantworten Fragen geduldig. Nicht-Experten bringen ihr Alltagswissen ein und äußern Anforderungen oder Herausforderungen praxisnah, was zu einem besseren Verständnis führt und kreative Lösungsansätze fördert. Durch regelmäßigen Austausch, aktives Zuhören und das Vermeiden von Fachjargon entsteht ein gemeinsames Verständnis und Vertrauen, das die Zusammenarbeit stärkt und zu erfolgreichen Ergebnissen führt, die für alle nachvollziehbar sind.
Wie groß ist der Zeitfaktor in Unternehmen, um einen Pentest vorzubereiten, durchzuführen und auszuwerten?
Der Ablauf besteht generell aus Marketingmaßnahmen, über die die Leistungen zum Pentest bekanntgemacht werden, der Kundenansprache als Vertriebsleistung, in der das Vorgehen dem Kunden erläutert wird, der Angebotserstellung, der Bearbeitung des eingehenden Auftrags und die Information der IBH zu Planung des zeitlichen Ablaufs des Pentests. Anschließend findet ein Vorgespräch mit dem Kunden statt mit der Festlegung des eigentlichen Termins zum Testen.
Würden Sie sagen, dass die Pentests bei Ihren Kunden sinnvoll waren?
Pentests sind generell sinnvoll und die Kunden waren und sind bisher alle bestrebt die empfohlenen Maßnahmen umzusetzen.
Falls ja, würden Sie diesen Test auch anderen empfehlen?
Der Pentest gehört zum festen Bestandteil unseres Leistungsportfolios.
Würden Sie wieder einen Pentest bei Ihren Kunden durch die IBH durchführen lassen?
Ja.
Was ist das von den Kunden am meisten unterschätzte Thema bezüglich der Security?
Die am meisten unterschätzten Themen in der IT-Sicherheit sind der Faktor Mensch und die stetige Aktualisierung der bestehenden IT-Infrastruktur. Die Bedeutung von Mitarbeiterschulungen und Sicherheitsbewusstsein wird oft vernachlässigt oder nicht effektiv durchgeführt. Im Bereich der IT-Technik werden Software, Betriebssysteme und Sicherheitsanwendungen nicht regelmäßig aktualisiert, was zu erheblichen Sicherheitslücken führen kann.
Wir möchten uns bei Herrn Götzrath-Herda für seine Zeit und das ausführliche Interview zum Thema „Pentests“ bedanken und freuen uns, auf eine weitere gute Zusammenarbeit auf Augenhöhe.