Hackers coding malicious software on computer together while working in abandoned warehouse. Internet thieves in hoods planning phishing attack and programming malware in dark room
Pentesting ist eine effektive Maßnahme, um die Wirksamkeit von IT-Security-Maßnahmen zu überprüfen – und ist für einige Unternehmen bereits gesetzlich vorgeschrieben. Lange galt es als aufwendige manuelle Sicherheitsintervention, die nur große Konzerne ohne unverhältnismäßigen Ressourcenaufwand umsetzen konnten. Mit der der Automated Security Validation erhalten auch kleine und mittelständische Betriebe erschwinglichen Zugriff auf diese Security-Maßnahme. Worum geht es beim Pentesting?
Pentesting, kurz für „Penetrationstests“ ist ein Verfahren, bei dem Security-Experten versuchen, gezielt in die IT-Infrastruktur eines Unternehmens einzudringen – ähnlich wie ein Angreifer es tun würde. So sollen kritische Schwachstellen identifiziert und im Anschluss geschlossen werden, bevor Cyberkriminelle sie ausnutzen. Das Verfahren hilft Firmen dabei, ihre Sicherheitsmaßnahmen zu evaluieren und zu verbessern sowie die Risikoexposition realistisch einzuschätzen. Reine Vulnerability-Management-Systeme reichen dafür nicht aus. Diese priorisieren Schwachstellen zwar standardisiert nach einem CVSS-Wert (Common Vulnerability Scoring System), liefern aber keine realistische und individuelle Einschätzung über deren Risikopotenzial. Pentesting ist somit ein unverzichtbarer Bestandteil einer modernen IT-Security-Infrastruktur.
Bisher fand Pentesting vor allem manuell statt. Dabei nehmen IT-Experten die Perspektive von Angreifern ein und führen in begrenzten Zeiträumen realistische Angriffe auf das Unternehmensnetzwerk durch. Automatisiertes Pentesting, auch als Automated Security Validation bezeichnet, hingegen nutzt Software und Künstliche Intelligenz, um kontinuierlich und zu jedem beliebigen Zeitpunkt kritische Schwachstellen zu identifizieren. Beide Methoden haben ihre Vor- und Nachteile, je nach Anwendungsfall und Bedarf des Unternehmens.
Manuelle Pentests bieten tiefgehende, individuelle Analysen, die speziell auf die Gegebenheiten eines Unternehmens zugeschnitten sind. Besonders bei komplexen Szenarien mit sozialer Komponente, wie beim Red Teaming oder beim Test von Social-Engineering-Angriffen, sind menschliche Experten unverzichtbar. Manuelle Pentests bieten zudem Flexibilität etwa für spezifische Schwachstellen oder dynamische Angriffsszenarien. Allerdings zeigen sie lediglich eine Momentaufnahme – und da Pentesting mit menschlichen Testern aus Kostengründen in der Regel höchstens einmal im Jahr stattfindet, sind die Erkenntnisse meist nur kurze Zeit aktuell.
Automatisiertes Pentesting beziehungsweise Automated Security Validation bringt Standardisierung und Effizienz. Es ermöglicht eine kontinuierliche Überprüfung der IT-Sicherheit von beliebig vielen vordefinierten Bereichen im Unternehmensnetzwerk, bietet vergleichbare Berichte und erfordert weniger personellen Aufwand. Mithilfe von KI-gestützten Tools lassen sich Schwachstellen über eine zentrale Plattform schnell und zuverlässig aufspüren und bewerten. Integrierte Kontrollen gewährleisten im Hintergrund den ununterbrochenen Betrieb. Erfahrene Security Researcher sorgen dafür, dass die Pentesting-Plattform stets über die neuesten Bedrohungsinformationen verfügt. So haben Unternehmen ihre Sicherheitslage jederzeit im Blick, sehen kontinuierlich, wie sich Angriffsflächen verändern – etwa nach System-Updates oder -Patches – und können bei Bedarf schnell eingreifen.
Manuelles Pentesting ist in der Regel kostenintesiv, da es spezialisierte Fachkräfte erfordert, die über Kompetenzen auf dem Niveau professioneller Hacker verfügen. Bei der Automated Security Validation übernehmen hingegen die eingesetzten Tools kontinuierlich die Hauptarbeit, was insgesamt Kosten reduziert. Trotzdem ist automatisiertes Pentesting nicht per se kostengünstiger. Vielmehr hängt der Investitionsbedarf von der Anzahl der zu überprüfenden Assets und IP-Adressen ab. Dafür können aber zu kalkulierbaren Kosten beliebig viele Pentests pro Jahr durchgeführt werden.
Noch ist Pentesting teuer und aufwändig. Doch automatisierte Security-Validierung gibt es seit Kurzem auch als Managed Security Service zu buchen. Das macht Pentesting nun auch für kleine und mittelständische Unternehmen erschwinglich. Dank Pentesting-as-a-Service können mit überschaubarem Aufwand kontinuierliche Sicherheitsüberprüfungen durchgeführt werden, ohne unverhältnismäßig Ressourcen zu binden. So lässt sich auch im Mittelstand mit neuesten Tools der Schutz vor Cyberkriminellen deutlich erhöhen.
Für viele Betriebe ist Pentesting mittlerweile nicht mehr nur optional, sondern Pflicht. Vor allem Organisationen, die unter die NIS2-Verordnung oder den Digital Operational Resilience Act (DORA) fallen, sind gesetzlich verpflichtet, regelmäßige Sicherheitsüberprüfungen durchzuführen. Pentesting ist dafür ein mögliches und wirksames Instrument. Auch für Betriebe, die eine Cyberversicherung abschließen möchten, ist Pentesting oft eine Voraussetzung. Zu erwarten ist, dass sich die Vorgaben nach und nach auch in andere Bereiche ausweiten. Daher sollten sich Verantwortliche in Unternehmen aller Branchen bereits jetzt Gedanken über den Einsatz von Pentesting machen.
Pentesting ist nur dann sinnvoll, wenn Unternehmen bereits über ein solides Sicherheitsniveau verfügen. Ohne grundlegende Security-Maßnahmen könnten die Pentest-Ergebnisse und die schiere Anzahl der empfohlenen Maßnahmen überwältigend sein. Zugang zu der Automated Security Platform der Wahl lässt sich meist schnell einrichten – oft sind auch keine lokalen Installationen erforderlich. Falls das Know-how im eigenen Haus fehlt, können sich Firmen Unterstützung durch externe Spezialisten oder einen Managed Security Service Provider (MSSP) holen. Letzterer hilft sowohl in der Anfangsphase beim Aufsetzen der Pentests als auch im weiteren Verlauf, um die Automated Security Validation kontinuierlich durchzuführen, Ergebnisse zu besprechen, Handlungsempfehlung abzuleiten und bei Bedarf auch bei deren Umsetzung zu unterstützen. Zudem bieten MSSPs dank ihres Pentesting-as-a-Service-Angebots auch flexible Lizenzierungsoptionen.
Pentesting entwickelt sich dank Automatisierung zunehmend vom Luxusgut zu einem unverzichtbaren Bestandteil jeder IT-Sicherheitsstrategie. Im Gartner Hype Cycle 2024 für Security Operations wurde Pentesting beziehungsweise die Oberkategorie „Adversarial Exposure Validation“ als Innovation Trigger hinzugefügt. Sowohl manuelle als auch automatisierte Methoden haben dabei ihre Berechtigung und lassen sich je nach Anforderung kombinieren. Mit den richtigen Maßnahmen und Tools können Unternehmen ihre IT-Systeme so kontinuierlich auf Angriffsvektoren hin überprüfen und sich besser vor potenziellen Cyberangriffen schützen. Wer inhouse nicht über die notwendige Expertise verfügt, kann sich Hilfe von einem erfahrenen Experten wie einem Managed Security Service Provider (MSSP) einholen.
Mareen Dose
ist Presales Consultants bei indevis.
Die Sicherheitslandschaft ist alles andere als robust. Unter anderem weil die Sichtbarkeit noch immer kritische…
Auch der Einsatz von Open Source Software bringt Herausforderungen mit sich, insbesondere in der IT-Sicherheit,…
Studie von Huawei und Roland Berger beleuchtet Schlüsseltrends und neue Anforderungen an Datenspeicherlösungen im KI-Zeitalter.
Der Ausfall bei CrowdStrike ist nur ein Symptom eines größeren Problems, wenn Unternehmen es versäumen,…
PwC-Studie zeigt: KI hilft vielen Unternehmen dabei, die Effizienz zu steigern, Kosten zu senken und…
Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…