Penetrationstests: Drei Argumente für den Chef

Autor: Bernhard Weber, Experte für Information Security bei msg (Foto: msg)

 

Auch wenn es einige gesetzliche Vorschriften gibt, die zur Durchführung von Penetrationstests zur Bestimmung von Lücken in der IT-Sicherheit motivieren, stufen viele Unternehmen das Thema noch als wenig bedeutsam ein. Entsprechend stiefmütterlich werden Penetrationstests in vielen Unternehmen behandelt. Mit Hilfe von drei Argumenten können gewissenhafte Security-Beauftragte ihre Chefs aber von umfassenden, individuell angepassten Penetrationstests überzeugen.

Wie wertvoll Penetrationstests für die Informationssicherheit in einem Unternehmen oder einer Behörde sind, gerät angesichts knapper Budgets bei vielen IT-Chefs in Vergessenheit. Dabei decken solche Tests nicht nur Risiken auf, sondern können, korrekt durchgeführt, auch aufzeigen, wie sich ein knapp bemessenes Budget gezielt einsetzen lässt. Daher ist es grundsätzlich sinnvoll, solche Tests gezielt und von Experten mit der entsprechenden Erfahrung durchführen zu lassen:

1. Ein einziger Sicherheitsvorfall kann das Unternehmen ruinieren. Die Folgekosten eines Datenlecks können vom Preis eines Penetrationstests bis zum Unternehmensbankrott reichen. Und die Wahrscheinlichkeit für einen solchen Sicherheitsvorfall steigt kontinuierlich. Dies ist aus zahlreichen Studien bekannt und auch das Bundesamt für Sicherheit in der Informationstechnik warnt davor: Die Zahl gezielter Spionage- und Sabotageangriffe auf Unternehmen nimmt zu. Wer wissen möchte, auf welchem Weg Hacker gerade versuchen, in sein Unternehmen einzudringen, muss gezielt nach diesem Weg suchen.

2. Ein Vorfall fällt auf die Abteilung und die Leitung zurück. Wird eines Tages eine Sicherheitslücke ausgenutzt, die ein Penetrationstest rechtzeitig hätte aufdecken können, hat es nicht nur für das Unternehmen selbst Konsequenzen. Auch der IT-Chef, der der Informationssicherheit nicht die gebotene Aufmerksamkeit geschenkt hat, sowie die ganze Abteilung geraten dann in Erklärungsnot. Im schlimmsten Fall kann es sogar zu einer persönlichen Haftung kommen: So hat beispielsweise das OLG Hamm bereits für entsprechende Sicherheitsvorfälle eine persönliche Haftung für leitende Angestellte festgestellt.

3. Ein Penetrationstest kann Geld einsparen. Penetrationstests können sehr fokussiert angelegt werden und beispielsweise nur bekannte Hochrisikobereiche für Angriffe, zum Beispiel OWASP TOP-10, von außen oder innen abdecken. So können Schwachstellen gezielt abgesichert werden, ohne das gesamte Jahresbudget für den Bereich Security auszugeben.

„Zunächst kostet ein professionell durchgeführter Penetrationstest natürlich Geld. Als Investition in die Sicherheit der Unternehmensdaten ist er jedoch unbezahlbar. Empfehlenswert ist die Auswahl eines seriösen und erfahrenen externen Anbieters. Denn nur er kann dabei helfen, die richtigen Schwerpunkte hinsichtlich der zu testenden Systeme zu setzen und gleichzeitig die Tests mit der notwendigen Professionalität durchzuführen“, sagt Bernhard Weber, Experte für Information Security bei msg.