kontakt
Ulrike Dittmar

Marketing & Corporate Communications

Tel. +49 (0) 30 - 88 77 444 - 0
redaktion@business-keeper.com

Aktuelles

IT-Security: Penetrationstests als Helfer im Kampf gegen steigende Cyberkriminalität

 

Allein 2020 nahm die Cyberkriminalität weltweit zu, vor allem im Zuge der Covid-19-Pandemie. Daher wird die Notwendigkeit, die Daten im Unternehmen noch stärker zu schützen, immer zwingender. Eine Unterstützung bei der Optimierung der internen IT-Security können sogenannte Penetrationstests (kurz: Pentests) sein.

Die Produkte der Business Keeper AG heben sich vor allem durch das überdurchschnittlich hohe Niveau der IT-Sicherheit und des Datenschutzes vom Markt ab, was wir uns regelmäßig von unabhängigen Stellen auditieren und zertifizieren lassen. Da auch viele andere Anbieter von Whistleblowersystemen versuchen, die Sicherheit ihrer Systeme mit Zertifikaten über Pentests zu belegen, ist es von außen oftmals schwierig, auf den ersten Blick zu erkennen, worin sich die Qualität der Pentests überhaupt unterscheidet. Daher möchten wir Ihnen in diesem Artikel eine kurze Einführung in das spannende Thema geben.

Doch zuerst: Was ist eigentlich ein Penetrationstest?

Mit Hilfe von Pentests können IT-Systeme eines Unternehmens kontrolliert angegriffen werden und somit das Worst case Szenario in Form eines realitätsnahen Hackerangriffs nachstellen. Alle gefundenen Schwachstellen können dann für die Verbesserung der Systeme und Anwendungen genutzt werden.

Es gibt zwei Möglichkeiten von Pentests:

  • manuell durchgeführt von einem Experten und/oder
  • automatisiert durch Tools

In Bezug auf die Penetrationsanalyse führen wir zusammen mit dem IT-Sicherheitsdienstleister Recurity Labs die manuelle Penetrationsanalyse durch. Das aktuelle Zertifikat finden Sie hier.

Beide Möglichkeiten haben natürlich ihre Vor- und Nachteile. Jedoch ist es ratsam, je nach Bereich zu unterscheiden, ob man automatisierte oder manuelle Unterstützung einsetzen sollte. Demnach lassen sich drei Teilbereiche unterscheiden, in die man einen Pentest gliedern kann:

  • Administrative Sicherheit, wie z. B. die Wartung und Pflege von Servern und Systemen durch Updates (gut mit automatischen Tools durchzuführen)
  • Basissicherheit
  • Design- und Implementierungssicherheit

Die beiden letzteren Bereiche betreffen das Produkt, in unserem Falle das zu testende BKMS® Incident Reporting. Als Teil der Basissicherheit bieten gute IT-Sicherheitsdienstleister bereits das Modul „Manual Hacking“ an, innerhalb dessen die Pentester versuchen, weitere Schwachstellen in der Applikation zu finden und bereits identifizierte Schwachstellen auszunutzen.

Die Königsdisziplin: Der Bereich Design- und Implementierungssicherheit. Hier wird die Logik der Applikation hinsichtlich der zu schützenden Elemente des Produkts, der sog. Schutzziele, betrachtet. Beim BKMS® Incident Reporting stehen primär zwei Schutzziele im Vordergrund: Die Anonymität des Whistleblowers und der Schutz der Whistleblower-Meldungen vor dem Zugriff unberechtigter Dritter.

Manuelle Pentests sind zu empfehlen, Tools dienen als Unterstützung 

Diese Überprüfung geht sehr tief: So erhalten die Pentester direkten Zugriff auf den Quelltext des BKMS® Incident Reportings und somit auf die Softwarearchitektur und die Systeminfrastruktur. Daher können solche Überprüfungen nur manuell von Experten mit langjähriger Branchenerfahrung im Bereich der IT-Sicherheit durchgeführt werden. Die Sicherheitsexperten entwickeln mit Hilfe ihrer gesammelten Erkenntnisse Angriffsstrategien, die für Cyberkriminelle zunächst nicht ersichtlich wären. Um unter normalen Umständen an diese Informationen zu kommen, müsste ein Angreifer von außen ein oder mehrere unterschiedliche Konten eines entsprechend berechtigten Mitarbeiters hacken.

Fazit

Solche Sicherheitsüberprüfungen sind zeitaufwendig und kostspielig, bieten allerdings auch ein enorm hohes Schutzniveau für das Unternehmen, da in der Sicherheitsüberprüfung auch komplexere Angriffsszenarien und alle relevanten Komponenten betrachtet werden. Eine Software kann einen derartigen Perspektivenwechsel des Angreifers (z. B. die Suche nach dem schwächsten Kettenglied) nicht leisten, sondern den Menschen lediglich dabei unterstützen. 

 

Haben Sie noch Fragen zur Informationssicherheit unserer Produkte oder zu unseren Zertifikaten? Unser IT-Security- und Datenschutzteam freut sich, Ihnen weiterführende Informationen zukommen zu lassen.

Viele Details zur Datenschutz- und Informationssicherheit bei der Business Keeper AG finden Sie auch hier.