Warum Penetration Tests für Unternehmen Gold wert sind

Freitag, 23. August 2019 | Yannic Schorr

Immer öfter wird in den Medien über Hackerangriffe auf Unternehmen und Institutionen berichtet. Dieser Trend lässt sich auch mit Zahlen belegen. Laut dem 2019 Cyberthreat Defensive Report [1] waren in Deutschland in den letzten 12 Monaten 75% aller Organisationen von mindestens einem Hackerangriff betroffen. Die Folgen einer erfolgreichen Attacke können verheerend sein - neben Umsatzverlusten und erheblichen Imageschäden drohen auch hohe Bußgelder.

Dementsprechend ist es nicht verwunderlich, dass IT-Security ein immer wichtigeres und zentrales Thema für Unternehmen wird. Eine umfassende IT-Security-Strategie ist unerlässlich, um sich vor den immer ausgefeilteren Methoden der Hacker zu schützen.

Penetration Tests spielen in diesem Zusammenhang eine wichtige Rolle und sollten in Ihre IT-Sicherheitsstrategie miteinbezogen werden. Warum das so ist, habe ich hier kompakt für Sie zusammengefasst.

  1. 1. Penetration Testing deckt Schwachstellen auf, bevor es „echte“ Hacker tun

    Bei einem Pentest versuchen ausgebildete Penetration Tester, Ihre IT-Systeme mit den Methoden krimineller Hacker anzugreifen. Das alles aber in einem kontrollierten und sicheren Rahmen und ohne das Ausnutzen der gefundenen Sicherheitslücken. Es geht darum, dem Unternehmen potenzielle Schwachstellen und Angriffspunkte aufzuzeigen, bevor sie von Cyberkriminellen ausgenutzt werden können. Diese Erkenntnisse und Informationen sind enorm hilfreich, um die Security-Strategie entsprechend anzupassen und sich bestmöglich gegen die Gefahren eines Cyberangriffes zu wappnen.

  2. 2. Hilft bei der Entwicklung effizienter Sicherheitsmaßnahmen

    Am Ende eines Pentests folgt ein detaillierter Bericht über die gefundenen Schwachstellen und eine Einschätzung darüber, inwieweit diese von kriminellen Hackern genutzt werden können, um die IT-Systeme anzugreifen. Auch werden die Schwachstellen in Hinblick auf das Risiko für das Unternehmen und den Aufwand zur Behebung bewertet. Mit diesen Informationen können IT-Security-Teams in Unternehmen die entsprechenden Maßnahmen priorisieren und umsetzen.

    Außerdem kann das Reporting genutzt werden, um die Geschäftsführung oder das Top-Management über den aktuellen Zustand der Security-Strategie zu informieren. Die darin enthaltenen Ergebnisse stellen auch eine gute Grundlage dar, um über das Budget für IT-Security und die entsprechenden Maßnahmen zu sprechen.

  3. 3. Spart Ihrem Unternehmen Geld

    Klar, ein Pentest kostet Geld und bei einem ohnehin knappen Budget müssen Investitionen gut bedacht sein. Gemessen an dem, was Penetration Testing einem Unternehmen aber an Nutzen bringen kann, ist es eine überaus sinnvolle Investition. Umsatzverluste und mögliche Bußgelder oder Schadensersatzansprüche sind bei einem erfolgreichen Hackerangriff oftmals um ein Vielfaches höher.

    Wie teuer ein Hackerangriff auf sensible Daten tatsächlich werden kann, zeigt der Cost of a Data Breach Report 2019 [2]. Die Gesamtkosten nach einem Verlust sensibler Daten betrugen für ein mittleres Unternehmen mit 500 bis 1000 Mitarbeitern durchschnittlich 2,65 Millionen US-Dollar. Umgerechnet sind das 3533 US-Dollar pro Mitarbeiter. Auch in Deutschland werden Datenpannen immer teurer. Umgerechnet etwa 4,3 Millionen Euro kostet dem Bericht zufolge eine Datenpanne durchschnittlich.

  4. 4. Schützt vor Imageverlust und unzufriedenen Kunden

    Nicht nur der finanzielle Schaden kann bei einem Hackerangriff schwerwiegend sein, auch die Reputation des Unternehmens und das Vertrauen der Kunden leiden mitunter sehr. Das zeigt auch der Global Application & Network Security Report 2018 [3]. 93 % aller Organisationen weltweit bestätigten einen negativen Einfluss auf die Kundenbeziehungen, nachdem sie Opfer eines Hackerangriffs wurden.

    Facebook beispielsweise hatte nach einem erfolgreichen Hackerangriff 2018, bei dem die Angreifer Zugriff auf 30 Millionen Nutzerkonten erlangen konnten, Imageschäden und einen signifikanten Nutzerrückgang zu verzeichnen [4].

  5. 5. Optimiert das Verhalten Ihres Security-Teams bei einem „echten“ Hackerangriff

    Nicht zuletzt gibt ein Pentest auch Einblicke darüber, wie sich Ihr IT-Security-Team bei einem Hackerangriff verhält. Zum einen werden dadurch Fehler oder Schwachstellen in den Verhaltensweisen und internen Prozessen aufgedeckt, die dann nochmal explizit geschult und verbessert werden können.

    Zum anderen ist Penetration Testing aber auch ein gutes Training für Ihr IT-Sicherheitsteam. Es erhält die Möglichkeit, Hackerangriffe richtig zu erkennen und die entsprechenden Abwehrreaktionen einzuleiten. Damit kann dann in einem Ernstfall besser reagiert werden.

  6. Mein Fazit:
    In einer immer digitaler werdenden Welt gehören Daten zum wichtigsten Kapital eines Unternehmens. Sie gilt es zu schützen, um auch in Zukunft wettbewerbsfähig zu sein. Das haben auch die meisten Unternehmen erkannt und IT-Security zu einem absoluten Fokusthema ernannt. In einer ganzheitlichen Security-Strategie sollten Penetration Tests deshalb zum festen Bestandteil gehören, da sie wertvolle Informationen über den aktuellen Zustand Ihres Sicherheitssystems geben und Sicherheitslücken erkennen, bevor diese von Cyberkriminellen genutzt werden können.

    Penetration Testing Broschüre lesen

    Studien:

    1. [1] 2019 Cyberthreat Defensive Report https://cyber-edge.com/wp-content/uploads/2019/03/CyberEdge-2019-CDR-Rep...
    2. [2] Cost of a Data Breach Report 2019 https://www.ibm.com/security/data-breach
    3. [3] Global Application & Network Security Report 2018 https://www.radware.com/ert-report-2018/
    4. [4] https://blog.hubspot.com/news-trends/facebook-data-breach-no-one-deleting

Geschrieben von Yannic Schorr - Product Manager

Yannic Schorr verantwortet als Produktmanager die Optimierung und Weiterentwicklung der IT-Security Services bei Claranet. Er arbeitet dabei sehr eng mit den Security-Experten innerhalb der Claranet Gruppe zusammen und steht im aktiven Austausch mit den Penetration Testing-Spezialisten von Sec-1 und NotSoSecure.

Profitieren Sie von unserem Know-how und kontaktieren Sie uns!

Rufen Sie uns an:

Wir sind Montags bis Freitags zwischen 08:00 und 18:00 unter +49 (0)69 40 80 18 0 für Sie da.

Unseren technischen Support erreichen Sie rund um die Uhr unter der Nummer +49 (0)69 40 80 18 300.