Wie oft sollten Unternehmen Penetrationstests durchführen lassen?

Einleitung

In Zeiten, in denen es gefühlt jede Woche einen neuen Skandal über IT-Sicherheitsvorfälle gibt, fragen sich viele IT-Verantwortliche, wie oft sie die eigenen Systeme auf den Prüfstand stellen sollten. Schließlich muss man wissen, wo die eigenen Schwächen liegen, um Angreifern immer einen Schritt voraus sein zu können. Penetrationstest sind ein probates Mittel, kritische Schwachstellen zu identifizieren und zu beheben, bevor sich diese früher oder später zum Problem entwickeln. In diesem Blogbeitrag möchte ich Ihnen Orientierung geben, wie oft und wann Sie Penetrationstests in Auftrag geben sollten.

Ein individuelles Penetration-Testing-Programm ist notwendig

Eine pauschale Antwort, wie oft Unternehmen Penetrationstest durchführen lassen sollten, gibt es nicht. Meiner Meinung nach ist es am sinnvollsten, ein Penetration-Testing-Programm zu erarbeiten, dass auf die eigenen IT-Sicherheitsbedürfnissen zugeschnitten ist. Ihr individuelles Penetration-Testing-Programm sollte auf folgende Fragen eine Antwort geben:

  • Welche Arten von Penetrationstests werden benötigt? (Interner/externer Infrastruktur-Pentest, Web-Anwendungs-Pentest, IoT-Devices-Pentest usw.)
  • Wie umfangreich müssen diese Pentests sein und ist ggf. Schwachstellen-Scanning ergänzend durchzuführen?
  • In welchem Turnus müssen Pentests durchgeführt werden? Z.B. jährlich/halb-jährlich
  • In welchen Situationen sollten außerordentliche Pentest durchgeführt werden?

Abhängig von einer Vielzahl individueller Faktoren, wird ihr Penetration-Testing-Programm eher umfangreich oder eher schmal ausfallen. Faktoren, die Einfluss auf den Umfang Ihres Penetration-Testing-Programms haben, sind z.B.:

  • Die Größe des Netzwerkes und des Unternehmens
  • Die Kritikalität der Daten, Anwendungen und Systeme in Ihrer IT-Landschaft
  • Die Bedrohungslage in der Branche des Unternehmens (Finanzdienstleistungen, Gesundheitsbranche, KRITIS …)
  • Bestehende Compliance oder Audit-Mandate (ISO 27001, PCI DSS, …)
  • Ihr zur Verfügung stehendes IT-Sicherheitsbudget

Ein jährlicher externer Pentest als Ausgangsbasis Ihres Penetration-Testing-Programms

Ein externer Infrastruktur-Penetrationstest, der einmal Im Jahr durchgeführt wird, sollte in jedem Falle Teil Ihres Penetration-Testing-Programms sein. Dabei werden alle über das Internet erreichbaren Systeme, wie z.B. Firewalls, VPN, DNS, E-Mail-Systeme und Fileserver auf Schwachstellen überprüft. Darüber hinaus sollte für größere Unternehmen (ab. ca 100 Mitarbeitern) auch die internen Systeme geprüft werden (sog. interner Infrastruktur-Penetrationstest). Je größer das Unternehmen, desto wichtiger wird es interne System zu prüfen, weil mit der Größe des Unternehmens Bedrohungen von Innen zunehmend wahrscheinlicher werden.

Situationen die außerplanmäßige Penetrationstests erfordern

Es gibt einige Sondersituationen, die einen außerplanmäßigen Penetrationstest erforderlich machen. Dazu gehören z.B.:

  • Die Vornahme von größeren Änderungen in Ihrem Netzwerk (aber Vorsicht: erst dann, wenn die Änderungen vollständig abgeschlossen sind, ansonsten können direkt nach dem Pentest wieder Sicherheitslücken entstehen)
  • Das Eintreten eines IT-Sicherheitsvorfalls
  • Das Deployment von neuen Systemanwendungen

Fazit

Wie oft, wie ausführlich und zu welchem Zeitpunkt ein Unternehmen Penetrationstests durchführen lassen sollte, hängt von vielen individuellen Faktoren ab. Ein eigenes, durchdachtes Penetration-Testing-Programm, welches regelmäßig an die Situation des Unternehmens angepasst wird, ist Schlüssel, um ein stets angemessen hohes Sicherheitsniveau zu halten. Ein jährlicher durchgeführter externer Infrastruktur Penetrationstest sollte in jedem Fall Teil ihres Programms sein.

Share on linkedin
LinkedIn
Share on email
Email
Share on print
Print
Dennis Kionga

Dennis Kionga

Dennis ist Geschäftsführer bei Cloud Cape, einem IT Dienstleistungsunternehmen, das zukunftsfähige IT-Sicherheits- und Cloud-Lösungen für KMUs implementiert und betreibt. Zuvor arbeitete er als Business Development Manager in der Lufthansa Group, wo er Verantwortung für den globalen Vertrieb von Outsourcing-Lösungen für Airlines übernahm. Er schloss sein Studium an der Universität Mannheim ab und erwarb einen Master of Laws (LL.M.) sowie ein Postgraduate Certificate im Projektmangement der Universität Kapstadt. In seiner Laufbahn hatte er längere Auslandsaufenthalte in Portugal, Tschechien und Südafrika.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Über Cloud Cape

Wir helfen Unternehmen Transparenz in der eigenen IT-Landschaft zu schaffen und begleiten auf dem Weg der sicheren digitalen Transformation. Als ‚Cloud-first‘ Unternehmen haben wir uns insbesondere auf Cloud-Lösungen und Cloud-Sicherheit spezialisiert.

Neuste Posts

Möchten Sie mehr von uns erfahren?