Penetrationstest unbekannt

Experten ohne Expertise

31. August 2020, 12:57 Uhr | Martin Fryba
Ein Viertel aller IT-Sicherheitsfachleute weiß nicht, was ein Penetrationstest ist oder ob ihre Organisation einen solchen Sicherheitscheck in der IT bereits hat durchführen lassen, sagt der TÜV Rheinland
© AdobeStock/IQoncept

Laut TÜV Rheinland soll ein Viertel aller IT-Sicherheitsfachleute nicht wissen, was ein Penetrationstest ist oder ob er in ihrem Unternehmen durchgeführt wurde. Skandal oder geschickte PR?

IT-Sicherheitsexperten, denen der Begriff Penetrationstest nichts sagt? Es sollen fast 17 Prozent sein, die tatsächlich noch nie etwas von dieser Methode gehört haben, bezieht sich der  TÜV Rheinland auf eine von ihm beauftragte Umfrage unter 1.000 IT-Sicherheitsfachleuten. »Unserer Ansicht nach ist es ein erschreckendes Ergebnis, dass fast 17 Prozent der IT-Fachleute solche Penetrationstests überhaupt nicht kennen«, sagt Benedikt Westermann, Experte für Cybersecurity-Testing bei TÜV Rheinland. In der Tat: Das wäre so, wie wenn ein Pfarrer im Bibellexikon »Gott« nachschlägt. Selbst Atheisten kennen jenes höhere Wesen, ohne das keine Religion möglich wäre.


Man steht so ziemlich fassungslos vor dieser Zahl und fragt sich, ob hier nicht wahllos irgendwelche Fachleute befragt wurden, die den Rat befolgen, sich Experte zu nennen, obwohl sie keinerlei Expertise aufweisen. Getreu dem Motto: Je höher der Tagessatz jenseits von 1.000 Euro liegt, desto kompetenter der Eindruck des »IT-Experten«, der die physische und Netzwerksicherheit eines Unternehmens überprüft. Womöglich ist hier auch ein Anfänger am Werk, der billig für seine Dienste wirbt? »Ein scheinbar günstiges Angebot ist nicht immer zielführend, da hier oft nur stichprobenartig und oberflächlich getestet wird. So ist der Kunde hinterher nicht wirklich schlauer«, warnt Westermann.


Warnungen vor schwarzen Schafen und zugleich auf das eigene seriöse Angebot aufmerksam machen, ist ein gängiges und freilich legitimes Mittel. Wer will es Westermann verübeln, wenn die Zahlen seiner Umfrage Warnung und Werbung in eigener Sache zugleich hergeben.


Die Umfrage zeigt jedenfalls, »dass sich auch heute noch viele Firmen nicht bewusst sind, wie groß die Gefahr eines Hackerangriffs auf das eigene Netzwerk ist und welchen wirtschaftlichen Schaden dies nach sich ziehen kann - zumal meist Wochen oder oft Monate vergehen, bis Unternehmen bemerken, dass sie bereits Opfer einer Cyberattacke geworden sind«. Dem ist nichts an Relevanz hinzuzufügen.


Hack-Box statt Besuch vom Weihnachtsmann
Penetrationstests sind und waren schon immer wichtig, werden immer mehr nachgefragt und immer mehr Systemhäuser mit Fokus auf IT-Sicherheit und Compliance bauen solche Angebote aus. Erst im April hatte Franz Obermayer, Systemhaus-Chef der Fox IT und der Complimant AG eine weitere Firma in diesem prosperierenden Markt für IT-Sicherheitsdienstleistungen gegründet und sich mit der pen.sec AG zusammengetan, wie CRN berichtete.


Der TÜV Rheinland führt bereits seit mehr als 20 Jahren Penetrationstests in Unternehmen und Institutionen durch. Man muss übrigens nicht mehr als Weihnachtsmann verkleidet bei Unternehmen auftauchen und nach ungeschützten USB-Slots Ausschau halten.


Pentests werden heute meist virtuell durchgeführt. Der TÜV Rheinland setzt hier die  sogenannte Hack-Box ein: Dies ist ein speziell konfigurierter und geschützter Computer, der an Unternehmen gesendet wird. Ist die Hack-Box installiert, wählen sich die Cybersecurity-Experten in das Unternehmensnetzwerk ein und starten einen simulierten Hackerangriff. Die Testergebnisse werden im Anschluss als digitaler Bericht an das Unternehmen übermittelt und gemeinsam analysiert.

 

Anbieter zum Thema

zu Matchmaker+

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu foxIT

Weitere Artikel zu Betriebs-Sicherheit

Weitere Artikel zu Branchenlösungen

Matchmaker+