Logo Concepture

24. Januar 2023 | #Pentest

Penetrationstests zeigen, wie es um die Sicherheit steht. Warum will das keiner sehen?

Was sagen Pentest über den Reifegrad der Cybersicherheit aus?

 

“Unsere IT-Abteilung kann ja selbst Pentests durchführen, wenn sie das für eine notwendige Maßnahme hält…” 🤨

Das hören wir häufig von Managern, die das Thema Cybersicherheit vollständig an ihre IT abgegeben haben. Doch abgesehen davon, dass sich zwar Aufgaben, nicht jedoch die Verantwortung für Sicherheit delegieren lassen, ist diese Haltung gefährlich:

ERSTENS 👩🏻‍💻:
In Zeiten des Fachkräftemangels haben IT-Administratoren in Unternehmen bereits genügend mit ihren originären Aufgaben zu tun. Daher wählen sie tendenziell Sicherheitsmaßnahmen aus, die effizient und leicht zu administrieren sind. Pentests fallen nicht in diese Kategorie.

ZWEITENS 🤓:
Die IT des Unternehmens ist mit der Durchführung von Pentests i.d.R. doch etwas überfordert. Ethical Hacking ist eine eigene Disziplin, die spezielle Kompetenzen erfordert (z.B. das Verstehen von Binär- bzw. Maschinencode). Hier sind die eigenen IT-Administratoren meist raus, zumindest fehlt ihnen die tägliche Praxis und damit erforderliche Erfahrungswerte, die externe Pentester mitbringen.

DRITTENS 😨:
Ein Pentest deckt Schwachstellen auf. Doch nicht jede Unternehmenskultur gibt es her, dass offen über Fehler gesprochen werden kann. Entsprechend gibt es IT-Abteilungen, die Pentests lieber nicht allzu regelmäßig durchführen, wenn sie im Anschluss für die Ergebnisse an den Pranger gestellt werden.

ERGO:
Die eigene IT-Abteilung ist nicht immer die beste Stelle, um über das Yes or No zur Durchführung von Pentests zu entscheiden. Die Entscheidung ist besser beim Top Management aufgehoben, weil dieses einen ungeschönten Blick auf die Cybersicherheit verdient hat.

Wir finden Pentests oder zumindest umfassende Schwachstellenscans sollten in Unternehmen eine regelmäßige Routine sein. So fordern übrigens auch Normen wie die ISO/IEC 27001 (ISMS) – sowohl anlassbezogene als auch turnusmäßige Prüfungen.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

AUTOR

Manuel Bohé
Manuel Bohé

CEO Concepture

Diese Themen könnten
Sie auch interessieren …

im Gespräch mit it.sa

Im Gespräch mit it.sa

it.sa bezeichnet sich selbst als „Home of IT Security“. Die it-sa Expo&Congress in Nürnberg vernetzt IT-Sicherheitsanbieter und IT-Sicherheitsverantwortliche persönlich. Online bringt die Dialogplattform it-sa 365 sie auch zwischen den Messeterminen unter dem Motto „Solutions – Networking – Knowledge“ zusammen. Wir durften ein Interview zum Thema “Wie sicher sind kritische Infrastrukturen in Deutschland?” geben.

Weiterlesen »