Viele Kunden lassen ihr internes Netzwerk jährlich von uns auf Schwachstellen prüfen. Lässt ein Kunde zum ersten Mal einen internen Penetrationstest durchführen, ist damit zu rechnen, dass am Ende 30 bis 40 Schwachstellen im Report zu finden sind. Der Kunde hat dann ein Jahr Zeit, die Schwachstellen in seinem Netzwerk zu beheben. Auf den ersten Blick könnte man meinen, beim nächsten Test sind die meisten Schwachstellen behoben und der Report ist wesentlich kürzer.
Leider ist dies in vielen Fällen nicht der Fall. Die meisten Schwachstellen bestehen weiterhin und das Sicherheitsniveau ist nur leicht gestiegen. In diesem Blogartikel wollen wir ergründen, warum dies oft passiert, und was Unternehmen tun können, um den maximalen Nutzen aus einem Penetrationstest zu ziehen.
Ressourcenknappheit
Einer der häufigsten Gründe ist wohl folgender: Die IT-Abteilung ist mit dem Tagesgeschäft bereits ausgelastet. Es stehen keine zusätzlichen Ressourcen zur Verfügung, um sich den Pentestergebnissen zu widmen, ob in Form von Zeit oder etwa Budget, das zur Verfügung steht.
Oft bekommen wir auch zu hören: “Dieses System wird sowieso bald abgeschaltet/ersetzt, das lohnt sich nicht mehr.” Dieser Zustand kann oft aber Jahre andauern. Mehr als genug Zeit für einen Angreifer.
In die gleiche Kerbe schlagen Sätze wie zum Beispiel: “Unser ERP-System aus dem letzten Jahrtausend benötigt noch Legacy-Protokoll XY, deshalb können wir das nicht deaktivieren.” Solche Altlasten bremsen so häufig IT-Sicherheitsmaßnahmen aus.
Hier sollten sich Unternehmen die Wichtigkeit der IT-Sicherheitsmaßnahmen bewusst machen. Selbstverständlich sind die Bereitstellung von zusätzlichen Ressourcen und das Ersetzen von Altlasten mit Investitionen verbunden. Die IT-Sicherheit sollte allerdings nicht als reine Kostenstelle betrachtet werden, sondern ist für Unternehmen zentraler Bestandteil wirtschaftlichen Fortbestehens.
Im Falle eines erfolgreichen Cyberangriffs stehen Firmen oft wochenlang still. Abhängig vom Unternehmen kann dies einen Umsatzverlust von mehreren Millionen Euro bedeuten. Für manche Unternehmen kann dies auch die Insolvenz bedeuten.
Fehlende Validierung
Auch häufiger erleben wir, dass der Kunde eigentlich dachte, dass die Schwachstelle behoben sei. Dies kann z.B. häufig bei Schwachstellen auftreten, bei denen zur Behebung eine Gruppenrichtlinie (GPO) im Active Directory konfiguriert werden muss. Werden hier nicht alle Geräte von der GPO erfasst, ist die Schwachstelle nur teilweise behoben.
Durch eine manuelle Überprüfung könnte der Kunde nun feststellen, dass die Schwachstelle weiterhin besteht. Geschieht dies nicht, bleibt diese womöglich offen bis zum nächsten Pentest.
Der Faktor Mensch
Ein weiterer Punkt sind tatsächlich die eigenen Mitarbeiter. Oft scheitern IT-Sicherheitsmaßnahmen auch an der Kooperation der Nutzer. So wird sich gegen die Einführung einer Zwei-Faktor-Authentifizierung gestellt, weil es einen Mehraufwand bedeuten würde, oder sich nicht bemüht, sichere Passwörter zu vergeben.
Allerdings muss ein höheres Maß an Sicherheit nicht immer mit einem Komfortverlust einhergehen. So kann beispielsweise eine vom Unternehmen gut gemanagete Passkey-Authentifizierung sowohl ein höheres Sicherheitsniveau, als auch mehr Nutzerkomfort als herkömmliche Passwort-Authentifizierung bieten. Bei genauerem Hinsehen lassen sich in verschiedenen Prozessen Stellen identifizieren, an denen Reibung für die Nutzer entfernt werden kann, ohne Kompromisse in Sachen Sicherheit einzugehen.
Fazit
Dass allein die Durchführung eines Penetrationstests nicht sicherer macht, dürfte jedem klar sein, denn die eigentliche Arbeit beginnt erst nach der Präsentation der Ergebnisse, wenn es an die Behebung der gefundenen Schwachstellen geht. In der Praxis sehen Unternehmen sich dabei jedoch mit verschiedenen typischen Problemen konfrontiert. Wir hoffen, dass wir Lösungsansätze präsentieren konnten, die Ihnen dabei helfen, den maximalen Nutzen aus Ihrem Pentest zu ziehen.
Wir stehen in der Behebungsphase auch gerne beratend zur Verfügung. Dazu bieten wir unser Assistant-Modul an, in dessen Rahmen Sie nach Bedarf auf uns zurückgreifen können, um Details in der Umsetzung zu klären und weitere Empfehlungen auszusprechen.