Einleitung
In Zeiten, in denen es gefühlt jede Woche einen neuen Skandal über IT-Sicherheitsvorfälle gibt, fragen sich viele IT-Verantwortliche, wie oft sie die eigenen Systeme auf den Prüfstand stellen sollten. Schließlich muss man wissen, wo die eigenen Schwächen liegen, um Angreifern immer einen Schritt voraus sein zu können. Penetrationstest sind ein probates Mittel, kritische Schwachstellen zu identifizieren und zu beheben, bevor sich diese früher oder später zum Problem entwickeln. In diesem Blogbeitrag möchte ich Ihnen Orientierung geben, wie oft und wann Sie Penetrationstests in Auftrag geben sollten.
Ein individuelles Penetration-Testing-Programm ist notwendig
Eine pauschale Antwort, wie oft Unternehmen Penetrationstest durchführen lassen sollten, gibt es nicht. Meiner Meinung nach ist es am sinnvollsten, ein Penetration-Testing-Programm zu erarbeiten, dass auf die eigenen IT-Sicherheitsbedürfnissen zugeschnitten ist. Ihr individuelles Penetration-Testing-Programm sollte auf folgende Fragen eine Antwort geben:
- Welche Arten von Penetrationstests werden benötigt? (Interner/externer Infrastruktur-Pentest, Web-Anwendungs-Pentest, IoT-Devices-Pentest usw.)
- Wie umfangreich müssen diese Pentests sein und ist ggf. Schwachstellen-Scanning ergänzend durchzuführen?
- In welchem Turnus müssen Pentests durchgeführt werden? Z.B. jährlich/halb-jährlich
- In welchen Situationen sollten außerordentliche Pentest durchgeführt werden?
Abhängig von einer Vielzahl individueller Faktoren, wird ihr Penetration-Testing-Programm eher umfangreich oder eher schmal ausfallen. Faktoren, die Einfluss auf den Umfang Ihres Penetration-Testing-Programms haben, sind z.B.:
- Die Größe des Netzwerkes und des Unternehmens
- Die Kritikalität der Daten, Anwendungen und Systeme in Ihrer IT-Landschaft
- Die Bedrohungslage in der Branche des Unternehmens (Finanzdienstleistungen, Gesundheitsbranche, KRITIS …)
- Bestehende Compliance oder Audit-Mandate (ISO 27001, PCI DSS, …)
- Ihr zur Verfügung stehendes IT-Sicherheitsbudget
Ein jährlicher externer Pentest als Ausgangsbasis Ihres Penetration-Testing-Programms
Ein externer Infrastruktur-Penetrationstest, der einmal Im Jahr durchgeführt wird, sollte in jedem Falle Teil Ihres Penetration-Testing-Programms sein. Dabei werden alle über das Internet erreichbaren Systeme, wie z.B. Firewalls, VPN, DNS, E-Mail-Systeme und Fileserver auf Schwachstellen überprüft. Darüber hinaus sollte für größere Unternehmen (ab. ca 100 Mitarbeitern) auch die internen Systeme geprüft werden (sog. interner Infrastruktur-Penetrationstest). Je größer das Unternehmen, desto wichtiger wird es interne System zu prüfen, weil mit der Größe des Unternehmens Bedrohungen von Innen zunehmend wahrscheinlicher werden.
Situationen die außerplanmäßige Penetrationstests erfordern
Es gibt einige Sondersituationen, die einen außerplanmäßigen Penetrationstest erforderlich machen. Dazu gehören z.B.:
- Die Vornahme von größeren Änderungen in Ihrem Netzwerk (aber Vorsicht: erst dann, wenn die Änderungen vollständig abgeschlossen sind, ansonsten können direkt nach dem Pentest wieder Sicherheitslücken entstehen)
- Das Eintreten eines IT-Sicherheitsvorfalls
- Das Deployment von neuen Systemanwendungen
Fazit
Wie oft, wie ausführlich und zu welchem Zeitpunkt ein Unternehmen Penetrationstests durchführen lassen sollte, hängt von vielen individuellen Faktoren ab. Ein eigenes, durchdachtes Penetration-Testing-Programm, welches regelmäßig an die Situation des Unternehmens angepasst wird, ist Schlüssel, um ein stets angemessen hohes Sicherheitsniveau zu halten. Ein jährlicher durchgeführter externer Infrastruktur Penetrationstest sollte in jedem Fall Teil ihres Programms sein.