Schlagwort-Archive: IT-Penetrationstest

Cyberangriff auf App-Store

Vermutlich hunderte Apps mit Schadsoftware XCodeGhost infiziert

Mangelhafter Schutz gegen Cyberangriffe

Der jüngste Cyberangriff auf den App-Store von Apple und die Infizierung hunderter Mobiler Applikationen für das iOS-Betriebssystem zeigt wieder einmal, dass auch Großkonzerne wie Apple die Gefahren von Cyberangriffen noch immer unterschätzen bzw. nur mangelhaft dagegen gerüstet sind. Wie viele Apps mit der Schadsoftware infiziert wurden ist bis dato noch unbekannt. Die zunehmende Vernetzung und Digitalisierung bietet Unternehmen nicht nur Vorteile sondern macht sie auch in gewisser Weise verwundbarer. Hierbei sind nicht nur firmeninterne Daten in Gefahr, sondern auch Millionen von sensiblen Nutzerdaten.

Unternehmen müssen im Bereich IT-Sicherheit nachrüsten

Um einen solchen Cyberangriff schon im Vorfeld abwenden zu können, werden sog. IT-Penetrationstest eingesetzt. Penetrationstests sind erlaubt und geplante Hackerangriffe auf IT-Netzwerke und Systeme. Hierbei werden im wesentlichen die selben Methoden angewandt wie bei einem realen Cyberangriff. Dadurch lassen sich Schwachstellen und Sicherheitslücken frühzeitig erkennen und Investitionen sichern.

Erfahren Sie mehr zum Thema IT-Penetrationstest.

3 Kommentare

Eingeordnet unter IT Security

Bundesregierung verabschiedet IT-Sicherheitsgesetz

Mindestniveau an IT-Sicherheit

IT-Sicherheit, IT-Sicherheitsgesetz, ITSG, Penetrationstest, Cyberangriff, Hackerangriff

Der Zeitpunkt der Verabschiedung des IT-Sicherheitsgesetz der Bundesregierung hätte nicht unpassender sein können. Wenige Tage nach dem Cyberangriff auf den Bundestag wurde in Berlin das IT-Sicherheitsgesetzt (ITSG) verabschiedet. Das Gesetz soll rund 2000 Unternehmen in Deutschland dazu verpflichten gewisse IT-Sicherheitsstandards einzuhalten bzw. zu befolgen – ein Schritt der schon vor Jahren erfolgen hätte müssen.

IT-Sicherheitsgesetz: Die Inhalte

Die zunehmende Vernetzung von Produktionsstandorten, die cloud-basierte Speicherung von sensiblen Daten und die Kommunikation von Maschinen über Ländergrenzen hinweg erfordert ein nachhaltiges IT-Security-Konzept. Unternehmen müssen sich besser vor IT-Angriffen schützen. Das ITSG (IT-Sicherheitsgesetz) gibt vor, dass Unternehmen innerhalb von 2 Jahren gewisse IT-Sicherheits-Mindestanforderungen erfüllen müssen.

Im Falle eines Cyberangriffs sind Konzerne künftig verpflichtet dem BSI (Bundesamt für Sicherheit und Informationstechnik) Meldung zu erstatten – anonym versteht sich. Droht bei einem schwerwiegenden Hackerangriff der Ausfall der Systeme darf der Namen des Unternehmens genannt werden. Bei Nichteinhaltung der Meldepflicht erfolgen Strafen in Höhe bis zu 100.000 Euro. Zudem sieht das Gesetz die Speicherung von Verkehrsdaten für die Angriffserkennung vor.

Kritik am ITSG

Vor allem aus dem Lager der Datenschützer kommt Kritik. Diese bemängeln, dass das IT-Sicherheitsgesetzt der Vorratsdatenspeicherung Tür und Tor öffnet. Die Opposition kritisiert die unklare Ausformulierung des ITSG. Das Gesetz sei zu lückenhaft formuliert, da Bereiche wie öffentlich Stellen, also Gemeinden, Ämter etc. nicht ausdrücklich erwähnt werden. Wirtschaftsverbände befürchten zu hohe Kosten bei der Umsetzung.

Ausblick IT-Sicherheit

Trotz der berechtigten Kritik ist die Verabschiedung des IT-Sicherheitsgesetzes ein längst überfälliger Schritt. Es ist zwingend notwendig auf die Bedrohung durch Cyberkriminelle zu reagieren und entsprechende Sicherheitsvorkehrungen zu treffen. Unternehmen, Organisationen, Energieversorger, öffentliche Einrichtung sollten zunächst Ihre vorhandenen IT-Sicherheitsstrukturen auf Herz und Nieren prüfen und entsprechend handeln. Einen 100%-igen Schutz gegen Hackerangriffe gibt es nicht, aber man sollte es Cyberkriminellen nicht allzu leicht machen, denn auch Hacker wägen den Kosten-Nutzen-Faktor ab.

IT-Penetrationstest – wie sicher sind Ihre Systeme?

Ein IT-Penetrationstest ist ein gezielter, geplanter und erlaubter Angriffsversuch auf ein IT-System. Penetrationstests liefern eine Momentaufnahme der Sicherheitsinfrastruktur in einem IT-System. Schwachstellen und Sicherheitslücken werden so aufgedeckt und analysiert. Ein professioneller Penetrationstest ist elementarer Teil jedes Sicherheitsaudits und überprüft das Netzwerk systematisch auf Schwachstellen und Sicherheitslücken.

2 Kommentare

Eingeordnet unter IT Security, IT Sicherheit

Schwachstellenanalyse und Penetrationstest im Vergleich

Ein nachhaltiges IT-Sicherheitskonzept beinhaltet sowohl die Schwachstellenanalyse als auch den IT-Penetrationstest. Doch in welchen Aspekten unterscheiden sich die Schwachstellenanalyse und der Penetrationstest? Technische Security-Analysen und Penetrationstests sind feste Bestandteile einer effektiven IT-Sicherheitsstrategie. Das Ziel hierbei ist es Schwachstellen in den IT-Netzwerken und Systemen zu finden bevor Cyber-Kriminelle eventuelle Sicherheitslücken nutzen können. Schwachstellenanalysen und Penetrationstests werden häufig im selben Atemzug genannt, unterscheiden sich aber in einigen wichtigen Punkten

Zentrale Aspekte von Sicherheitsanalysen und Penetrationstests

  • Technische Schwachstellen von IT-Systemen, Infrastruktur oder Anwendungen
  • Wirksamkeit von bestehenden Sicherheitsvorkehrungen
  • Mögliche Auswirkungen eines Hacker-Angriffs

IT-Sicherheitsanalyse

  • Prüfung eines IT-Systems oder Netzwerk auf die Widerstandsfähigkeit gegenüber externen oder internen Angreifern
  • Überblick über den äußeren Verteidigungsring eines Unternehmens
  • Identifizierung möglicher Angriffspunkte
  • IT-Sicherheitsanalyse als Ausgangspunkt für einen Penetrationstest

Penetrationstest

  • Penetrationstest offenbart inwieweit Hacker in die Infrastruktur vordringen können
  • Penetrationstest entspricht der Vorgehensweise eines realen Cyber-Angriffs
  • Identifizierung eventueller tiefgreifender Schwachstellen
  • Schadensanalyse: in welchem Maße schadet ein Hacker-Angriff dem Unternehmen

Vulnerability Scan – kein Ersatz für Sicherheitsanalysen und Penetrationstests

Sog. Vulnerability Scans sind software-gestützte und vollautomatisierte Anwendungen die das System oder Netzwerk auf bereits bekannte Sicherheitslücken testen. Security Anlysts setzten durchaus auch Software-Tools ein, sind aber kein Ersatz für eine umfangreiche Sicherheitsprüfung. Soll das IT-System auf Herz und Nieren getestet werden ist die Erfahrung eines Security Analysten unerlässlich.

Quelle: computerwoche.de

Ein Kommentar

Eingeordnet unter IT Security, IT Sicherheit