Penetrations-Tests als dauerhaftes Security-Instrument

Ähnlich sieht es mit Penetrationstests bei der IT-Infrastruktur aus. Nur, dass es hier noch viel wichtiger ist. Nur durch wiederholte Penetrationstests kann sichergestellt werden, dass der Administrator jederzeit die verwundbaren Punkte seines Systems im Blick hat und gegebenenfalls Gegenmaßnahmen einleiten kann. Häufig bekomme ich zu hören „Ja, vor einigen Jahren haben wir auch mal einen Penetrationstest gemacht.“ In diesem Moment werden meine Augen immer ganz groß. Das ist genauso, als würde jemand sagen, „Vor zehn Jahre war ich das letzte Mal beim TÜV.“

Ein Pen-Test muss in regelmäßigen Abständen durchgeführt werden. Die gewonnen Daten veralten so schnell, wie die Technik voranschreitet (d.h. sehr). Denn IT ist grundsätzlich sehr agil, ständig kommen neue Produkte hinzu, werden Konfigurationen geändert und neue User mit entsprechenden Berechtigungen hinzugefügt. 

Diese Veränderungen sorgen dafür, dass ständig neue Lücken und Schwachstellen in der Systemverteidigung entstehen. Nicht alle Administratoren, die an den kritischen Systemen ihrer Infrastruktur basteln, haben dabei immer die IT-Sicherheit im Blick. Deshalb ist es so ausgesprochen wichtig, die Sicherheit in regelmäßigen, engen Abständen von innen wie von außen zu testen.

Je nach Resultat ergibt sich aus einem Pen-Test Handlungsempfehlungen unterschiedlicher Dringlichkeit. Diese sollten nicht nur umgesetzt, sondern auch dokumentiert werden. Beim nächsten Test sollte dann auch überprüft werden, ob diese erfolgreich umgesetzt wurden. Nur durch kontinuierliches Testen und Verbessern kann so etwas wie IT-Sicherheit im Unternehmen etabliert werden. Penetrationstests müssen deshalb als dauerhaftes Instrument der IT-Security akzeptiert werden.