04.10.2021

Braucht meine Firma einen IT-Sicherheits-Check / Pentest?

Dieser Artikel war ursprünglich eine etwas ausführlichere Antwort-E-Mail auf die Frage, ob ich eine IT-Sicherheitsprüfung empfehlen würde und ob dadurch neue Risiken entstehen.

Hacker-Angriffe, Ransomware, Data Leaks scheinen zuzunehmen, da stellt sich die Frage eines jeden Geschäftsführers: Braucht mein Unternehmen eine IT-Sicherheitsprüfung oder einen Pentest? Und falls ja, wenn ich da irgendeine Firma ranlasse, ist das nicht ein Sicherheitsrisiko? Kann es sein, dass die beauftragte Firma Schwachstellen verursacht oder Daten abzieht und verkauft?

Berechtigte Frage, sehr guter Einwand. Schauen wir uns das genauer an.

Theoretisch ist es möglich, dass bei einer IT-Sicherheitsfirma ein schwarzes Schaf arbeitet. Das ist jedoch erstmal zweitrangig, da man dem IT-Sicherheitstester (Pentester) erstmal nicht mehr Rechte geben muss als den restlichen Angestellten. Je nach Szenario bekommt der Pentester sogar gar keine Rechte und er schaut, wie weit er kommt, wenn er das Firmennetzwerk so sieht wie jeder andere im Internet oder wie ein Besucher vor Ort.

Grundsätzlich kann man sagen, dass es ein perfekt sicheres System nicht gibt, weil der entscheidende Faktor oft die Angestellten und deren Verhalten ist. Man kann aber nahe dran kommen und ein solides System aufbauen.

Dazu ist die wichtigste Frage, was überhaupt das eigene Risikoprofil ist. Eine Firma, die die digitalen Zugangsdaten von 10.000 anderen Firmen verwaltet, hat ein anderes Risikoprofil als eine Firma im deutschen Mittelstand, die physische Produkte herstellt.

Anschließend kann man sich überlegen, wie man das Thema IT-Sicherheit stufenweise angehen könnte.

Für jede Firma eigentlich selbstverständlich sollte sein:

Vermeidung von automatisierten Angriffen, die 24/7 durchs Internet rollen, Ransomware verteilen und alle Daten/Systeme unwiderruflich verschlüsseln. Das erledigt man auf zwei Arten:

1. Nach außen (also im Internet) verfügbare Systeme sollten auf dem aktuellen Stand sein und alle kritischen Sicherheitspatches installiert haben. Das sollte regelmäßig überprüft werden. Auf diese Weise verhindert man, dass bekannte Schwachstellen automatisiert ausgenutzt werden.
2. Für alle unternehmenskritischen Daten sollten mehrere Backups existieren, die garantiert wiederhergestellt werden können(!), für den Fall, dass eine noch unbekannte/ungepatchte Schwachstelle in einer (aktuellen) Software-Version ausgenutzt wird (nennt sich Zero-Day-Exploit).

Gegen Ransomware-Infektionen kann man mit aktuellen Patches schon viel machen, aber 100 %-igen Schutz hat man niemals, weil mit jeder Software-Version neue Lücken auftreten könnten. Aber alle Fälle, wo Firmen für die Entschlüsselung nach einer Ransomware-Attacke zahlen mussten, sind selbstverschuldet, weil sie keine adäquaten Backups angelegt haben.

Darüber hinaus hilft ein IT-Sicherheitscheck dabei, dass sich jemand die IT-Systeme anschaut, mit folgenden Überlegungen im Hinterkopf:

• Ist das System grundsätzlich sicher konzipiert?
• Ist die eingesetzte Software angemessen oder wird notorisch anfällige Software eingesetzt?
• Wird zu viel Software eingesetzt bzw. ist das System zu komplex?
• Ist das, was in der Realität konfiguriert wurde, eigentlich das, was geplant wurde? Wenn theoretisch jeder Mitarbeiter einen VPN-Zugang hat, ist das eine gute Sache. Wenn aber jeder Mitarbeiter auch ohne VPN ins interne Firmennetzwerk kommt, ist das schlecht. Haben alle Mitarbeiter die für sie relevanten Rechte? Haben manche Leute zu viele Rechte? Werden Rechte entzogen, wenn jemand die Firma verlässt? Ist die Konfiguration von Mailservern, Firewall usw. korrekt?
• Haben die Mitarbeiter ein Grundverständnis für IT-Sicherheit, so dass sie den auf dem Parkplatz gefundenen USB-Stick nicht in den Firmenserver einstecken?

Nicht jede Firma braucht IT-Sicherheit bis ins letzte Detail, damit alles bombensicher ist – Stichwort Risikoprofil. Ein Mittelständler mit 30 Angestellten, wo alle per Du sind und sich ewig kennen, haben andere Anforderungen als ein internationales Unternehmen mit 50.000 Angestellten, wo gezielt Leute eingeschleust wurden, die der Firma schaden wollen.

Lohnt sich ein IT-Sicherheitscheck für die eigene Firma? Im Großen und Ganzen schon, denn ein geübter Blick von Externen ist nicht verkehrt. Man muss nicht gleich 60 Personentage buchen. Grobe Schnitzer in der IT-Sicherheit lassen sich bei einem Check vor Ort und einem ausführlichen Gespräch entdecken. Das können erstmal nur 2 oder 3 Tage sein. Vielleicht stellt man dann fest, dass die Konfiguration passt und eine Schulung der Angestellten wichtiger ist, als mehr Geld in IT-Systeme zu stecken.

Wenn man eine bekannte IT-Sicherheitsfirma (aus Deutschland) nimmt und nicht irgendwelche obskuren Anbieter, kann man davon ausgehen, dass die IT-Sichereitsexperten sich es gar nicht erlauben können, schlampig mit den Firmendaten umzugehen – und wie gesagt, Vollzugriff bzw. administrative Rechte sind meist ohnehin nicht nötig oder gewünscht. Oft kann man den Profis auch über die Schulter gucken, wenn das gewünscht ist und der Test vor Ort stattfindet.

Was man auf jeden Fall vermeiden sollte: Security by obscurity, also als „Schutzmaßnahme“ einzig und allein darauf vertrauen, dass man zu klein ist, um entdeckt zu werden. Entweder, eine Schwachstelle existiert oder sie existiert nicht. Das ist auch der Grund, warum der Staatstrojaner eine doofe Idee ist. Es gibt keine Systeme mit Hintertüren, die nur von den guten genutzt werden können. Ein System ist entweder sicher – oder es ist anfällig. Ein anfälliges System wird früher oder später ausgenutzt. Das lässt sich gar nicht verhindern.