Thought Leadership
Pentesting hilft Unternehmen dabei, die Wirksamkeit ihrer Security-Maßnahmen zu prüfen und Schwachstellen richtig zu priorisieren. Bisher konnten sich diesen Luxus nur große Organisationen leisten. Automatisierte Lösungen machen kontinuierliche Security-Tests auch für mittelständische Unternehmen erschwinglich.
Wie gut ist eigentlich unsere Sicherheitsaufstellung? Was sehen Angreifer, welche Schwachstellen nutzen sie aus und was könnten sie im schlimmsten Fall anrichten? Solche Fragen lassen sich am besten mit Pentesting beantworten. Dabei nehmen Security-Spezialisten die Angreifer-Perspektive ein und versuchen, nach allen Regeln der Kunst ins Unternehmensnetzwerk einzudringen. Am Ende erhält der Kunde einen Bericht, welche Sicherheitslücken der Pentester entdecket hat, wie er vorgegangen ist und was das Unternehmen tun sollte, solche Cybervorfälle im echten Leben zu vermeiden. Früher erfolgte Pentesting vorwiegend manuell. Mittlerweile gibt es aber Software-Lösungen wie Pentera auf dem Markt, die auch automatisierte Penetration Tests durchführen. Sie nutzen zudem gefundene Lücken auf sichere Weise aus, zeigen deren Ausbreitung auf und schlagen im Anschluss wirksame Gegenmaßnahmen vor. Dadurch ermöglichen solche Tools eine kontinuierliche Validierung der eigenen IT-Security. Beide Varianten haben ihre Vor- und Nachteile. Wo liegen die Unterschiede und wann ist welches Vorgehen empfehlenswert?
Manuelles Pentesting ist eine Momentaufnahme
In der Regel leisten sich nur große Konzerne eigene Pentesting-Teams. Die meisten Unternehmen greifen lieber auf externe Dienstleister zurück. Zunächst wird der Rahmen und das Ziel abgesteckt: Was soll der Pentester prüfen und über welchen Zeitraum hinweg? Vielleicht soll nur der Webshop oder eine Applikation getestet werden, vielleicht geht es um Prozesse. Anschließend macht sich der Security-Spezialist ans Werk, versucht das Ziel zu hacken und schreibt seinen Abschlussbericht. Da manuelles Pentesting aufwändig und teuer ist, führen die meisten Unternehmen solche Aktionen nur einmal im Jahr oder alle paar Jahre durch. Doch damit erhalten sie lediglich eine Momentaufnahme der aktuellen Situation, die kurz darauf schon wieder überholt sein kann. Denn sowohl IT-Umgebungen als auch Angriffstechniken entwickeln sich dynamisch, sodass die Angriffsfläche wächst, neue Schwachstellen hinzukommen und sich die Risikoexposition ändert. Außerdem findet das Pentesting nicht unbedingt unter realistischen Bedingungen statt. Im richtigen Leben greifen Cyberkriminelle vorwiegend nachts oder am Wochenende an. Nur wenige Pentester arbeiten aber 24/7. Dazu kommt, dass die Ergebnisse immer von der individuellen Kompetenz des beauftragten Experten abhängen und kein manueller Pentest exakt wie der andere abläuft. Dadurch können Unternehmen, die verschiedene Standorte überprüfen möchten, die Berichte schlecht vergleichen.
Automatisierte Security Validierung ermöglicht eine kontinuierliche Überprüfung
Automated Security Validation – umgangssprachlich oft als „automatisiertes Pentesting“ bezeichnet – läuft dagegen standardisiert ab, kann rund um die Uhr erfolgen und liefert ein einheitliches, vergleichbares Reporting. In diesem Fall scannt eine Software die IT-Umgebung auf ausnutzbare Schwachstellen und führt KI-gestützt reale Angriffe durch. Dabei greift sie auf eine umfangreiche Datenbank mit aktuellen Bedrohungsinformationen zu. Integrierte Kontrollen stellen sicher, dass der Geschäftsbetrieb nicht durch die Tests gefährdet wird.
„Automatisiertes“ Pentesting ist nicht unbedingt preiswerter als manuelles. Die Kosten hängen in der Regel davon ab, wie viele Assets und IP-Adressen gescannt werden sollen. Mithilfe einer automatisierten Lösung können Unternehmen aber sowohl On-Demand als auch kontinuierlich Sicherheitsüberprüfungen durchführen, ohne dass sie externe Spezialisten beauftragen müssen. Indem sie dieselben Penetration Tests über einen längeren Zeitraum im Hintergrund laufen lassen, sehen sie, wie sich ihre Angriffsfläche und Risikoexposition verändert, und sind jederzeit auskunftsbereit. Außerdem können sie die Pentesting-Plattform auch nutzen, um Security-Systeme verschiedener Anbieter zu testen und eine fundierte Kaufentscheidung zu treffen.
Wann eignet sich welche Methode?
Sowohl „automatisiertes Pentesting“ als auch „manuelles Pentesting“ haben ihre Berechtigung und ergänzen sich gegenseitig. Manuelle Sicherheitsüberprüfungen eignen sich vor allem für Szenarien, die schlecht automatisierbar sind, zum Beispiel um zu testen, ob es einem Hacker gelingt, Mitarbeitende mit Social Engineering auszutricksen. Auch für die Königsdisziplin im Pentesting, ein umfangreiches, tiefgehendes Red Teaming, braucht man weiterhin menschliche Spezialisten. Dabei versuchen die Pentester, das Unternehmen unter realistischen Bedingungen zu hacken. Häufig nutzen Red Teams aber automatisierte Tools, um ihre Effizienz zu steigern. Eine Plattform für Cybersicherheitsvalidierung ist außerdem ideal, um kontinuierlich Standardszenarien zu prüfen und auch einen großen Testumfang schnell zu stemmen.
Schwachstellen richtig priorisieren
Vor allem hilft eine automatisierte Lösung Unternehmen dabei, Schwachstellen richtig zu bewerten und zu priorisieren, sodass sie die größten Sicherheitslücken zuerst schließen können. Vulnerability-Management-Systeme reichen dafür nicht aus. Letztere identifizieren zwar Schwachstellen und kategorisieren diese nach einem CVSS-Wert (Common Vulnerability Scoring System). Doch das sagt wenig darüber aus, wie exponiert eine Schwachstelle im Unternehmensnetzwerk ist, ob sie überhaupt angegriffen werden kann und wie beliebt sie gerade bei Cyberkriminellen ist. Eine Plattform zur automatisierten Security Validierung betrachtet Schwachstellen dagegen aus der Perspektive der Hacker und versucht, sie auszunutzen. So erkennen Unternehmen, welche Sicherheitslücken wirklich gefährlich sind. Gartner prognostiziert: Organisationen, die ihre Security Investitionen anhand von Continuous Exposure Management priorisieren, werden bis 2026 dreimal seltener von Cybervorfällen betroffen sein.
Compliance-Vorschriften: Pentesting ist für viele Unternehmen Pflicht
Cyberrisiken mithilfe von Pentesting zu bewerten und die Wirksamkeit der eigenen Sicherheitsmaßnahmen zu überprüfen ist grundsätzlich für alle Unternehmen wichtig. Denn die Bedrohung durch Cyberkriminelle steigt. Wer eine Cyberversicherung abschließen möchte, kann mit Pentesting zudem nachweisen, dass er die Voraussetzungen erfüllt. Für Organisationen, die zu den kritischen Infrastrukturen zählen und unter die NIS2-Verordnung fallen, sind regelmäßige Sicherheitsüberprüfungen sogar Pflicht, denn NIS2 fordert Cyberrisikomanagement, Business Continuity Management sowie Security-Audits. Pentesting gilt dafür als wichtiges Instrument. Noch bis zum 17. Oktober 2024 haben die EU-Mitgliedsstaaten Zeit, NIS2 in nationales Recht umzusetzen. Viele Unternehmen im Finanzsektor sind außerdem vom Digital Operational Resilience Act (DORA) betroffen. Das EU-Gesetz, das Anfang 2023 in Kraft trat, schreibt Pentesting explizit als Maßnahme vor und gilt ab Anfang 2025 verbindlich für alle europäischen Unternehmen dieser Branche.
Welche Voraussetzungen müssen erfüllt sein?
Pentesting macht erst dann Sinn, wenn ein Unternehmen schon die wichtigsten Security Best Practices etabliert hat und über ein gutes Sicherheitsniveau verfügt. Die Tests können beim Finetuning helfen und verifizieren, wie wirksam die Sicherheitsmaßnahmen tatsächlich sind. Wer dagegen noch große Defizite hat, sollte erst an den Grundlagen arbeiten, sonst kann die Zahl der Findings entmutigend sein. Technisch lässt sich eine Automated Security Validation-Plattform meist schnell einrichten und einführen. Pentera erfordert zum Beispiel keine lokale Agenten-Installation. Unternehmen müssen allerdings in der Lage sein, die Berichte, die die Plattform ausgibt, zu verstehen und geeignete Gegenmaßnahmen zu ergreifen. Dabei hilft auch das von den Security Researchern immer auf dem neuesten Stand gehaltene Pentera Remediation-Wiki, welches Hintergrundwissen zu den Angriffen sammelt und klare Anweisungen enthält, wie die gefunden Lücken zu schließen sind. Anschließend werden die Tests erneut durchgeführt, um zu überprüfen, ob auch alle Maßnahmen greifen.
Wer dafür nicht genügend Know-how oder Ressourcen im eigenen Haus hat, kann sich von einem externen Experten unterstützen lassen. Dieser geht die Reports dann regelmäßig mit dem internen Ansprechpartner durch, gibt Handlungsempfehlungen und hilft bei Bedarf bei der Umsetzung.
Ausblick
Noch ist Pentesting – egal, ob manuell oder automatisiert – ein Luxus, den sich vor allem größere Unternehmen leisten können. Doch bald wird es möglich sein, automatisierte Security Validierung als Managed Security Service zu buchen. Auch kleinere und mittelständische Unternehmen können dann mit überschaubarem Aufwand kontinuierliche Sicherheitsüberprüfungen durchführen. Ein erfahrener MSSP unterstützt dabei, die richtige Lösung auszuwählen und sinnvoll in die Security-Strategie zu integrieren. Grundsätzlich ist Pentesting für alle Unternehmen wichtig, um die Resilienz gegen Cyberangriffe zu stärken. Im aktuellen Gartner Hype Cycle 2024 für Security Operations wurde „Adversarial Exposure Validation“, worunter automatisiertes Pentesting fällt, als neue Technologie hinzugefügt und gilt als Innovation-Trigger.
