Warum kontinuierliche Sicherheitstests für Unternehmen von heute ein Muss sind

Anzeige

Intigriti Adv Header

Der globale Markt für Cybersicherheit floriert. Ein großer Bereich der Ausgaben sind Sicherheitstests. Die Kosten und Einschränkungen bei der Durchführung von Penetrationstests behindern jedoch bereits das Marktwachstum. Daher suchen viele Cybersicherheitsexperten nach einer alternativen Lösung umsehen.

Pentests sind keine Lösung für die Probleme in der Cybersicherheit

Pentesting kann spezifische und wichtige Zwecke für Unternehmen erfüllen. So können beispielsweise potenzielle Kunden die Ergebnisse einer solchen Prüfung als Nachweis für die Einhaltung von Vorschriften verlangen. Für bestimmte Herausforderungen ist diese Art von Sicherheitstest jedoch nicht immer die beste Lösung.

Anzeige

1.     Umgebungen, die sich ständig verändern

Die Absicherung von sich ständig verändernden Umgebungen in einer sich schnell entwickelnden Bedrohungslandschaft ist besonders schwierig. Diese Herausforderung wird noch komplizierter, wenn es darum geht, das Geschäftsrisiko neuer Projekte oder Veröffentlichungen abzustimmen und zu verwalten. Da sich Penetrationstests auf einen bestimmten Zeitpunkt konzentrieren, wird das Ergebnis bei der nächsten Aktualisierung nicht unbedingt dasselbe sein.

2.     Schnelles Wachstum

Es ist keine Seltenheit, dass schnell wachsende Unternehmen Wachstumsschmerzen haben. Für CISOs kann es eine besondere Herausforderung darstellen, die Sichtbarkeit der wachsenden Angriffsfläche ihres Unternehmens beizubehalten.

Laut HelpNetSecurity führen 45 % der Befragten nur ein- oder zweimal pro Jahr und 27 % einmal pro Quartal Pentests durch, was angesichts der sich schnell ändernden Infrastruktur und Anwendungen völlig unzureichend ist.

Anzeige

3.     Fachkräftemangel im Bereich Cybersicherheit

Neben den begrenzten Budgets und Ressourcen ist es ein ständiger Kampf, verfügbare Fachkräfte für interne Cybersicherheitsteams zu finden. Als direkte Folge haben Unternehmen nicht das nötige Fingerspitzengefühl für die Erkennung und die umgehende Behebung bestimmter Sicherheitsschwachstellen.

Pentests können zwar die Perspektive einer außenstehenden Person bieten, aber oft führt nur eine einzige Person den Test durch. Für einige Unternehmen stellt sich auch die Frage des Vertrauens, wenn sie sich auf die Arbeit von nur einer oder zwei Personen verlassen. Sándor Incze, CISO bei CM.com, erläutert seine Sichtweise: „Nicht alle Pentester sind gleich. Es ist sehr schwer herauszufinden, ob der Pentester, den man einstellt, gut ist.“

4.     Cyber-Bedrohungen entwickeln sich weiter

Der ständige Kampf, bei den neuesten Cyberangriffstechniken und -trends auf dem Laufenden zu bleiben, gefährdet Medienunternehmen. Die Einstellung von Fachkräften für jede neue Art von Cyber-Bedrohung wäre unrealistisch und untragbar.

HelpNetSecurity berichtet, dass 71 Prozent der Pentester eine Woche bis einen Monat brauchen, um einen Pentest durchzuführen. Mehr als 26 Prozent der Unternehmen müssen ein bis zwei Wochen auf die Testergebnisse warten, und 13 Prozent sogar noch länger. Angesichts der rasanten Entwicklung von Bedrohungen kann diese Wartezeit dazu führen, dass Unternehmen sich potenzieller Sicherheitsprobleme nicht bewusst sind und diese ausgenutzt werden.

5.     Ungeeignete Sicherheitstests für agile Umgebungen

Die kontinuierlichen Entwicklungszyklen stimmen nicht mit den Zyklen der Penetrationstests (die oft nur jährlich durchgeführt werden) überein. Daher können Schwachstellen, die durch große Lücken zwischen Sicherheitstests entstanden sind, für einige Zeit unentdeckt bleiben.  

Die Auswirkungen von Sicherheitstests des 21. Jahrhunderts

Eine bewährte Lösung für diese Herausforderungen ist die Zusammenarbeit mit ethischen Hackern zusätzlich zu einem Standard-Penetrationstest. Unternehmen können sich auf die Expertise dieser vielen Menschen verlassen, wenn es um die kontinuierliche Durchführung ihrer Sicherheitstests geht. Ein Bug-Bounty-Programm ist eine der gängigsten Möglichkeiten für die Zusammenarbeit mit ethischen Hackern.

Was ist ein Bug-Bounty-Programm? 

Durch Bug-Bounty-Programme können Unternehmen proaktiv mit ethischen Hackern zusammenarbeiten, die durch Anreize Bugs melden. Oftmals starten und verwalten Unternehmen ihr Programm über eine Bug-Bounty-Plattform, wie z. B. Intigriti.

Unternehmen mit einem hohen Sicherheitsgrad können ihr Bug-Bounty-Programm für alle ethischen Hacker/-innen der Community zugänglich machen (ein so genanntes öffentliches Programm). Die meisten Unternehmen arbeiten jedoch zunächst mit einem kleineren Pool von ethischen Hackern im Rahmen eines privaten Programms.

Wie Bug-Bounty-Programme kontinuierliche Sicherheitsteststrukturen unterstützen

Auch, wenn Ihnen nach einem Penetrationstest bescheinigt wird, dass Ihr System sicher ist, kann diese Sicherheit schon nach dem nächsten Update eingeschränkt sein. Dies ist der Punkt, an dem Bug-Bounty-Programme eine sinnvolle Ergänzung zu Pentests darstellen und ein kontinuierliches Sicherheitstestprogramm ermöglichen.  

Die Auswirkungen von Bug-Bounty-Programmen auf die Cybersicherheit

Mit der Einführung eines Bug-Bounty-Programms werden für Unternehmen folgende Dinge möglich:

  1. Robusterer Schutz: Daten, Marke und Ruf des Unternehmens sind durch kontinuierliche Sicherheitstests zusätzlich geschützt. 
  2. Erreichen von Geschäftszielen: Verbesserte Sicherheitsvorkehrungen, die zu einer sichereren Plattform für Innovation und Wachstum führen. 
  3. Verbesserte Produktivität: Verbesserter Workflow mit weniger Unterbrechungen bei der Verfügbarkeit von Diensten. Mehr strategische, von den Führungskräften priorisierte IT-Projekte und weniger Brandherde in der Sicherheit, die gelöscht werden müssen.  
  4. Bessere Verfügbarkeit von Fachkräften: Interne Sicherheitsteams verfügen durch die Nutzung einer Community für Sicherheitstests und die Behebung von Schwachstellen über mehr Zeit. 
  5. Eine klarere Begründung des Budgets: Die Möglichkeit von aussagekräftigeren Einblicken in den Sicherheitsstatus des Unternehmens stellt die Rechtfertigung und die Motivation für ein angemessenes Sicherheitsbudget dar. 
  6. Verbesserte Beziehungen: Projektverzögerungen verringern sich erheblich, ohne dass auf herkömmliche Pentests zurückgegriffen werden muss. 

Möchten Sie mehr über die Einrichtung und den Start eines Bug-Bounty-Programms erfahren?

Intigriti ist die führende europäische Plattform für Bug Bounty und ethisches Hacking. Mit Hilfe der Plattform können Unternehmen das Risiko eines Cyberangriffs verringern, indem die Intigriti Community von ethischen Hackern die digitalen Assets von Unternehmen kontinuierlich auf Schwachstellen überprüft.  

Wenn dieser Artikel Ihr Interesse geweckt hat und Sie mehr über Bug-Bounty-Programme erfahren möchten, vereinbaren Sie noch heute einen Termin mit einem/einer unserer Expert/-innen oder treffen Sie uns persönlich auf der ITSA! Kontakt zu den Expert/-innen von Intigriti

 www.intigriti.com

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.