Wie sicher ist sicher? Lassen Sie sich hacken! Nutzen eines Penetrations-Tests.

Hat für Sie, trotz aktueller Fokussierung auf künstliche Intelligenz, Cloud- und Standardorientierung oder ähnlichem, die IT-Sicherheit weiterhin einen hohen Stellenwert? Wir dürfen das rentable Geschäftsmodell der Hacker nicht vergessen. Selbst wenn es nicht mehr im selben Masse und derselben Relevanz in den Medien mitgeteilt wird, bestehen unverändert viele Angriffe durch «unerwünschte Personen».

 

von Patrick Seliner

Fast alle von uns erfüllen oft selbstverständlich die üblichen Anforderungen an Sicherheit. Wir haben lange und komplexe Passwörter im Einsatz, verwenden Multifaktor-Authentifizierung für den Remote-Zugriff und das Personal wird regelmässig zu verschiedensten Themen der IT-Sicherheit geschult und geprüft. Letzteres im Rahmen von Online-Schulungen sowie Phishing-Tests. Bei vielen ist gemäss der Digital-Strategie, Sicherheit sehr wichtig und besitzt mindestens denselben Stellenwert wie Effizienz und Komfort in der Anwendung der Systeme sowie Sicherheits-Audits werden durchgeführt – dies eigenständig, durch im Internet verfügbare Checklisten oder allfällig auch durch Spezialisten.

Haben Sie jedoch auch schon Penetrations-Tests durchgeführt? Das heisst, «gute Hacker» beauftragt, ihr Netzwerk anzugreifen? Können wir Ihnen nur empfehlen – lassen Sie sich hacken!

Zu all den vorgängig aufgeführten und vielen weiteren Sicherheitsmassnahmen gehört auch ein solcher Test zu den Puzzle-Stücken einer guten IT-Sicherheit. Denn Hacker versuchen bei allen vorhandenen Sicherheitsmassnahmen Einfallstüren zu finden um in Ihrem Unternehmen die Kontrolle über das System zu erhalten. Die Erfahrung zeigt, dass manchmal trotz aller Massnahmen irgendwo eine kleine Lücke besteht. Was für Lücken können dies sein?

  • Aus Gründen eines effizienten Supports, wird das Administrationspasswort nicht regelmässig geändert (interner Administrator und/oder externer IT-Support).
  • Die meisten Geräte werden zwar im Netzwerk betreffend Anwendungssoftware und Betriebssystem permanent auf dem Laufenden gehalten, jedoch nicht alle. Der Hacker findet sicher diese Ausnahme.
  • Der mit dem ERP-System verbundene Webshop ist optimal für die Kundschaft ausgerichtet, jedoch unter Umständen hat man ihn auch schon einige Zeit nicht mehr technologisch auf die neuste Version (inkl. Sicherheitsfunktionen) nachgeführt.
  • Der Einfachheit halber gibt es verschiedene Service-User (z.B. für Schnittstellen zwischen Ihren Systemen) mit hohen Rechten. Zudem sind diese noch mit einem einfachen Passwort versehen.


Erfahrungsgemäss liegt es an kleinen Ausnahmen für spezielle Bedürfnisse, dem Zeit- und Kostendruck in der IT (interne Abteilung und externe IT-Betreuung), der «früheren» manchmal etwas offener – d.h. weniger auf Sicherheit bezogenen – Systemkonfiguration und vielen weiteren Kleinigkeiten. Diese Themen werden bei Audits gerne wohlwollend übersehen oder einfach vergessen, auch weil dies vielleicht ein anderer IT-Betreuer vor Jahren umgesetzt hat.


Dies wissen die Hacker und versuchen zielgerichtet solche Einzelfälle zu finden. Was nützten die ganzen umfangreichen und komplexen Sicherheitsmassnahmen, wenn nur eine Kleinigkeit aufgrund eines Versehens, eines Spezialfalles, eines vergessenen Themas usw. doch die Türe öffnet?


Lassen Sie sich hacken und auch solche Details aufzeigen und verbessern.

Interessiert?

Patrick Seliner thumb

 

Für ein unverbindliches Gespräch oder eine Digitalisierungsberatung steht ihnen Patrick Seliner gerne zur Verfügung.
Direkt +41 71 243 04 66, patrick.seliner@hsp-con.ch

Zurück