... und Ihre IT trägt Früchte!

Security Audits – Vernetzung ist gut, Sicherheit ist besser

Interne Vernetzung, komplexer Datenaustausch oder die ständige Verbindung mit dem Internet sind ein unglaublicher Gewinn für Unternehmen und Firmen. Die Schnelligkeit, in der dadurch mittlerweile gearbeitet werden kann, wäre vor einiger Zeit noch nicht denkbar gewesen. Um hochgradig produktiv zu sein und auf dem schnelllebigen Markt bestehen zu können, sind solche Strukturen unverzichtbar geworden. Doch gerade die digitale Vernetzung und Kommunikation birgt auch Gefahren. Durch die Zugänglichkeit und die digitale Verwaltung von Daten können diese auch deutlich einfacher abgegriffen werden. Das ist nicht nur bei sensiblen Inhalten ein Problem – schließlich sollten keine internen Unterlagen in die falschen Hände geraten. Um dieses Risiko zu minimieren, gibt es sogenannte IT-Sicherheitsaudits (Security Audits) im Bereich der IT-Security.

Die ISO/IEC 27001-Sicherheitsnorm – nur eine Empfehlung, keine Forderung

Damit mögliche Schwachstellen innerhalb eines IT-Systems gefunden und optimal bekämpft werden können, benötigt man eine fachmännische Risiko- und Schwachstellenanalyse. Dabei geht es einerseits um die Suche nach Sicherheitslücken und deren Schließung, andererseits aber auch um die Bestimmung von Best Practices, die die Verwaltung und Organisation innerhalb eines Systems optimieren sollen.

Die Management-Standards eines Security Audits, das in der Regel im Rahmen eines allgemeinen Qualitätsmanagements durchgeführt wird, sind international in der ISO/IEC 27001-Norm festgelegt. Allerdings sind diese Standards lediglich Empfehlungen und keine Forderungen, die erfüllt werden müssen, um dem Standard zu entsprechen und eine Zertifizierung zu erhalten.

Schritte eines Security Audits – Friendly Hacking als Angriffssimulation

Die Maßnahmen, die in den Bereich der Sicherheitsanalyse fallen, umfassen:

  • die Befragung der Belegschaft eines Unternehmens
  • Security Scans
  • die Überprüfung der Zugangsprotokolle bei Anwendungen und Betriebssystemen
  • die Analyse des physikalischen Zugangs zum System

Nicht selten werden bei Sicherheitsanalysen auch sogenannte Penetrationstests durchgeführt. Diese simulieren einen Hackerangriff und werden als friendly Hacking bezeichnet.

Jenes friendly Hacking kann man in drei verschiedene Typen aufteilen. Zum einen gibt es passive Hacker-Attacken. Hier geht es beispielsweise um die simulierte Ausweitung eines Botnets, sprich die Verwendung von Würmern, Viren und Trojanern, die automatisch versuchen, Schwachstellen eines Systems auszunutzen. Wenn es einer solchen Schadsoftware gelingt, in ein System einzudringen, können befallene Computer beispielsweise zum Versenden von Spam, als Datenspeicher für Schwarzkopien oder zum Ausführen von DDoS-Attacken missbraucht werden.

Benutzer-Spionage und Systemüberlastung

Zum anderen gibt es aktive Hacker-Attacken. Hierunter fasst man manuelle, also nicht automatisierte Angriffe, mit deren Hilfe beispielsweise sensible Daten gestohlen werden. Auch das Ausspionieren eines Nutzers mittels einer Backdoor fällt in die Kategorie der aktiven Hacker-Attacken.

Die dritte Variante, die im Rahmen des friendly Hacking simuliert wird, ist die der aggressiven Hacking-Attacke. Diese ist häufig politisch motiviert und soll in der Regel einen Systemausfall auslösen. Dies wird meist durch ein kurzes und ungewöhnlich hohes Adressieren einer Homepage erreicht. Denn so wird der Server des Systems vollkommen überlastet, wodurch dieser seine Arbeit beendet.

Mit Hilfe dieser Simulationen sollen möglichst alle Varianten von Angriffen auf ein System getestet werden, damit idealerweise jede Sicherheitslücke gefunden und behoben werden kann.

Die häufigsten Sicherheitslücken im Überblick

Und diese Sicherheitslücken können vielfältig sein. Laut des US-amerikanischen Herstellers von Antivirus- und Computersicherheitssoftware McAfee sind die häufigsten Sicherheitslücken

  • sporadisch konfigurierte Router, Firewalls und Webserver
  • deutlich zu einfache Passwörter
  • mangelnde Kompetenzen innerhalb eines Unternehmens
  • fehlende Sicherheitskonzepte und fahrlässiger Umgang mit sensiblen Daten
  • die seltene Durchführung von Updates
  • schlechte Programmierkonzepte
  • die Verwendung unsicherer Dienste
  • die Verwendung von schlecht entwickelten Anwendungen

Egal, welche Sicherheitslücken es am Ende sind – regelmäßige Sicherheitsaudits sind für Betreiber einer IT-Landschaft unverzichtbar.

Mehr Informationen zum Security Audit:

Verwandte Artikel auf netzorange zum Thema Security Audit:

Kontakt


* Pflichtfeld
Rückruf


* Pflichtfeld
Termin


* Pflichtfeld