IT-Trends-Blog

IT-Trends-Blog

Opinions expressed on this blog reflect the writer’s views and not the position of the Capgemini Group

Mitarbeiter des Monats: unser Ethical-Hacker

Kategorie: Trend-Wende
So oder so ähnlich könnte es in Zukunft häufiger heißen, oder besser gesagt, sollte es. Angesichts zunehmender Digitalisierung und parallel steigender Cybersecurity-Risiken ist es an der Zeit aufzurüsten und seine IT-Landschaft auf potenzielle Schwachstellen überprüfen zu lassen. Penetrationstests sind ein gutes Mittel, um kontrolliert Schwachstellen in der IT-Landschaft zu identifizieren und zu beseitigen, die sonst eventuell von Hackern, Crackern oder anderen missbraucht werden. Zur Durchführung von Penetrationstests benötigt man jedoch vertrauenswürdige Spezialisten und solche Experten findet man nicht an jeder Straßenecke. Während in den USA oder in Großbritannien hinsichtlich Ethical Hacking bereits ein großer Pool an Fachleuten zur Verfügung steht, sieht es hierzulande wesentlich schlechter aus.

Darüber hinaus liefern Penetrationstests von Service-Anbietern immer nur Informationen über einen kleinen Ausschnitt der IT-Landschaft zu einer bestimmten Zeit.  Nur damit kein Zweifel aufkommt – solche Tests sind absolut sinnvoll und man sollte sie auch durchführen. Aber einige Tage nach der Überprüfung kann sich das System schon wieder verändert haben und jede Änderung kann neue Sicherheitslöcher in die IT-Landschaft reißen. Daher ist es ratsam regelmäßige Penetrationstests durchzuführen. Warum also nicht über ein eigenes Ethical Hacking Team nachdenken, wie es mein Kollege Veit Siegenheim vergangene Woche bereits angerissen hat?

Denn abgesehen von der Verfügbarkeit von Experten kennen die eigenen Mitarbeiter auch die eigenen Systeme besser oder haben zumindest eine größere Chance, sich über die Jahre in die Problematik einzuarbeiten. Darüber hinaus liefert der Service-Anbieter nach dem Test möglicherweise nur sein Ergebnisprotokoll ab und überlässt die Beseitigung der Schwachstellen Ihren IT-Mitarbeitern, die dann auf sich allein gestellt sind. Ein eigenes Hacking-Team hingegen könnte unterstützend mit Rat und Tat zur Seite stehen und außerdem Know-how transferieren.

Man sollte allerdings nicht von seinem Administratoren oder Software-Entwicklern verlangen, nebenbei auch noch zum Sicherheitsexperten zu werden. Sicherheitsüberprüfungen sind keine Aufgaben, die man so nebenbei erledigen kann. Der Prozess sollte einen einheitlichen Ansatz verfolgen und erfordert Ressourcen. Man braucht viel Fachwissen und muss sich permanent fortbilden und informieren, um mit den neusten Angriffsmethoden Schritt halten zu können. Ich habe selbst gestaunt, wie viel Neues und überaus Interessantes ich neulich auf einem Seminar gehört habe. Abgesehen von der Information über aktuelle Sicherheitslücken habe ich dort auch wieder neue Verfahren kennengelernt, um Schwachstellen zu finden und zu schützen.

Ein eigenes Hacking-Team hat noch einen weiteren Vorteil: Es lernt im Laufe der Zeit die Belegschaft kennen und kann auf diese Weise kontinuierlich mehr Sicherheitsbewusstsein aufbauen. Denn nach wie vor ist der Mensch eine der Hauptschwachstellen im Sicherheitssystem und selbst das italienische Unternehmen Hacking Team wurde angeblich deshalb ausgespäht, weil einer der Entwickler überaus triviale Passwörter verwendete. Da fragt man sich schon, warum ein Mitarbeiter eines Hacker-Unternehmens kein Bewusstsein für Passwort-Sicherheit hat.

Aber könnten Sie Ihre Hand dafür ins Feuer legen, dass das nicht auch bei Ihnen passiert? Wahrscheinlich nicht. Und kennen Sie die neusten Sicherheitslücken, die zwar schon bekannt, aber vom Software-Hersteller noch nicht geschlossen wurden? Und wäre es darüber hinaus nicht schön, wenn Schwachstellen nicht jahrelang von Hackern ausgenutzt werden könnten, weil es zu wenig Ethical Hacker gibt, die sie finden? Ich finde, dass sich allein schon deshalb die Investition in ein eigenes Hacking-Team lohnt. Was denken Sie?

Über den Autor

Ismet Gülkanat
Ismet Gülkanat
Seit seinem Informatikstudium verfolgt Ismet Gülkanat die Trends rund um die Informationssicherheit und ist stets auf der Suche nach neuen Methoden und Werkzeugen, um den stetig steigenden Sicherheitsanforderungen gerecht zu werden. Als Technologie-Experte von Capgemini beschäftigt er sich vor allem mit IT-Infrastruktur und Betriebsprozessen. Derzeit konzentriert er sich auf die Beratung von Unternehmen und unterstützt sie bei der Umsetzung von Sicherheitskonzepten.

Kommentar hinterlassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit einem * gekennzeichnet.