Penetrationstests vs. Sicherheits-Scans: Was ist der Unterschied und was braucht dein Unternehmen?

Hundertprozentige IT-Sicherheit gibt es nicht - diese bittere Erfahrung musste ein Westschweizer KMU Anfang des Jahres am eigenen Leib machen. Innerhalb weniger Stunden wurde die Netzinfrastruktur des Unternehmens komplett durch die Erpressersoftware Akira übernommen. Erst nach mehreren Wochen, in denen die Produktion komplett stillstand, konnte der Betrieb nach der Zahlung des geforderten Lösegelds wieder aufgenommen werden. Möglicherweise denkst du jetzt: Tja, da hat sich mal wieder jemand nicht genug mit Cybersecurity beschäftigt. Doch genau das Gegenteil ist der Fall. Untersuchungen ergaben, dass das betroffene Unternehmen zu den am besten geschützten in der ganzen Schweiz gehörte - trotzdem reichte den Hackern eine einzige Schwachstelle, um sich Zugang zu verschaffen. Deshalb ist es so wichtig, dass du nicht nur in die IT-Sicherheit deines Unternehmens investierst, sondern regelmässig gezielt nach Schwachstellen suchst. Wie das mithilfe von Penetrationstests und Sicherheitsscans für KMU funktioniert, erfährst du hier.

Was ist ein Penetrationstest – was ein Schwachstellenscan?

Penetrationstests und Schwachstellenscans gehören zu den IT-Sicherheit Tests für KMU. Beide wollen Schwachstellen in der IT-Infrastruktur deines Unternehmens aufdecken, allerdings mit verschiedenen Methoden.

Sicherheits- oder Schwachsstellenscans für Unternehmen gehören zu den automatisierten Sicherheitsprüfungen. Das bedeutet, sie laufen automatisch ab und prüfen, ob das IT-System deines KMUs eine bekannte Sicherheitslücke aufweist. Im Internet findest du zahlreiche Open-Source-Tools, die Sicherheitsscans kostenlos durchführen, beispielsweise w3af. Mit diesem Programm kannst du unter anderem Plugins und Skripte für deine Zwecke erstellen und dann ausführen lassen.

Penetrationstests oder Pentests hingegen gehen gezielter auf dein individuelles Unternehmen ein. Ein Spezialist versucht dabei, wie ein Hacker vorzugehen und deine Systeme zu knacken. Gelingt es ihm, nutzt er das aber natürlich nicht aus, sondern gibt dir stattdessen Tipps, wie du diese Sicherheitslücke schliessen kannst.

Penetrationstests vs. Sicherheits-Scans sind demnach wie ethisches Hacking vs. Audit - beide wollen Schwachstellen aufdecken, gehen dabei aber mit unterschiedlicher Aggressivität vor. Deshalb besteht auch bezüglich der Kosten ein deutlicher Unterschied zwischen Pentests und Schwachstellenscans. Während es für Sicherheitsscans Open-Source-Tools gibt, musst du für einen Pentest mit Kosten in Höhe von 5.000 CHF und mehr rechnen.

Welche Schwachstellen gefährden die IT-Sicherheit von KMU besonders häufig?

Eine Schwachstellenanalyse für KMU findet besonders häufig eine der folgenden Sicherheitslücken:

• Nachlässiges Patch-Management, das bedeutet, Softwares und Anwendungen werden nicht regelmässig aktualisiert. Dadurch verzichten Unternehmen auf nachträgliche Sicherheits-Updates des Herstellers.
• Nachlässiger Passwortschutz, das bedeutet, grundlegende Regeln für die Passwortsicherheit werden nicht berücksichtigt.
• Intransparenz, das bedeutet, Zuständigkeiten sind nicht eindeutig verteilt. Häufig fühlt sich dann niemand für die Durchführung von Updates oder andere Sicherheitsmassnahmen zuständig und Sicherheitslücken entstehen.

IT Sicherheit-Tests sind für KMU also ganz besonders wichtig - zum einen, weil kleine Unternehmen in der Regel nur ein begrenztes Budget für ihre Cybersecurity haben und deswegen häufig abwägen müssen, in welche Massnahme sie investieren. Zum anderen wird die gesamte IT-Infrastruktur in KMU oft nebenbei mitbetreut - im Gegensatz zu Grosskonzernen, wo es eigene IT-Abteilungen gibt, die sich mit nichts anderem beschäftigen. Ein Pentest oder ein Schwachstellenscan für Unternehmen setzt genau hier an und deckt auf, wo KMU noch nachbessern müssen. Das Budget kann danach zielgerichtet eingesetzt werden, um Sicherheitslücken zu schliessen.

Die Frage ist deshalb nicht: Benötige auch ich einen Penetrationstest oder einen Sicherheitsscan für mein KMU? Sie lautet vielmehr: Welcher Test ist für mein Unternehmen sinnvoller und wie häufig sollte ich solche Tests durchführen lassen? Im Idealfall kombinierst du dabei beide Varianten: Automatisierte Sicherheitsprüfungen kannst du in regelmässigen Abständen, etwa alle vier bis zwölf Wochen, zur allgemeinen Überprüfung deiner Netzwerke nutzen. Ungefähr einmal im Jahr ist zusätzlich ein Pentest sinnvoll, bei dem deine Cybersecurity richtig auf den Prüfstand kommt. Über jede gefundene Schwachstelle darfst du dich dabei freuen, denn dabei handelt es sich um eine Sicherheitslücke, die du schliessen kannst, bevor Hacker sie nutzen können.

Wie viel Budget benötigen KMU für Cybersicherheit?

Wie schon erwähnt ist das Budget, das für IT-Sicherheit zur Verfügung steht, in vielen KMU eher schmal. Doch das bedeutet nicht, dass du auf Cybersecurity verzichten musst. Immer mehr Unternehmen stellen Open-Source-Anwendungen kostenlos zur Verfügung, weil sie dazu beitragen möchten, Hackern den Zugriff auf Systeme so schwer wie möglich zu machen. Mit etwas Knowhow kannst du wesentliche Massnahmen für mehr Cybersicherheit sogar zum Nulltarif einrichten. Einige praktische Tools stelle ich dir im nächsten Abschnitt etwas genauer vor.

Mit mehr Budget lassen sich dann bereits aufwendigere Sicherheitsmassnahmen umsetzen. Sinnvoll ist unter anderem die jährliche Investition in einen Penetrationstest durch einen Fachmann, weil dieser eine detaillierte Schwachstellenanalyse für dein KMU erstellt, die wiederum die Grundlage für zukünftige Cybersecurity-Massnahmen darstellt. Bei diesen kannst du dann erneut auf kostenlose Tools zurückgreifen, sodass dein Budget nicht zu sehr belastet wird.

KMU mit sehr grosszügigem IT-Budget hingegen können über die dauerhafte Zusammenarbeit mit einem IT-Experten nachdenken. Dieser kümmert sich um Patches und Updates, führt Schwachstellenscans für dein Unternehmen durch und schlägt passende Tools vor, die die bestehende IT-Infrastruktur sinnvoll ergänzen. Dies ist die komfortabelste, aber auch die kostspieligste Lösung für KMU.

Welche Optionen zur Verbesserung der Cybersecurity gibt es?

Wenn du die IT-Sicherheit in deinem Unternehmen aufrüsten möchtest, hast du zwei grundsätzliche Optionen: Du kannst einen Profi beauftragen oder alles selbst in die Hand nehmen. Für den Profi spricht, wie schon erwähnt, die Einfachheit. Je nach Anbieter erhältst du für einen monatlichen Fixbetrag eine Rundum-Flatrate-Betreuung oder du bezahlst Einzelleistungen nach Bedarf. In jedem Fall inklusive ist das gute Gefühl, dass sich ein Experte um deine Cybersecurity kümmert. Bei der Wahl des Fachmanns solltest du einerseits nach seriösen Kundenbewertungen suchen, und andererseits auf die Arbeitsweise achten. Denn selbstverständlich kann auch ein Profi auf Open-Source-Tools zurückgreifen und so die Kosten für dich geringer halten.

Noch günstiger ist die DIY-Cybersecurity. Dabei unterstützen dich zahlreiche kostenlose Programme, die du für dein Unternehmen nutzen kannst. Einige Beispiele für nützliche Open-Source-Tools sind:

• Passwortmanager Proton Pass: Ein kostenloser Passwortmanager, mit günstigen Plänen für zusätzliche Funktionen aus der Schweiz
• Verschlüsselungsprogramm VeraCrypt: Mit diesem Programm können Dateien, Ordner und Festplatten auf Laptops, Mobilgeräten oder Rechnern verschlüsselt werden; zudem unterstützen Assistenten bei der Bedienung.
• Backup-Tool FreeFileSync: Dieses Programm erstellt auf Aufforderung Kopien von ausgewählten Laufwerken in einem separaten Ordner.
• Netzwerkanalyse-Programm Wireshark: Dieses Tool überwacht die Aktivitäten in einem Netzwerk.
• Firewall Portmaster: Das Tool zeigt ausgehende Verbindungen und ordnet sie ausführenden Programmen zu; so kann es dazu beitragen, Malware aufzudecken. Unter Mac OS gibt es als Alternative Little Snitch mit ähnlicher Funktionalität.

Du siehst: Mit etwas Einarbeitung kannst du dein IT-Netzwerk auch effektiv selbst gegen unerwünschte Zugriffe schützen.

Wie baust du Schritt für Schritt deine Cybersecurity auf?

Wenn du deine IT-Sicherheit selbst in die Hand nehmen möchtest, solltest du planvoll vorgehen. Überlege dir eine Strategie und setze diese dann Schritt für Schritt um. Ein Beispiel für einen solchen Plan sieht so aus:

• Schritt 1: Richte für alle Accounts als zusätzliches Sicherheitsverfahren die Zwei- oder Multifaktorauthentifizierung ein. Deine Mitarbeiter und du können sich dann nicht mehr nur per Passwort einloggen, sondern benötigen eine weitere Legitimation, beispielsweise einen automatisch generierten Code oder einen Fingerabdruck.
• Schritt 2: Lege Backups deines Netzwerks an. Ganz wichtig: Erneuere die Backups regelmässig und speichere sie ausserhalb des Netzwerks, damit sie im Fall eines Angriffs nicht mit infiziert werden (so passierte es dem Westschweizer KMU, von dem ich anfangs erzählt habe).
• Schritt 3: Besprich mit deinen Mitarbeitern aktuelle Passwortregeln. Sensibilisiere sie in diesem Zusammenhang allgemein für IT-Security und mach ihnen die Dringlichkeit des Themas bewusst.
• Schritt 4: Installiere einen Open Source Schwachstellenscan für Unternehmen, der regelmässig nach Sicherheitslücken sucht.

Wie bereiten sich KMU auf den Ernstfall vor?

Das Anfangsbeispiel zeigt: Egal, wie sehr du dich um die Cybersecurity deines KMU bemühst, einen Angriff kann man dennoch nie ausschliessen. Deshalb solltest du dich auch auf den Ernstfall vorbereiten. In einem Notfallplan notierst du, wer bei einem Angriff wofür zuständig ist, an wen sich wer zu welchem Zeitpunkt wendet und welche Schritte nacheinander zu erledigen sind. Das Westschweizer KMU musste sich für diese Überlegungen während des Worst-Case-Szenarios Zeit nehmen - und stellte schnell fest, dass scheinbare Ansprechpartner wie die Polizei gar nicht weiterhelfen können. Der Notfallplan und möglichst realistische Übungen sollen deshalb dabei unterstützen, im Ernstfall einen möglichst kühlen Kopf zu bewahren.

Fazit - IT-Sicherheit ist kein Hexenwerk!

Cybersecurity ist eines der brisantesten Themen unserer Zeit. Viele Unternehmer scheuen sich jedoch noch immer davor, sich intensiver mit IT zu befassen - ein Fehler, der sie teuer zu stehen kommen könnte. Gleichzeitig sind die Open-Source-Angebote in diesem Bereich umfangreicher denn je und ermöglichen damit wirklich jedem, sich effektiv gegen Angriffe zu schützen.

Willst du die IT-Sicherheit in deinem Unternehmen endlich so richtig angehen? Dann lass uns gemeinsam analysieren, wofür dein KMU noch Verbesserungspotenziale liegen. Wir stehen dir im Kampf gegen Cyberangriffe kompetent zur Seite!

Jetzt für mehr Sicherheit im Unternehmen sorgen

---

Quellenangaben:

• Tamedia Publikationen Deutschschweiz AG
• audius SE
• PC-WELT