Pentesting beschreibt das detaillierte Überprüfen einer Software oder eines Webservice auf Sicherheitslücken. Dabei werden in vielen Fällen die Tools von Hackern benutzt, aber in den letzten Jahren haben Spezialisten auf diesem Feld sogar eigene Betriebssysteme für diesen Zweck zusammengestellt.
Ist Pentesting einfach nur legales Hacken?
Nein, dieser Vergleich greift zu kurz. Bei einem Hack versucht man eine Schwachstelle zu finden, die man ausnutzen kann, um einem Unternehmen zu schaden, Informationen zu erbeuten oder Geld zu stehlen. Dabei muss ein Hacker nur so lange eine Schwachstelle im System suchen, bis er diese gefunden hat. Danach kann der Raub durchgeführt werden und der „Job“ des Hackers ist zu Ende.
Dahingegen werden bei einem Penetration Test systematisch alle bekannten Schwachstellen und Lücken, die man kennt, überprüft, um sicherzustellen, dass diese geschlossen sind. Die Arbeit eines Pen-Testers endet also nicht, sobald eine Lücke gefunden wurde, sondern geht weit darüber hinaus. Außerdem werden in den meisten Fällen periodisch immer neue Pen-Tests durchgeführt, da sich Systeme verändern und auch ständig neue potenzielle Schwachstellen gefunden werden, die es zu überprüfen und schließen gilt.
Vorteile von Pentesting
Ein Pentest bietet einem Unternehmen mehrere Vorteile. Der offensichtlichste Vorteil ist die hohe Sicherheit. Mit einem routinierten und standardisierten Vorgehen bleibt das System oder die Plattform immer auf dem aktuell sichersten Stand, da auch neue Sicherheitslücken, die von anderen Securityexperten gefunden wurden, schnell geschlossen werden. In vielen Branchen, die mit besonders sensiblen Daten arbeiten, wie zum Beispiel Fintechs oder Behörden, ist dies sogar ein gesetzlich vorgeschriebenes Muss.
Aber auch wenn ein Unternehmen nicht solchen Vorgaben unterliegt, ist Vorsicht stets besser als Nachsicht. In vielen Fällen können Unternehmen für entstandene Schäden haftbar gemacht werden, wenn persönliche Daten gestohlen und für einen Betrug genutzt wurden.
Obendrein kann es bei Sicherheitslücken zu Bußgeldern kommen, die schnell mehrere Zehntausend-Euro betragen können. Pentesting kann ein Unternehmen vor solchen Schäden bewahren. Außerdem ist die Sicherheit für viele User heute ein besonders wichtiger Punkt, sodass Plattform Penetrations Tests als wirksames Verkaufsargument erwiesen hat.
Pentesting als Vorbeugung gegen Schäden
Oft denken Unternehmen, dass Pentesting im Prinzip gut klingt, aber viel zu teuer ist und den Aufwand aus diesem Grund nicht rechtfertigt. Allerdings darf man Pentesting in einem Unternehmen nicht wie einen Aktivposten betrachten, sondern muss viel mehr an eine Versicherung denken. Eine Versicherung kostet erst einmal augenscheinlich Geld, ohne direkt Gewinn zu erwirtschaften, reguliert aber Schäden und schüttet quasi auf diese Weise den Gewinn aus.
Auch ein Pentesting schüttet Gewinn indirekt durch verhinderte Kosten und Schäden aus. Neben den weiter oben erwähnten Bußgeldern, die damit abgewendet werden können, sollte man auch einmal an Schäden durch Produktionsstillstand denken. Denn, wenn ein Unternehmen keinen Gewinn erwirtschaften kann, entstehen sehr schnell sehr hohe Kosten. In der Vermeidung solcher Schäden liegt der Gewinn des Pentestings.
Vorurteile & falsche Annahmen
Pentesting kann nur von ehemaligen Hackern durchgeführt werden: Diese Annahme ist falsch. Heute gibt es schon eigene Studiengänge zu diesem Thema, so wie sehr viele gute Weiterbildungen für Fachinformatiker und IT-Angestellte. Sich in diesem Feld weiterzubilden ist heute so einfach wie nie zuvor.
Hacking ist immer illegal: Nein. Im Falle eines Penetration Tests wird oft „gehackt“ allerdings erfolgt dies im Auftrag und im Wissen des Unternehmens und es finden somit keine kriminellen Tätigkeiten statt. Auch wird nicht mit der Absicht Gewinn zu erzielen „gehackt“.
