Homogene Großrechnerstrukturen gehören der Vergangenheit an. Die heutigen dezentralen IT-Strukturen – zusätzlich durch die direkte Anbindung von Partnern und Kunden über das Internet verstärkt – sorgen täglich für neue Sicherheitslücken und Fehlfunktionen, die Software-Hersteller mal schneller, mal langsamer beheben. Für einige Programme wird der Support gar komplett eingestellt, weshalb man einzig mit einem Verzicht auf selbige auf der sicheren Seite ist. Firewalls und Antivirenscanner ermöglichen es zwar, viele Schwachstellen vor externen Angriffen schützen, doch neue Lücken können diesen Sachverhalt schnell ins Gegenteil umkehren. Auch Sicherheits-Scanner sind ein nützliches Werkzeug, für komplex vernetzte Systeme letztendlich aber nicht ausreichend.
Hier spielt ein Penetrationstest seine Stärken aus: Zum einen geht er bei der Überprüfung der Systeme wesentlich mehr ins Detail als ein gewöhnlicher Sicherheits-Check, zum anderen ist es die elementare Zielsetzung bei einem solchen Test, das Zusammenspiel der einzelnen Komponenten zu überprüfen. Zieht man einen externen Tester für den Pen-Test hinzu, gewinnt man außerdem eine zusätzliche Meinung und eine andere Sicht auf das zugrundeliegende Sicherheitskonzept. Professionelle Penetrationstester sind speziell geschult und gehen ähnlich vor, wie es auch ein Angreifer tun würde. Die Ergebnisse zeigen Ihnen oftmals Schwachstellen in Ihrem Netzwerk auf, die Sie ansonsten wahrscheinlich niemals entdeckt hätten.
Die Zusammenarbeit mit einem externen Tester ist allerdings auch mit einem gewissen Risiko verbunden. Sie müssen davon ausgehen, dass selbiger während der Ausführung Einsicht in Interna bekommt. Ferner besteht immer die Möglichkeit, dass der Penetrationstest Schäden verursacht, die Sie im Nachhinein nicht mehr beheben können – auch, wenn Sie den Test persönlich durchführen. Zudem haben die Pen-Tests gegenüber anderen Sicherheitsmaßnahmen, die rund um die Uhr im Hintergrund laufen, den Nachteil, dass sie lediglich eine Momentaufnahme Ihrer Netzwerksysteme liefern. Aus diesem Grund sollten Sie eine Sicherheitsstruktur, die auf Basis eines Penetrationstests optimiert wurde, niemals zum Anlass für den Verzicht auf gängige Abwehrmaßnahmen nehmen.
Im Übrigen zählt das sogenannte Social Engineering nicht zu den Risiken, die ein klassischer Penetrationstest überprüft. Viele Dienstleister bieten die Überprüfung dieser menschlichen Sicherheitslücken in Unternehmen inklusive spezieller Schulungen aber optional an. Weitere Informationen zu diesem Thema finden Sie im folgenden Ratgeber.