Was Penetrationstests erreichen können
Momentaufnahme
Ein Penetrationstest kann zwar typische Schwachstellen im Firmennetz aufdecken, ist aber kein Allheilmittel. Welche Erkenntnisse diese Einbruchssimulationen wirklich bringen, hängt von verschiedenen Randbedingungen ab.
Bei einem Penetrationstest beauftragt ein Unternehmen professionelle Angreifer, in sein Netzwerk einzudringen. Kurz gesagt: Es bezahlt dafür, gehackt zu werden. Oftmals erwartet der Auftraggeber, dass dadurch alle Schwachstellen in der eigenen Verteidigung entdeckt werden und man sie danach schließen kann.
Die Erwartungen der Firmen unterscheiden sich drastisch, abhängig vom schon vorhandenen Sicherheitslevel. Es gibt Unternehmen, die im Rahmen von Zertifizierungen wie PCI DSS und ISO 27001 oder aufgrund eines ausgereiften und mehrschichtigen Sicherheitskonzepts Einbruchstests durchführen lassen. Die Vorstellungen dieser Unternehmen sind relativ realistisch.