Praxisbezug
Bei der Durchführung eines internen Penetrationstests wird den Testern ein Zugang zu dem lokalen Netzwerk des Unternehmens gestattet. Dieser erfolgt meist vor Ort oder coronabedingt durch einen VPN-Zugang mit Verbindung zu einer der Netzwerkzonen, mit denen Mitarbeiter-PCs verbunden sind. Durch den direkten Einblick in die interne Netzwerkinfrastruktur spüren die @-yet Resulter Schwachstellen auf und dokumentieren diese in einem eigens dafür angelegten Ergebnisbericht. Jede Schwachstelle wird auf ihre Kritikalität hin eingeschätzt und mit einer Einstufung versehen. Mithilfe dieser Einstufung lassen sich die Schwachstellen später priorisieren und in angemessener Zeit beheben. Abgeschlossen wird das Assessment durch eine Präsentation oder einen Workshop, in denen die gefundenen Schwachstellen erläutert sowie Rückfragen aus der Geschäftsleitung und aus der IT beantwortet werden können.
Gesetzliche Regelung
- Bei Penetrationstests wird im Allgemeinen nicht zwischen der Durchführung remote oder vor Ort unterschieden.
- Penetrationstests sind grundsätzlich nur dann rechtmäßig, wenn das Einverständnis beider Seiten explizit vorliegt.
- Die gleichen gesetzlichen Vorgaben und Einschränkungen, die für externe Penetrationstests gelten, sind auch bei Penetrationstests vor Ort (intern) relevant.
- Für Behörden wird nach dem Koalitionsvertrag ein regelmäßiger Penetrationstest wahrscheinlich zur Pflicht.
Warum ist das für die Geschäftsführung wichtig?
Interne Penetrationstests verschaffen Unternehmen einen realistischen Überblick über das Qualitätsniveau der technischen Infrastruktur und der Prozesslandschaft. Wie leicht wird es einem potentiellen Angreifer gemacht, tiefer in die internen Unternehmensnetze und -systeme einzudringen? Mit welchen Maßnahmen kann das Sicherheitsniveau nachhaltig wirksam verbessert werden?
Der interne Penetrationstest beantwortet diese Fragen und ermittelt Quick Wins (schnelle Resultate mit wenig Aufwand) sowie mittel- und langfristige Maßnahmen.