Wie oft muss man Penetrationstests wiederholen?
Penetrationstests sollten regelmäßig durchgeführt werden, idealerweise mindestens einmal jährlich oder nach bedeutenden Änderungen an der IT-Infrastruktur.
Die Häufigkeit von Penetrationstests kann je nach Branche, regulatorischen Anforderungen und der Dynamik der IT-Umgebung variieren. Für Organisationen, die in hochregulierten Sektoren wie Finanzen oder Gesundheitswesen tätig sind, können häufigere Tests erforderlich sein. Zudem sollten Unternehmen nach jedem größeren Update der Systeme oder der Implementierung neuer Technologien einen Penetrationstest in Erwägung ziehen, um sicherzustellen, dass keine neuen Sicherheitslücken entstanden sind.
Pentest wiederholen: Mindestens ein Mal pro Jahr
Hier eine ehrliche Empfehlung auszusprechen fällt uns schwer. Fakt ist - IT-Sicherheit ist ein Prozess. Je häufiger man eigene Systeme prüft, desto sicherer werden sie. Das absolute Minimum sollte aber ein Mal pro Jahr sein - das ist das, was unserer Erfahrung nach viele Unternehmen durchführen und auch aus Kostengründen bevorzugen.
Halbjährliche oder gar quartalsweise Tests sind aber durchaus sinnvoll. Das gilt vor allem, wenn sich ein digitales System stark verändert hat. Das wird beispielsweise der Fall sein, wenn eine App einen Relaunch mit neuen Funktionen und auf Basis einer neuen Programmiersprache erhält. Auch die Bereitstellung einer neuen API-Version kann ein guter Grund sein, einen Penetrationtest zu wiederholen.
Bundesamt für Sicherheit in der Informationstechnik:
"Die gründliche Durchführung kann zwar einen erfolgreichen Angriff nicht völlig ausschließen, sie reduziert jedoch die Wahrscheinlichkeit für einen erfolgreichen Angriff beträchtlich. Die Wirkung eines Penetrationstests ist aber aufgrund der Weiterentwicklung im IT-Bereich relativ schnell vergänglich. Je höher der Schutzbedarf der Systeme, desto häufiger sollten Penetrationstests durchgeführt werden, um die Wahrscheinlichkeit eines erfolgreichen Angriffes auf einem für das Unternehmen akzeptablen Niveau zu halten."
IT ist dynamisch - das sollte die Penetrationstest-Strategie ebenfalls sein
Aus unserer Praxis wissen wir, dass IT-Systeme - sei es nun eine Webseite, eine mobile Applikation oder ein Netzwerk allgemein nie statisch sind. Sie ändern sich - mit unterschiedlicher Frequenz - manchmal gewollt, manchmal ungewollt. Unvorsichtige Mitarbeiter können schnell Sicherheitslücken öffnen, wo beim letzten Netzwerk-Penetrationstest nichts gefunden wurde. Ein nicht doppelt geprüfter Commit in Ihre Versionierungssoftware öffnet eine Schwachstelle, die ein Hacker ausnutzen könnte.
Schaut man sich aktuelle Geschehnisse an, so wird klar, dass man eigentlich nicht oft genug die IT-Sicherheit des eigenen Unternehmens testen kann.
Lassen Sie uns gemeinsam überlegen, was in Ihrem Fall am meisten Sinn macht.
Realitätscheck: Penetrationstests sind teuer und aufwendig
In der Theorie muss man ständig irgend etwas testen - realistisch ist das aber nicht. Es lohnt viel mehr zu überlegen, was wirklich wichtig ist, Prioritäten zu setzen und jährliche oder halbjährliche manuelle Penetrationstests durch Dienstleistungen, wie "Pentest as a Service" und/oder "Bug Bounty Programme" zu ersetzen. So kann das ohnehin knappe IT-Security-Budget effizienter eingesetzt werden. DSecured ist ein Pentest Anbieter, der dies für Sie leisten könnte.
Pentest as a Service als Alternative
DSecured bietet Pentest as a Service als sinnvolle Ergänzung zu den ohnehin notwendigen regelmäßigen Penetrationstests. Hierbei wird ein festes Zeitbudget festgelegt aus dem sich der Auftraggeber kontinuierlich bedienen kann, um kleine Änderungen zeitnah zu testen. Es findet eine sehr enge zusammenarbeit statt bei der man möglichst den Fokus auf den Test setzen will. In der Regel gibt es kein komplexes Reporting, sondern der Tester schreibt auf einem dafür festgelegten Kommunikationsweg, was er gefunden hat und inwiefern das ein Risiko ist.
Günstig, aber oberflächlich: IT Schwachstellenanalyse
Viel günstiger geht in der Regel auch noch eine IT Schwachstellenanalyse. Hierbei wird das Testobjekt mit Hilfe automatisierter Softwarelösungen geprüft - das kann täglich, wöchentlich oder monatlich passieren. Die ganz groben Fehler können so schnell gefunden werden, aber die Prüftiefe ist nicht besonders gut.
Eigenes Bug Bounty Programm aufsetzen
Ein eigenes Bug Bounty Programm hat sich ebenfalls ausgezeichnet bewährt. Hierbei muss klar definiert werden, wie viel Wert eine bestimmte Art von Sicherheitslücke hat. Großkonzerne setzen dieses Instrument gerne ein, um Sicherheitslücken kontinuierlich von ethischen Hackern suchen zu lassen. Die meisten der DSecured-Mitarbeiter sind in diesem Bereich tätig und suchen in ihrer Freizeit nach Sicherheitslücken in Unternehmensnetzwerken. DSecured hilft bei der Planung und Vorbereitung auf so ein Bug Bounty Programm!
Vulnerability Disclosure Policy
Speziell in Deutschland sieht man VDP noch recht selten. Hier gibt man ethischen Hackern die Möglichkeit eventuelle Funde sicher und ohne rechtliche Konsequenzen an Unternehmen zu melden. Im Vergleich zu richtigen Bug Bounty Programmen ist das Engagegemt hierbei geringer. Es lohnt sich aber über eine solche Policy nachzudenken.
IT-Sicherheit ist ein Prozess - es gibt keine korrekte Antwort
Wie eingangs gesagt: Es fällt uns schwer, eine klare Empfehlung auszusprechen. IT-Sicherheit ist ein Prozess und das bedeutet, dass die Frequenz mit der Penetrationstests wiederholt werden sollten von vielen Dingen abhängt. Jährlich wird allgemein als das absolute Minimum genannt - aber auch hier würden wir sagen, dass ein Router, an dem es keine Veränderungen gab, nicht unbedingt jährlich getestet werden sollte. Gesetzliche Anforderungen (PCI DSS, ISO 27001), Deployment-Strategien, Relaunches, der Schutzbedarf und viele andere Aspekte sind für die Beantwortung dieser Frage von Relevanz. Kontaktieren Sie uns einfach, dann können wir unsere Meinung zu Ihrem Fall abgeben.
Penetrationstest anfragen