Als Unternehmen professionelle Hacker engagieren?
Engagiert ein Unternehmen ein anderes Unternehmen mit professionellen Hackern hat dies einen Grund: Die Sicherheit des eigenen Unternehmens zu testen mit einem Penetration Test (kurz: Pentest). Bei einem Pentest kommen Methoden zum Einsatz, welche von echten Angreifern benutzt würden. Anhand solcher Methoden sollen eigene Schwachstellen im eigenen Unternehmen aufgedeckt werden.
Je nachdem, wie viele Informationen das Unternehmen den „Angreifern“ bereitstellt differenziert man zwischen der Black Box, White Box und Grey Box Penetration Methode.
Bei jedem Pentest muss mit dem Unternehmen zwingend eine Vereinbarung festgelegt werden. Darunter fällt die Art der Methode und was genau getestet werden darf. Andernfalls würde sich das andere Unternehmen strafbar machen. Weiterhin dürfen keine IT-Systeme getestet werden, welche nicht ausschließlich zum Unternehmen gehören. All diese Aspekte müssen im Vertrag detailliert festgehalten werden, damit dies später keine schwerwiegenden Folgen mit sich bringt.
Welche Ziele verfolgt ein Penetration Test?
Das primäre Ziel eines solchen Tests ist es Schwachstellen in Unternehmen aufzudecken in Bezug auf die technische Seite. Dafür werden diverse Szenarien der Penetration Test Firma durchgeführt und diese Maßnahmen ausführlich dokumentiert. In wie fern die Schwachstellen vom Unternehmen anschließend behoben werden, bleibt jedem Unternehmen selbst überlassen.
Je nach Art der Schwachstelle kann es schon ausreichend sein, wenn Personal geschult wird oder neue Systeme aufgespielt werden. Bei einem Großteil der Tests werden ebenso Social Engineering Tests durchgeführt. Dabei wird versucht an vertrauliche Informationen über Mitarbeiter zu gelangen. Anhand dessen kann geschaut werden, ob eine Schulung in dem Thema erforderlich ist.
Der Unterschied zwischen der IT-Infrastruktur und Webanwendungen
Der Pentest kann auf zwei verschiedenen Arten ausgeführt werden. Auf der IT-Infrastrukturebene und auf der Webanwendungsebene. Zu dieser Kategorie gehört u. a. der Test von diversen Servern, der Firewalls und den IT-Netzen. Bei solchen Tests muss stets darauf geachtet werden, dass dieser von einer seriösen Firma durchgeführt wird, wo sich keine schwarzen Schafe befinden.
Der Pentest für Webanwendungen umfasst alle Anwendungen innerhalb des Unternehmens, die über das Web verfügbar sind. Dies kann z. B. ein Webshop sein, welcher viele Kundendaten verwaltet. Dabei wird vor allem der Login auf Schwachstellen überprüft, aber auch der gesamte Ablauf und dem Design.