Penetrationstest oder Pen-Test zur Analyse eines potenziellen Cyberangriffs und seiner potenziellen Schwachstellen für die Datenbank
Foto: iStock / Piscine

Schwachstellenmanagement

Attacken gegen das eigene IT-Netz

Das Testen auf Schwachstellen ist angesichts der Bedrohungslage eine andauernde Aufgabe für Unternehmen. Die Automatisierung des oft aufwendigen Penetration Testing kann den Takt deutlich beschleunigen. Auch das interne Sicherheitsbewusstsein sollte damit überprüft werden.

Von Daniela Hoffmann
· 2023
Technologie | Dein WissensportalDigitale WeltIT-Sicherheit & DatenschutzWissenswert

„Angriff ist die beste Verteidigung“ lautet ein altes Sprichwort. Im Umfeld der Cybersecurity trifft es allemal zu: Hier geht es allerdings darum, mittels Penetrationstests (Pentests) die eigene IT-Landschaft selbst zu attackieren. Ziel ist es, die Schwachstellen zu finden, die Cyberkriminelle für ein Eindringen nutzen könnten. Laut IT-Sicherheitsexperten ist es wichtig, dass die Tests regelmäßig und möglichst automatisiert stattfinden. Denn auch kriminelle Organisationen nutzen Automatisierung für ununterbrochene Attacken. Untersuchungen weisen jedoch darauf hin, dass die Mehrzahl der Unternehmen nur halbjährlich oder jährlich auf die Jagd nach Schwachstellen geht. Ein Grund besteht darin, dass Pentests relativ teure und aufwendige Verfahren sind, die häufig an den Zeitressourcen der IT-Abteilungen scheitern. Abhilfe können automatisierte Lösungen schaffen, mit denen beispielsweise wöchentlich ein Pentest erstellt und durchgeführt werden kann. Dessen Ergebnisse fließen in ein Security-Audit ein. Mit dem wachsenden Einsatz von IoT-Geräten und mobilen Devices erweitert sich der Scope für die Schwachstellensuche weiter – und mithilfe der Automatisierung können immer mehr mögliche Angriffspunkte geprüft werden.

Chatbots unterstützen bei der Fehlersuche

Neben der Automatisierung können auch KI-Technologien wie ChatGPT den Sicherheitsverantwortlichen wertvolle Unterstützung leisten. Denn der Chatbot ist im Umfeld von Programmiersprachen besonders gut trainiert. Viele IT-Worker nutzen ihn, um sich Vorschläge für Problemlösungen beim Entwickeln von Software machen oder mögliche Fehlermeldungen erklären zu lassen. So werfen Analysen des Chatbots auch ein Licht auf potenzielle Fehler in der Programmierung. Das ist wichtig, denn viele Schwachstellen entstehen erst durch Softwarefehler.

Darüber hinaus eignen sich Pentests auch, um das interne Sicherheitsbewusstsein zu prüfen: Wie leicht lassen sich beispielsweise Mitarbeitende von Phishing Mails oder Social-Engineering-Versuchen wie vermeintlichen Bildanhängen oder Paketempfangsbestätigungen in die Irre führen.

Schon gewusst?

Bisher dienten Schreibfehler und obskure Formulierungen innerhalb einer E-Mail als Warnhinweise auf Ransomware. Doch auch die Kriminellen machen sich KI zunutze. Künftig werden sie wohl ihre Anschreiben mit den sprachlichen Fähigkeiten von Anwendungen wie ChatGPT erstellen. Damit werden solche E-Mails für Mitarbeitende nicht mehr so leicht zu identifizieren sein. In der Folge wird es also noch wichtiger, die Awareness in der Belegschaft wieder aufzufrischen.
Erschienen in

IT-Sicherheit

am 17. Juli 2023 in „Frankfurter Allgemeine Zeitung“
KI-Gleichgewicht des Cyberschreckens Seit Künstliche Intelligenz als digitales Werkzeug im Internet verfügbar ist, ist der Kampf von kriminellen Hackern gegen Sicherheitsanbieter in eine neue Phase eingetreten. Die Geschwindigkeit von Attacken und deren Treffsicherheit haben noch einmal...
Jetzt anfordern