TÜV Rheinland: Viele IT-Sicherheitsfachleute mit gravierenden Wissenslücken

Köln, 31.08.2020 (PresseBox) – Ein Viertel aller IT-Sicherheitsfachleute weiß nicht, was ein Penetrationstest ist oder ob ihre Organisation einen solchen Sicherheitscheck in der IT bereits hat durchführen lassen. Weitere 37 Prozent sind sicher, dass eine solche Sicherheitsanalyse in ihrer IT noch nicht durchgeführt worden ist. Lediglich 39 Prozent der Fachleute wissen, dass ein Penetrationstest im Unternehmen ausgeführt wurde. Das ist das Ergebnis einer aktuellen Umfrage des Marktforschungsinstituts Civey im Auftrag von TÜV Rheinland unter 1.000 IT-Sicherheitsfachleuten. „Unserer Ansicht nach ist es ein erschreckendes Ergebnis, dass fast 17 Prozent der IT-Fachleute solche Penetrationstests überhaupt nicht kennen“, sagt Dr. Benedikt Westermann, Experte für Cybersecurity-Testing bei TÜV Rheinland.
Die Umfrage zeige ferner, dass sich auch heute noch viele Firmen nicht bewusst sind, wie groß die Gefahr eines Hackerangriffs auf das eigene Netzwerk ist und welchen wirtschaftlichen Schaden dies nach sich ziehen kann – zumal meist Wochen oder oft Monate vergehen, bis Unternehmen bemerken, dass sie bereits Opfer einer Cyberattacke geworden sind.
Verlässliche Penetrationstests: was steckt dahinter?
In einem Penetrationstest wird eine Cyberattacke simuliert. Dies geschieht, um die Schwachstellen in der digitalen Unternehmensinfrastruktur aufzudecken, diese zu beheben und so das Kapern von Servern – etwa durch das Aufspielen von Ransomware – zu verhindern sowie Datenklau oder gar Industriespionage vorzubeugen. Je mehr Mitarbeitende mobil oder von zu Hause aus arbeiten und auf das Firmennetzwerk zugreifen, desto wichtiger ist das Bewusstsein um IT-Risiken und die Entwicklung richtiger Schutzmaßnahmen.
„Entscheidend ist, auf ebenso vertrauenswürdige wie erfahrene Testing-Experten zurückzugreifen. Ein scheinbar günstiges Angebot ist nicht immer zielführend, da hier oft nur stichprobenartig und oberflächlich getestet wird. So ist der Kunde hinterher nicht wirklich schlauer“, weiß Dr. Westermann.
TÜV Rheinland führt bereits seit mehr als 20 Jahren Penetrationstests in Unternehmen und Institutionen durch und verfügt über ein großes Team von Fachleuten mit unterschiedlichen Spezialisierungen. Diese nehmen die gesamte IT eines Unternehmens – von Applikationen über Infrastrukturen bis hin zu eingebetteten Systemen – unter die Lupe. „Dass nur eine Handvoll Mitarbeitender sämtliche IT-Bereiche abdecken kann, ist nicht möglich. Die Teams müssen breit aufgestellt sein“, ergänzt der Fachmann. Nach den erfolgten Tests werden die Ergebnisse ausführlich mit den Kunden besprochen und darüber beraten, welches Schutzniveau das Unternehmen benötigt.
Hack-Box ermöglicht Tests aus der Ferne
Besonders praktisch: Zur Durchführung eines Penetrationstests müssen die IT-Fachleute von TÜV Rheinland nicht zwangsweise vor Ort sein. Sie haben ein neues Instrument entwickelt, mit dem IT-Systeme verlässlich und schnell auch aus der Ferne auf Cybersicherheit getestet werden können: die sogenannte Hack-Box. Dies ist ein speziell konfigurierter und geschützter Computer, der an Unternehmen gesendet wird. Ist die Hack-Box installiert, wählen sich die Cybersecurity-Experten in das Unternehmensnetzwerk ein und starten einen simulierten Hackerangriff. Die Testergebnisse werden im Anschluss als digitaler Bericht an das Unternehmen übermittelt und gemeinsam analysiert.
Informationen stehen unter www.tuv.com/fscs-de zur Verfügung.

Unternehmen: TÜV Rheinland