Sicherheitslücken in IT-Systemen erkennen: So funktionieren Pentests

87 % der Unternehmen in Deutschland waren in den vergangenen zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen, so die Wirtschaftsschutzstudie 2025 des Bitkom. Und die Methoden der Angreifer sind vielfältig. Noch dazu stellen immer komplexer werdende IT-Landschaften Unternehmen und ihre Fachabteilungen vor zahlreiche Herausforderungen.

Administratoren fehlen oftmals Zeit und Geld, um das Kernproblem der IT-Sicherheit zu lösen: Während die Verteidiger alle Sicherheitslücken schließen müssen, reicht einem Angreifer gegebenenfalls eine einzelne nicht behobene Lücke – und die kann dann weitreichende Auswirkungen haben. Eine Möglichkeit, Sicherheitslücken aufzudecken, sind Penetrationstests (Pentests). 

Gefühlte vs. tatsächliche Sicherheit 

Bei Pentests schlüpfen die Secunet Experten in die Rolle eines Angreifers und suchen verwundbare Stellen in Unternehmensnetzen. So kann recht zuverlässig festgestellt werden, wie viele Schwachstellen tatsächlich vorliegen – und wie schnell auf diese reagiert werden sollte. In vielen Fällen deckt sich die gefühlte Sicherheitslage nicht mit der tatsächlichen Sicherheitslage. Pentester sind Experten darin, genau hinzusehen und Schwachstellen zu finden, die auf den ersten Blick verborgen bleiben. Ein ausgiebiger Pentest kann zudem dazu dienen, im Management Aufmerksamkeit für das Thema IT-Sicherheit zu schaffen und den Status quo zuverlässig darzustellen. Dies ist der notwendige erste Schritt, um Risiken zu reduzieren.

Der Faktor Mensch

Das Internet bleibt einer der größten Risikofaktoren für IT-Systeme. Angreifer aus der ganzen Welt können durch Sicherheitslücken oder Fehlkonfiguration von extern erreichbaren Systemen ins Netzwerk gelangen. Ein für Angreifer ebenfalls sehr attraktiver Angriffsweg sind Phishing-Mails, die den Benutzer dazu bringen, Fehler zu machen. Auch Hardware wird gern eingesetzt, beispielsweise bewusst platzierte USB-Sticks, die Malware direkt ins System übertragen.

Diese Angriffsmethoden nutzen die Schwachstelle Mensch aus. Dieser verfügt oftmals Fällen über weitreichende Berechtigungen, die die meisten internen Dokumente und Ressourcen zugänglich machen. Oft fehlt auch das Wissen um gängige Sicherheitspraktiken. So kann es vorkommen, dass ein herumliegender USB-Stick benutzt oder Laptops unversperrt verlassen werden. Dadurch werden verwundbare Stellen im System zugänglich – darunter fehlende Patches, schwache Passwörter, (nachträglich) vernetzte, weniger gehärtete Maschinen oder Sicherheitslücken in der IT und der Operational Technology (OT). 

Worauf es beim Pentest ankommt

Bei Secunet geht jedem Pentest das sogenannte Scoping voraus, bei dem abgesprochen wird, welche Systeme untersucht werden sollen. Dieses offene Gespräch mit den Unternehmensverantwortlichen, bei dem potenzielle Problemstellen erfragt werden, kann manchmal bereits Sicherheitslücken aufdecken. Prüfen können die Pentester im weitesten Sinne alles, was Strom braucht: von der klassischen Büro-IT bis zur OT, von Webadressen und mobilen Apps über Kraftwerks- und Fahrzeugtechnik bis hin zum Social Engineering, bei dem darüber hinaus auch die Rolle des Menschen untersucht wird. 

Auch Zusatzfunktionen von Programmen oder Websites, die den Arbeitsalltag erleichtern sollen, können leicht ein Sicherheitsrisiko sein. Gerade bei zunehmender Vernetzung zwischen IT und OT spielen Analysen in der Operational IT eine immer wichtigere Rolle. OT-Systeme sind häufig nicht oder nur in sehr aufwändigen Prozessen patchbar, was diese Geräte besonders anfällig macht.

Von der Momentaufnahme zur Lösung

Auch bei knappem Budget kann ein Pentest offene Sicherheitslücken und Risiken klar aufzeigen. Doch eine Diagnose ist noch keine Lösung, und eine Momentaufnahme gilt nächstes Jahr eventuell nicht mehr: Systeme bedürfen regelmäßiger Wartung und Schwachstellen sollten gewissenhaft und nachhaltig beseitigt werden. Regelmäßige Pentests legen somit den Grundstein für eine zuverlässige IT-Sicherheit.  

Weiterführende Informationen sind auf der Website von Secunet verfügbar.