Sicherheitstest - ist das was wirklich für mich?
Viele meiner Kunden fragen mich, ob sie überhaupt einen Sicherheitstest bzw. einen simulierten Angriff benötigen oder können sie sich das Geld sparen?
Fakt ist, dass ein Sicherheitstest Lücken in der Integration und Funktionsweise von IT-Geräten und Software aufdecken kann. Diese können dann sofort behoben werden, bevor die “bösen Buben” kommen und diese ausnutzen.
Aber braucht man so etwas wirklich?
Nun, wenn Du Selbstständiger bist oder eine Firma hast dann ist die Antwort: “Du solltest darüber nachdenken”.
Denn wie es eben so ist, die Computerhardware hast Du ausgesucht und erworben, das Gleiche gilt für Software, noch eine Firewall, NAS und Antivirusprogramm dazu - fertig ist Dein Netzwerk! Darauf kommt vielleicht noch ein Server, welcher Ressourcen zur Verfügung stellt - da dies kompliziert war, hast Du Dir Hilfe im Netz und auf Youtube gesucht und auch gefunden. Weiter geht es mit allen Berechtigung - ob auf Deinem NAS oder Server. Buhh, alles funktioniert jetzt einwandfrei. Auch Deine Homepage ist endlich nach vielen Stunden fertig und kann online gehen. Einige Plugins waren von Nöten, um Dir die Funktionen zu geben welche Du haben wolltest. Backup auf Deinem NAS und noch außerhalb Deines Büro werden erstellt und können Dich bei Verlust eine hilfreiche Ressource sein.
Backup für Deine Webseite - ist nicht so wichtig - ist ja eh nur eine Standardseite, auf welcher sich nichts ändern wird…. bis die “bösen Buben” kommen….
Aber bist Du Dir wirklich sicher, dass innerhalb und außerhalb Deines Netzwerkes wirklich alles sicher ist? Was ist mit Deiner Homepage? Alle gesetzlichen Richtlinien sind bei letzterer wohl gegeben aber wie sieht es mit dem Login aus - ist der Standard? Wahrscheinlich schon….
Was ist innerhalb dieses Netzwerkes mit Deinnem Team, wie arbeiten diese? Es funktioniert ja alles, also braucht man nichts zu unternehmen? Welche Berechtigungen haben diese? - Teil-Admin-Zugang oder generischer Zugang ist natürlich nicht so gut, auch wenn alles läuft.
Es gibt immer Lücken, gerade wenn Du selbst alles erstellt hast oder auch Lücken in der Entwicklung von Software, Plugins oder Webseiten. Es muss ja nicht an Deinen Fähigkeiten liegen, dass etwas übersehen wurde, aber Du wirst auch nicht jede Software oder Plugins in der Tiefe analysieren, sodass Du sicher bist, dass keine Lücke vorhanden ist. Das alles funktioniert heißt noch nicht, dass es wirklich sicher ist.
Gerade in der IT kann man schnell den Überblick verlieren oder Sicherheitslücken einfach aus den Augen verlieren.
Besonders wenn Du als Selbstständiger zwei verschiedene Systeme (z.B. Mac und Windows) zusammen nutzt oder Windows als Server für Deine Mac(s) bist Du erst einmal glücklich, dass alles funktioniert.
Selbst wenn Du schon eine IT-Abteilung in Deinem Unternehmen hast, stellt sich die Frage wie sicher ist Deine Umgebung? Mit tausenden von Passwörter für alle möglichen Dinge, kann doch kein Mensch sich diese alle merken - also nutze ich für verschiedene Seiten, Service usw. einfach das Passwort nochmal oder in leicht abgewandelter Form… dies sollte jedoch nicht geschehen, obwohl es in der Realität anders aussieht.
Erkennst Du Deine Vorgehensweise in den obengenannten Punkten wieder?
Wie Du siehst, geht es nicht darum, dass alles funktioniert sondern um die Gewissheit, dass nichts übersehen wurde.
Sicherheit braucht Wissen und Vertrauen
Sicherheit ist nicht abhängig wie groß oder klein Dein Unternehmen ist, sondern wie Deine IT-Umgebung aufgebaut ist und ich meine hier die interene und externe Umgebung.
Ein Sicherheitstest gibt Dir Empfehlungen und Schritte, um Deine IT-Sicherheit zu stärken und befasst sich mit allen Segmenten Deiner IT-Umgebung.
Ein Beispiel:
Du hast eine Wordpress-Seite für Deine Homepage und alles läuft super. Sie ist aufgesetzt und bleibt wie sie ist. Vielleicht hast Du noch einen Online-Shop auf dieser oder einfach nur ein Kontaktformular.
Selbst wenn Du keinen Onlineshop (für Kundendaten) hast, wäre es doch ein super Idee die Webseite einfach zu übernehmen und ein bisschen nach meinem Gusto zu verändern - vielleicht finden sich auch noch gleich Informationen zu einer Datenbank mit mehr Inhalt oder Passwörtern, Hashes oder anderen interessanten Inhalten.
Deine Webseite ist super aufgesetzt und hat auch schon mal gleich die Standardumgebung, somit muss ich mich nicht damit beschäftigen, wo etwas abgelegt wurde. Sie hat die Loginseite unter wp-login, die Plugins wurden super in wp-plugins und wp-content geladen - das macht die Sache doch jetzt einfacher.
Das Internet vergißt nicht so schnell etwas, also suche ich erst mal nach ein paar E-Mail-Adressen, welche sich auf Deine Domain beziehen… dies kann ich automatisch machen, da ich ja nicht den ganzen Tag im Internet verbringen möchte.
Super! Ein paar E-Mail-Adressen sind schon mal aufgetaucht, also nehme ich meine Tools und platziere die schon mal für einen Test gegen Deine Webseite. Hierfür habe ich ein Wörterbuch mit Millionen von Passwörtern oder ich nehme einfach mal Deine Webseite zur Hand und durchforste die für alle Begriff, welche sechs oder mehr Zeichen haben - noch ein paar Ziffern und Sonderzeichen dazugepackt und schwups habe ich meine individuelle Passwortliste.
Also kann mein Programm jetzt erst einmal rödeln und vielleicht findet es das passende Paar, was mir Zugang verschafft.
Super, dass alles Standard ist, so ist ein leichter mir die Plugins und Themes mal ausgeben zu lassen und, wie ich weiß, Drittentwickler machen auch Fehler oder übersehen etwas und vielleicht finde ich etwas interessantes in den Plugins oder Themes, was mich weiterbringt um endlich auf Deine Seite zu kommen, um weiteren “Blödsinn” zu betreiben.
Selbst wie der “Zustand” Deiner Webseite ist, kann ich von außen - ohne Zugang- evaluieren, um zu sehen ob alle Updates von WordPress bereits drauf sind oder Du eines vergessen hast oder Du einfach noch nicht dazu gekommen bist, es zu installieren - macht ja nix, ist ja nur eine statische Webseite.
Es gibt dann noch mehrere Test, während mein Passwortprogramm läuft und alles mal austestet.
Viele WordPress-Seiten sind vulnerabel auf der einen oder anderen Seite, die Frage ist ja nur einen Zugang zu finden. Ein Attacker braucht nur einen Zugang - ein Administrator muss alles im Blick haben und manche Sachen gehen eben unter.
Ein ähnliches Scenario lässt sich auch mit Deiner QNAP oder Synology “veranstalten”, wenn diese im Internet unterwegs ist…
Es gibt immer Möglichkeiten in ein System hineinzukommen - die einzigste Beschränkung ist Zeit. Ein potentieller Angreifer will ja nicht ewig an einem System “arbeiten”, um nur ein paar Infos zu bekommen.
Angreifer sind “faul”: Sie nutzen Wörterbücher und automatisierte Tools und sie hoffen, dass sie schnell ans Ziel kommen. Im Gegensatz zum Pentrationstester: Dieser nutzt auch automatisierte Tools, allerdings wird auch viel manuell gearbeitet, um Sicherheitslücken zu finden, welche automatisierte Tools nicht erkennen können.
Mach es einen potentiellen Angreifer so schwer wie möglich und stärke die Sicherheit Deiner IT-Landschaft.
Alle oben genannten Schritte kann man beheben und die Sicherheit Deiner Webseite stärken. Es gibt auch Tools oder Einträge in der .htaccess, welche aus dem Standard-Wordpress ein Nicht-Standard-Wordpress machen, dann hätte ein potentieller Angreifer viel zu tun, um alles ausfindig zu machen - im besten Fall wird er es gar nicht weiter verfolgen.
Auch automatische Backups sind möglich, damit, falls doch einmal was passiert, Du sofort Deine “statische” Webseite wiederherstellen kannst.
Mein oben genanntes Beispiel zeigt einen hypothetisch ablaufenden Sicherheitstest. Sicherheitstest und simulierte Angriffe geben Dir Gewissheit, dass nichts vergessen wurde und sie sind individuelle auf jeden Kunden zugeschnitten.
Natürlich zeigt das Beispiel nur einen kleinen Ausschnitt von einem Sicherheitstest und ich könnte viele andere Beispiele nennen, welche dann auch intern stattfinden könnten.
Warum brauchst Du nun einen Sicherheitstest?
Vorsicht ist besser als Nachsicht, obwohl letzteres natürlich auch einen Sicherheitstest nach sich ziehen könnte, um die verstärkte Sicherheit nach einer “Bekanntschaft” mit einem Angreifer zu testen.
Wenn Du:
- viele Segemente Deiner IT-Umgebung selbst erstellt hast
- die Nachweispflicht gemäß DSVGO erfüllen möchtest
- eine Webseite hast -mit oder ohne Webshop-
- eine Validierung Deiner bestehenden IT-Umgebung wünscht
- Unterstützung bei IT-Sicherheitsfragen hast und wie Du diese effizient umsetzen kannst
- wissen möchtest welches Risiko Dein Unternehmen ausgesetzt ist und was der Aufwand zur Behebung von Risiken für Dich bedeutet
- die richtigen “Schrauben” innerhalb Deiner IT-Landschaft stellen möchtest
- Schäden von Imageverlust über Kundenzufriedenheit und Datenverlust mitigieren möchtest
Ein Sicherheitstest sollte regelmäßig durchgeführt werden, um Deine Sicherheit zu stärken und den gesetzlichen Regeln, wie z.B. der DSGVO zu genügen.
Dein Sicherheitstest ist individuell auf Dich zugeschnitten und unterstützt Dein Sicherheitskonzept Deines Unternehmen.
Wenn Du Interesse an einem Gespräch hast, dann zögere nicht und kontaktiere mich unter buero@steffiscloud.deoder ruf mich einfach an!
Wenn Du mehr über IT-Sicherheit auf diesem Blog erfahren möchtest, dann hinterlasse bitte ein Kommentar oder sende mir eine E-Mail an info@steffiscloud.de.
Kommentare
Neu erstellte Kommentare unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.
Neu erstellte Kommentare unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.