Ganz aktuell ist der Fall des Hackerangriffs auf die Uniklinik Düsseldorf (UKD), durch den letztlich sogar ein Mensch zu Tode gekommen ist. Hacker, die eigentlich die Heinrich-Heine-Universität angreifen wollten, haben stattdessen aber die Uniklinik erwischt, dort mehrere Rechner verschlüsselt und eine Lösegeldforderung für die Reaktivierung der Daten (bei der Heinrich-Heine-Universität) hinterlassen. Die Uniklinik ist bis heute lahmgelegt…

Beim aktuellen Hackerangriff: Erfolgreich trotz Penetrationstest

Bei der aktuell laufenden Aufklärung des Falles stellte sich heraus, dass wohl auch ein Penetrationstest (kurz: Pentest) durchgeführt wurde – dabei aber keine Schwachstelle gefunden wurde. Das wirft ein schlechtes Licht auf den Penetrator, denn die Hacker haben sehr wohl noch einen Weg gefunden, der in diesem Fall nicht nur Geld, sondern sogar ein Leben gekostet hat. Und es belegt ja sehr eindeutig, dass ein Penetrationstest nur so gut ist wie der Penetrationstest-Anbieter!

Wie man einen kompetenten Anbieter findet

Die Nachfrage nach IT-Sicherheitsexperten steigt kontinuierlich an. Immer mehr Unternehmen suchen Unterstützung von Penetrationtest-Anbietern, um ihre IT durch einen solchen Pentest überprüfen zu lassen und durch IT-Sicherheitsberatungen ihr Unternehmen besser zu schützen.

Allerdings ist es wegen der hohen Angebotsdichte schwierig, den richtigen Anbieter zu finden. Deshalb kommt es bei vielen Unternehmen zu einem komplizierten Auswahlverfahren.

Neben Vertrauenswürdigkeit und Unabhängigkeit steht und fällt die Belastbarkeit eines Pentests ganz besonders mit der technischen Expertise der Tester.

Die generelle Qualität eines Anbieters zeigt sich in Zertifikaten, detaillierten Blogeinträgen und in der Berichterstattung in Fachzeitschriften oder in Kundenerfahrungen.

Das Wichtigste: Technische Expertise

Die technische Expertise ist schwieriger zu beurteilen. Hinweise auf eine hohe Kompetenz sind z.B. die Erfahrung (am Alter eines Unternehmens zu erkennen), denn man braucht Zeit und ständiges Training, um eine große Expertise im Bereich der IT-Security aufzubauen.

Auch eigene Forschung und Weiterentwicklung im Unternehmen können ein Indikator für hohe Kompetenz bei einem der Dienstleister sein.

Auf alle Fälle sollte der gewählte Anbieter immer auf dem neusten Stand in Sachen Sicherheitslücken und Schwachstellen sein und sich kontinuierlich weiterentwickeln, damit ein eventueller positiver Pentest sich letztlich auch wirklich als belastbar erweist.

Denn ein veralteter Stand beim gewählten Anbieter kann fatale Folgen haben, wie das aktuelle Eingangsbeispiel vom Hack der Düsseldorfer Uniklinik zeigt…

Screenshot: ProSec