Cybersicherheit ist heute ein zentrales Thema für KMU, da die Schäden durch Cyberangriffe erheblich sein und sogar zum Konkurs führen können. Viele KMU, die ihre Cybersicherheit verbessern möchten, wollen ihre Systeme testen lassen. Sie können sich dabei für verschiedene Dienstleistungen entscheiden, wie z. B. Penetrationstests (Pentests) oder Schwachstellen-Scans. Ein Experte des Labels Cyber-Safe erklärt diese beiden unterschiedlichen, aber komplementären Praktiken und ihre Rolle in einer Cyberstrategie.

Zwei verschiedene Möglichkeiten

Um den Unterschied zwischen einem Pentest und einem Schwachstellen-Scan zu verstehen, hilft ein Vergleich: Stellen Sie sich Ihr Unternehmen wie ein Haus vor. Sie möchten wissen, ob Ihr Haus gut gegen Einbrecher geschützt ist. Der Schwachstellen-Scan und der Penetrationstest sind zwei verschiedene Methoden, um die Sicherheit Ihres Unternehmens und seiner Daten zu bewerten.

Ein Schwachstellen-Scan entspricht dem Rundgang um Ihr Haus, um zu prüfen, ob Türen und Fenster richtig verschlossen sind und ob etwaige unterirdische Zugänge verriegelt wurden. In der IT handelt es sich dabei um einen weitgehend automatisierten Prozess, bei dem bekannte Schwachstellen identifiziert werden – etwa veraltete Software, unnötig geöffnete Ports oder die Verwendung von Standardpasswörtern.

«Stellen Sie sicher, dass alle Türen verschlossen sind, bevor Sie einen Penetrationstester beauftragen.»

Ein Pentest bedeutet dagegen, dass ein professioneller‚ freundlicher «Einbrecher» engagiert wird, um tatsächlich zu versuchen, in Ihr Haus resp. in Ihre Firma einzudringen – etwa indem er Schlösser knackt, Bewohner resp. Mitarbeitende austrickst oder Fenster aufbricht. Der Pentest wird von Experten, sogenannten Pentestern, durchgeführt, die über mehrere Tage hinweg versuchen, Ihre Systeme zu hacken. Entsprechend sind der Aufwand – und die Kosten – höher.

Eigene Risiken genau kennen

Um von einem Pentest optimal profitieren zu können, sollte vorher sichergestellt sein, dass die Türen verschlossen sind – andernfalls wird die Arbeit des freundlichen «Einbrechers» nicht viel bringen. Wenn die Tür offen steht, wird der Einbrecher natürlich nicht versuchen, das Schloss zu knacken! Ausgehend von dieser Unterscheidung geht es nun darum, zur Frage der Risikoanalyse zurückzukehren, die als Grundlage für Ihre Entscheidung dienen kann.

Tatsächlich sollte man vor der Entscheidung zwischen Schwachstellen-Scan und Penetrationstest die eigenen Risiken genau kennen. Deshalb ist es unerlässlich, eine Risikoanalyse durchzuführen. Was müssen Sie schützen, und welche potenziellen Auswirkungen hätte ein Cyberangriff?

Eine Cyberstrategie muss im Verhältnis zu Ihren Risiken stehen. Es ist nicht sinnvoll, die Sicherheitsmassnahmen einer Bank zu übernehmen, wenn Sie ein kleines Geschäft führen – aber genauso gefährlich ist es, die Risiken zu unterschätzen, wenn Sie Produktionsgeheimnisse verwalten oder zahlreiche personenbezogene Daten verwalten. Wenn Ihr Geschäft vollständig von einem Onlinedienst oder einer mobilen App abhängt, dann sind beide Ansätze sinnvoll: zuerst der Schwachstellen-Scan, um sicherzustellen, dass alle Türen geschlossen sind, und danach ein Penetrationstest, um zu prüfen, wie robust Türen und Schlösser wirklich sind.

Schritt für Schritt vorgehen

Die Risikoanalyse ist somit unerlässlich für eine fundierte Entscheidung. Genau das ist auch der erste Schritt beim Label Cyber-Safe: Zuerst erfolgt eine Risikoanalyse, gefolgt von einem internen (vor Ort) und externen Schwachstellen-Scan. Dieser erste Schritt bietet eine Standortbestimmung und hilft dabei zu bewerten, ob ein Pentest für Ihr KMU sinnvoll ist – und sicherzustellen, dass alle Türen verschlossen sind, bevor Sie einen Penetrationstester beauftragen!

Christophe Hauert,

Direktor Cyber-Safe

www.cyber-safe.ch

sgv-usam@cyber-safe.ch