Geprüfte Sicherheit durch Crashtests
Viele IT-Sicherheitszertifikate spiegeln nicht die Realität des sich schnell verändernden Softwaremarktes wieder. Sie sind immer nur für einzelne Teile von IT-Sicherheitssystemen wie z. B. Firewalls ausgestellt und geprüfte Lösungen zum Zeitpunkt der Zertifizierung bereits oft veraltet. Es gibt aber auch Hersteller, die sich für einen anderen Weg entschieden haben und stattdessen regelmäßige Pentests durchführen.
In fast allen industriellen Bereichen, in denen komplexe Systeme betrieben oder entwickelt werden, gehören Testphasen in den Entwicklungszyklus eines Produkts. Kein Fahrzeug kommt ohne Crashtest auf die Straße, kein Gebäude wird ohne Prüfung der genutzten Baumaterialien errichtet. Geschäftskritische IT-Systeme und Software werden jedoch von vielen Herstellern in Umlauf gebracht, ohne dass Sicherheitsüberprüfungen durchgeführt wurden. Und wenn doch dauert die aufwendige Prüfung und der Weg bis zum Erhalt eines IT-Sicherheitszertifikats manchmal mehrere Monate.
„Als Hersteller unterstützen wir die Idee unabhängiger Sicherheitsprüfungen. Zertifizierungen fehlt es aber oft an Aussagekraft, auch wenn das Papier gut aussieht, auf dem sie gedruckt sind. Die Prüfung einzelner Bausteine sagt nichts über die Sicherheit eines ganzheitlichen IT-Schutzkonzeptes aus“, kritisiert Eric Kaiser, Produktmanager bei Securepoint. Der deutsche Hersteller hat sich deswegen für eine Alternative entschieden. Zwar werde die Sicherheit der eigenen Betriebssysteme, Software und Dienste laufend überprüfen, „die komplette Sicherheitsstruktur wird aber mehrmals im Jahr zusätzlich von unabhängigen Dritten auf Herz und Nieren geprüft,“ berichtet Eric Kaiser.
Securepoint gibt dazu Penetration Tests, kurz Pentests, in Auftrag. Dabei werden verschiedene Angriffsvektoren gegen die IT-Sicherheitsstruktur, darunter z. B. die NextGen UTM-Firewall, getestet. Dadurch wird die Empfindlichkeit von Systemen geprüft und mögliche Angriffsmethoden festgestellt, die bei einer Cyber-Attacke genutzt werden könnten. Die Ergebnisse werden von spezialisierten IT-Sicherheitsexperten bewertet.
Von Herstellerseite sieht Eric Kaiser bei der Nutzung von Pentests eindeutige Vorteile: “Die Ergebnisse werden direkt mit den Ressortleitern unserer Entwicklungsabteilung besprochen und fließen unmittelbar in Sicherheitsupdates mit ein. Im Vergleich zur langen Wartezeit auf ein Zertifikat sind Pentests für Securepoint eindeutig die beste Option.“ Die schnelle Reaktionszeit bedeute auch eine dauerhafte Sicherung der eigenen Produktqualität, so Kaiser weiter, und für immer mehr Reseller und Systemhauspartner sei das von wachsender Bedeutung.
Back