-
-
- externen Pentest für Web-Anwendung efOnline durchgeführt
- Wirksamkeit der ergriffenen Härtungsmaßnahmen im Nachtest bestätigt
- SySS GmbH als erfahrener Anbieter für Sicherheitstests involviert
- regelmäßige Überprüfungen für noch mehr Sicherheit vorgesehen
-
Neu-Isenburg, August 2023 – Penetrationstests (Pentests) sind in der heutigen Zeit unumgänglich, will man als Unternehmen präventiv gegen mögliche Cyber-Bedrohungen von außen vorgehen*. Auch für efcom sind solche Tests wichtig, um das eigene IT-Sicherheits-Level so hoch wie möglich zu halten. Für unsere webbasierte Anwendung efOnline wurden Pentests bislang nur auf Kundenseite durchgeführt. Auf diese Weise lassen sich Hacker-Szenarien unter individuellen IT-Rahmenbedingungen abbilden und sind deshalb sehr aussagekräftig. Wir haben uns dafür entschieden, für efOnline einen Pentest auch losgelöst vom Einsatz beim Kunden durchzuführen. Der Haupttest wurde von uns in Q1/2023 initiiert. Der Nachtest in Q3/2023 bestätigte, dass die Maßnahmen, die zur Behebung der Funde aus dem Haupttest ergriffen wurden, wirksam sind. Mit dem Testing haben wir die SySS GmbH beauftragt – sie gehört deutschland- und europaweit zu den führenden Anbietern auf diesem Gebiet.
„Wir sind der Meinung, dass ein kundenunabhängiger Pentest für efOnline sinnvoll ist, um für noch mehr Sicherheit zu sorgen“, unterstreicht Michael Petrovic, efOnline Produkt-Manager bei efcom. „So können wir im Vorfeld potenzielle Schwachstellen identifizieren und entsprechend ausmerzen.“ Angesichts der zunehmenden Cyber-Attacken gegen Unternehmen sind so genannte externe Pentests von hoher Relevanz. Dabei versuchen Experten*innen, in Unternehmens-Netzwerke einzudringen und beispielsweise an sensible Daten zu gelangen. Nach der Durchführung einer solchen Sicherheitsprüfung werden alle aufgedeckten Schwachstellen in einem Bericht zusammengefasst, inklusive einer Risikoeinschätzung sowie empfohlenen Maßnahmen zur Behebung.
Die SySS GmbH unterteilt die Risiken dabei in hoch, mittel und niedrig. Als hohes Risiko wird beispielsweise eine unautorisierte Manipulation oder Einsichtnahme von Daten eingestuft. Unter mittleres Risiko fallen Sicherheitslücken, die in Kombination mit weiteren – auch menschlichen – Komponenten zu einem Sicherheitsvorfall führen können. Bei niedrigem Risiko handelt es sich um Schwächen, die keine Änderungen durch nicht authentifizierte Dritte ermöglichen. Anhand der Mängelliste kann das geprüfte Unternehmen anschließend die Sicherheitsschwächen beheben. In einem Retest erfolgt dann eine erneute Prüfung durch die SySS GmbH, ob und inwiefern die Schwächen auch tatsächlich behoben worden sind.
„Bei Pentests kennen wir uns bestens aus. Aber IT-Sicherheit kann man nicht durch rein punktuelle Maßnahmen gewährleisten“ erläutert Sebastian Schreiber, Geschäftsführer der SySS GmbH. „Unternehmen müssen auch für geeignete Sicherheits-Konzepte und -Richtlinien sorgen. Letztlich geht es darum, durch regelmäßiges Testen alle Verantwortlichen für dieses Thema zu sensibilisieren, sonst können die Tests ihre Wirksamkeit nicht vollumfänglich entfalten.“ Auch die efcom will fortan durch regelmäßige externe Pentests für (noch) mehr Sicherheit sowie das richtige Bewusstsein bei den Mitarbeiter*innen sorgen.
*Bundesamt für Sicherheit in der Informationstechnik: „Die Lage der IT-Sicherheit in Deutschland 2022“