{"id":3759,"date":"2023-06-24T07:49:00","date_gmt":"2023-06-24T07:49:00","guid":{"rendered":"https:\/\/cybercompare.com\/?p=3759"},"modified":"2024-03-25T12:25:52","modified_gmt":"2024-03-25T12:25:52","slug":"interview-mit-ben-thornhill-group-security-manager-bei-claranet","status":"publish","type":"post","link":"https:\/\/cybercompare.com\/de\/interview-mit-ben-thornhill-group-security-manager-bei-claranet\/","title":{"rendered":"Ben Thornhill, Group Security Manager Claranet, \u00fcber Pen Tests"},"content":{"rendered":"\n

Diese Woche f\u00fchrte Philipp Pelkmann<\/a> ein Interview mit Ben Thornhill<\/a>, Group Security Manager bei Claranet<\/a>. Das Gespr\u00e4ch drehte sich um eines der meistdiskutierten Themen im Bereich der Cybersecurity Services: Pen Tests. F\u00fcr manche mag es eher langweilig klingen, aber viele Unternehmen, die wir treffen, evaluieren gerade zum ersten Mal, ob und wie sie einen Pentest <\/a>durchf\u00fchren.<\/p>\n\n\n\n

\"\"
Ben Thornhill, Group Security Manager Claranet<\/figcaption><\/figure>\n\n\n\n
Lieber Ben Thornhill, k\u00f6nnen Sie sich bitte kurz vorstellen und unserer Community etwas \u00fcber Ihren Hintergrund erz\u00e4hlen und wie Sie zum Thema Cybersicherheit gekommen sind?<\/h5>\n\n\n\n

Nach meinem Abschluss in European integration and languages und einer erfolgreichen Karriere in der Immobilienbranche, wechselte ich 2008 in die Cybersicherheit. Ich hatte schon immer ein starkes Interesse an der IT und suchte nach einem Bereich, der w\u00e4chst. Ich h\u00e4tte an diesem Tag Lottoscheine kaufen sollen, denn ich hatte Recht!<\/p>\n\n\n\n

Obwohl die Branche damals viel kleiner war, gab es viel zu entdecken. Das Unternehmen, bei dem ich anfing, bot Penetrationstests an und das erwies sich als hervorragende M\u00f6glichkeit, ein gr\u00fcndliches Verst\u00e4ndnis f\u00fcr Cyber-Bedrohungen zu erlangen und zu lernen, wie man Risiken diskutiert und kategorisiert und wie man die Kundschaft am besten in Bezug auf Sicherheitsstrategien ber\u00e4t.<\/p>\n\n\n\n

Im Jahr 2017 wurde das Unternehmen von Claranet \u00fcbernommen und entwickelte sich von Anfang an positiv. Nach meinem Erfolg als Vertriebsmitarbeiter und sp\u00e4ter als Vertriebsleiter wechselte ich in die Rolle des Praxisleiters, der f\u00fcr die Durchf\u00fchrung von Penetrationstests und Compliance-Services sowie f\u00fcr die Entwicklung neuer Angebote zur Bew\u00e4ltigung der sich st\u00e4ndig \u00e4ndernden Herausforderungen unserer Kundschaft verantwortlich war.<\/p>\n\n\n\n

Als sich die Gelegenheit ergab, in einer Gruppenfunktion zu arbeiten, um Teammitglieder aus allen Claranet-L\u00e4ndern bei der Entwicklung und dem Ausbau ihrer Sicherheitspraktiken zu unterst\u00fctzen und Sicherheitsdienstleistungen international zu koordinieren, wusste ich sofort, dass dies all meine Arbeits- und Lebenserfahrungen vereint. Nach einem Jahr in der neuen Position kann ich ehrlich sagen, dass ich jede Minute davon liebe!<\/p>\n\n\n\n

<\/p>\n\n\n\n

K\u00f6nnen Sie einen kurzen \u00dcberblick \u00fcber die Dienstleistungen von Claranet im Bereich der Pen Tests geben?<\/h2>\n\n\n\n

Claranet bietet eine breite Palette von Pen Tests und eine Reihe von Methoden zur Durchf\u00fchrung an. W\u00e4hrend die gr\u00f6\u00dfte Nachfrage immer nach Tests von Web- und Mobilanwendungen sowie der Netzwerkinfrastruktur besteht, sehen wir mit der zunehmenden Sicherheit unserer Kundschaft auch eine steigende Nachfrage nach Social Engineering, Red Team und Cloud-Konfigurationspr\u00fcfungen. Wir haben inzwischen viel Erfahrung in vielen L\u00e4ndern, und wir entwickeln st\u00e4ndig neue Techniken und Ans\u00e4tze, um den neuen Anforderungen unseres immer gr\u00f6\u00dfer werdenden Kundenstamms gerecht zu werden und die Risiken der neuen Technologien sichtbar zu machen. Unser Mantra lautet: Wir k\u00f6nnen alles testen, was Hackende angreifen k\u00f6nnen.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Welche Arten von Organisationen oder Branchen profitieren am meisten von PenTests?<\/h5>\n\n\n\n

Pen Tests sind ein Mittel, um Risiken sichtbar zu machen. Sie eignen sich daher f\u00fcr jede Organisation, die Daten speichert oder verarbeitet, f\u00fcr die eine Sorgfaltspflicht besteht. Hinzu kommen Organisationen, deren Finanzen durch eine St\u00f6rung ihres Betriebsmodells ernsthaft beeintr\u00e4chtigt w\u00fcrden.<\/p>\n\n\n\n

Es gibt einige herausragende Beispiele f\u00fcr Organisationen, die besonders sorgf\u00e4ltig auf den Schutz sensibler Daten achten m\u00fcssen. Dazu geh\u00f6rt das Gesundheitswesen, das Bank- und Finanzwesen und die Regierung.<\/p>\n\n\n\n

Der Nutzen von Pen Tests steht in keinem direkten Verh\u00e4ltnis zur Gr\u00f6\u00dfe der Organisation, die sie durchf\u00fchrt. Eine gro\u00dfe Organisation ist in der Regel besser ger\u00fcstet, um den durch einen Cyberangriff verursachten Schaden zu \u00fcberleben, als eine kleine oder mittelgro\u00dfe Organisation, die m\u00f6glicherweise nicht in der Lage ist, ihren Betrieb fortzusetzen. Daher gibt es Situationen, in denen Penetrationstests und die dadurch erm\u00f6glichte zus\u00e4tzliche Sicherheit f\u00fcr kleinere Organisationen von gr\u00f6\u00dferer Bedeutung ist.<\/p>\n\n\n\n

Die Art von Risikotransparenz, die Pen Tests bieten, ist ein wichtiges Instrument f\u00fcr die Sicherheitsverteidigung aller Organisationen.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Was sind Ihrer Erfahrung nach die Erfolgsfaktoren vor, w\u00e4hrend und nach einem Pen Tests?<\/h5>\n\n\n\n

Bei Claranet legen wir gro\u00dfen Wert darauf, dass unsere Kundschaft so schnell wie m\u00f6glich mit unseren Sicherheitsfachleuten spricht. Daher f\u00fchren die ersten Gespr\u00e4che, in denen wir ein klares Verst\u00e4ndnis f\u00fcr die Zielsetzung der Tests gewinnen, direkt zum Scoping, bei dem wir alle Informationen sammeln, die f\u00fcr die Festlegung der erforderlichen Dauer des Auftrags erforderlich sind.<\/p>\n\n\n\n

Das Scoping-Verfahren ist gr\u00fcndlich und deckt alle Aspekte der erforderlichen Tests ab. Sie wird von erfahrenen Penetrationstestenden durchgef\u00fchrt, die die Kundschaft durch den Prozess f\u00fchren, die verschiedenen Ans\u00e4tze er\u00f6rtern und erkl\u00e4ren, warum bestimmte Informationen erforderlich sind, um ein genaues Angebot zu erstellen.<\/p>\n\n\n\n

Nach der Definition wird der Vorschlag in einem Statement of Work zusammengefasst, das den vereinbarten Umfang widerspiegelt und auf hohem Niveau die zu leistende Arbeit beschreibt.<\/p>\n\n\n\n

Obwohl diese Phase schnell abgeschlossen wird, ist sie gr\u00fcndlich und detailliert, da sie den gesamten Auftrag von diesem Punkt an bestimmt und ein qualitativ hochwertiger Penetrationstest das Ziel aller Beteiligten ist.<\/p>\n\n\n\n

Wenn unsere Kundschaft mit einer Testanforderung zu uns kommt, herrscht oft Zeitdruck. Wenn Fristen und Termine f\u00fcr die Inbetriebnahme immer n\u00e4her r\u00fccken, kann das eine Herausforderung sein. Claranet verf\u00fcgt \u00fcber ein Projektmanagementteam, das sich der Terminplanung widmet, und die in der Scoping-Phase erfassten Details helfen dabei, Termine zu finden, die den Anforderungen unserer Kundschaft entsprechen. Claranet verf\u00fcgt \u00fcber ein gro\u00dfes Team von Penetrationstestenden, so dass Flexibilit\u00e4t bei den Terminen und schnelle Umsetzungen zu unseren St\u00e4rken geh\u00f6ren.<\/p>\n\n\n\n

Wir legen Wert auf Offenheit und gute Kommunikation. W\u00e4hrend der Tests informieren unsere Testenden t\u00e4glich \u00fcber den Fortschritt und die wichtigsten Ergebnisse, was das Vertrauen st\u00e4rkt und unserer Kundschaft wertvolle Einblicke gew\u00e4hrt.<\/p>\n\n\n\n

Nach der \u00dcbergabe des Berichts empfehlen wir dringend eine Nachbesprechung, um die Ergebnisse und die vorgeschlagenen Abhilfema\u00dfnahmen zu diskutieren. Diese Diskussion in Verbindung mit den Details im Bericht erm\u00f6glicht es, einen klaren und nach Priorit\u00e4ten geordneten Plan f\u00fcr Abhilfema\u00dfnahmen zu erstellen, was den Wert des Tests steigert und die Chancen auf eine robustere Sicherheitslage f\u00fcr unsere Kundschaft erh\u00f6ht.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Was sind die h\u00e4ufigsten Do’s und Don’ts bei Penetrationstests?<\/h5>\n\n\n\n

Do<\/strong>:<\/p>\n\n\n\n