{"id":4627,"date":"2021-04-15T21:20:00","date_gmt":"2021-04-15T21:20:00","guid":{"rendered":"https:\/\/cybercompare.com\/?p=4627"},"modified":"2023-09-13T11:06:46","modified_gmt":"2023-09-13T11:06:46","slug":"penetration-tests-bei-unternehmen-mit-wesentlicher-betriebstechnik-ot-ics","status":"publish","type":"post","link":"https:\/\/cybercompare.com\/de\/penetration-tests-bei-unternehmen-mit-wesentlicher-betriebstechnik-ot-ics\/","title":{"rendered":"Penetration Tests bei Unternehmen mit wesentlicher Betriebstechnik (OT, ICS)"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\" id=\"penetration_tests\">Was Penetration Tests sind und wie diese Ihr Unternehmen sch\u00fctzen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Warum ist das Thema \u00fcberhaupt relevant?<\/strong>&nbsp;\u202f&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Regelm\u00e4\u00dfige Sicherheitsaudits durch \u201eWhite Hat\u201c Hacker oder Penetrationstester geh\u00f6ren inzwischen zum Daily Business vieler CIOs und zum Standardangebot vieler IT-Dienstleister. Mit der steigenden Bedrohungslage von industriellen Unternehmen, z.B. durch Ransomware, ger\u00e4t aber auch der Schutz der \u201eIndustrie 4.0\u201c-Betriebstechnik und von vernetzten Ger\u00e4ten in den Fokus.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das gilt gleicherma\u00dfen f\u00fcr Anlagenbauer oder Hersteller von \u201eSmart Devices\u201c, deren Produkte bei Kunden ans Netz gehen, wie f\u00fcr die eigene Produktion und Geb\u00e4udetechnik von z.B. Autozulieferern, Chemiefabriken, Versorgern oder Pharmaunternehmen. Die Pr\u00fcfung von Software-Code geh\u00f6rt ebenso dazu wie Schwachstellentests von Hardware und Netzwerkkonfigurationen.&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Was kann ein Penetration Test leisten, was nicht, und wie passen diese in die Sicherheitsstrategie?\u202f<\/strong>&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der technische Fokus von Penetration Tests ohne&nbsp;Social&nbsp;Engineering Aspekten liegt auf dem Versuch, \u00fcber offene bzw.&nbsp;ungeh\u00e4rtete&nbsp;Schnittstellen in das Ziel-Netzwerk einzudringen.&nbsp;&nbsp;<br>Sie eignen sich z.B. nicht zur \u00dcberpr\u00fcfung des generellen Sicherheitsmanagements oder speziell der Wiederherstellungsf\u00e4higkeiten nach einem Angriff.&nbsp;&nbsp;<br>Penetration Tests stellen eine unabh\u00e4ngige Validierung vieler Sicherheitsma\u00dfnahmen dar.&nbsp;<br>Sie k\u00f6nnen insbesondere zur Aufdeckung von kritischen Sicherheitsl\u00fccken dienen.&nbsp;<br>Beispielsweise sind sie auch im Rahmen der IEC 62443 f\u00fcr Komponentenhersteller, Systemintegratoren und Betreiber von industriellen Anlagen gefordert.&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Was ist an Penetration Tests f\u00fcr OT unterschiedlich zu Penetration Tests f\u00fcr reine IT-Umgebungen?<\/strong>&nbsp;\u202f&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Viele Methoden und Vorgehensweisen sind gleich wie bei Organisationen mit reiner B\u00fcro-IT (oder wenn man die Betriebs- und Automatisierungstechnik einfach au\u00dfer Acht l\u00e4sst).&nbsp;&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Beispielsweise werden spezialisierte Betriebssysteme inkl. Repertoire wie Kali oder&nbsp;Parrot&nbsp;Linux genutzt, oder Applikationen, wie bspw.&nbsp;Wireshark&nbsp;zum Aufzeichnen von Datenverkehr.&nbsp;&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Allerdings gibt es auch wesentliche Unterschiede:&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Der Ausfall oder die St\u00f6rung von cyberphysischen Systemen kann wesentliche Konsequenzen bis hin zu Personensch\u00e4den nach sich ziehen. Die Implikation: \u201eEinfach mal&nbsp;Ausprobieren\u201c ist meistens keine gute Strategie. Tats\u00e4chlich muss meist viel Zeit darauf verwendet werden, die zugrundeliegenden Prozesse und Abl\u00e4ufe zu verstehen.&nbsp;&nbsp;<\/li>\n\n\n\n<li>Echtzeitsysteme, der Einbezug von Betriebstechnik \u00fcber mehrere Ebenen, sowie Feldbusprotokolle wie z.B.&nbsp;ProfiBus,&nbsp;BACnet,&nbsp;Modbus\/TCP, DNP3 oder HART und propriet\u00e4re Steuerungen vergr\u00f6\u00dfern die Spielwiese und die Komplexit\u00e4t enorm. Etwas polemisch ausgedr\u00fcckt: Penetration Tests von reinen B\u00fcro-IT-Architekturen sind wie M\u00fchle, Penetration Tests von Verbundarchitekturen mit OT und vernetzten Ger\u00e4ten bei Kunden wie Schach.&nbsp;&nbsp;<\/li>\n\n\n\n<li>Netzwerk- und Schwachstellenscanner wie&nbsp;NMap&nbsp;oder&nbsp;Nessus&nbsp;(u.a. zur Suche nach Default Passw\u00f6rtern) sollten sehr vorsichtig eingesetzt werden \u2013 selbst auf Ebene 3 (typischerweise ja Windows-Maschinen oder Linux-Server) k\u00f6nnen St\u00f6rungen nicht ausgeschlossen werden. Einige SPS verlieren automatisch ihre Garantie, \u201est\u00fcrzen ab\u201c (DoS-Status) oder triggern z.B. Firmware-Updates, wenn ein Standard-Portscan&nbsp;angewendet wird. Redundante Systeme sind oft nicht 100% identisch \u2013 das bedeutet beispielsweise, der Scan des Standby-Servers kann problemlos durchgef\u00fchrt werden, aber der Scan des aktiven Servers f\u00fchrt zum Crash. Selbst einfache&nbsp;Powershell-Scripts oder zus\u00e4tzlich abgespeicherte Log-Dateien stellen Systemver\u00e4nderungen dar, die zu unvorhergesehenen St\u00f6rungen f\u00fchren k\u00f6nnen. Trotzdem m\u00fcssen Scans nat\u00fcrlich durchgef\u00fchrt werden \u2013 gewusst wie und wann ist das Kern&nbsp;Know-How&nbsp;dabei.&nbsp;<\/li>\n\n\n\n<li>Es gibt mehr Stakeholder zur Abstimmung: Nat\u00fcrlich m\u00fcssen z.B. Produktionsverantwortliche informiert und eingebunden werden, Prozessingenieure und Anlagenbediener sind fester Bestandteil des erweiterten Teams.&nbsp;<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"tipps_kunden\">Was sollte ich als Kunde beachten, um aus dem Penetration Test \u201edas Optimum herauszuholen\u201c?&nbsp;<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Ja, es ist immer alles fallabh\u00e4ngig. Aber&nbsp;grosso&nbsp;modo&nbsp;kristallisieren sich ein paar Handlungsempfehlungen als meistens richtig heraus:&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Nat\u00fcrlich nicht den IT-Dienstleister beauftragen, welcher auch f\u00fcr Security zust\u00e4ndig ist, um eine unabh\u00e4ngige Kontrollfunktion zu gew\u00e4hrleisten. Sollte eigentlich selbstverst\u00e4ndlich sein, ist es aber nicht. Interessanter Ansatz dabei: Zwei Dienstleister parallel oder nacheinander beauftragen und Ergebnisse vergleichen.&nbsp;<\/li>\n\n\n\n<li>Ziele ehrlich definieren. Was wollen wir wirklich erreichen? Wissen wir nicht eigentlich schon, was wir erstmal erledigen sollten? Solange Anlagen von uns z.B. mit offenem Telnet-Port \u00fcber&nbsp;Shodan&nbsp;erreichbar sind und mein Netzwerk flacher ist als ein Pfannkuchen, kann ich mir den Penetration Test sparen.&nbsp;<\/li>\n\n\n\n<li>White Box ist im Allgemeinen wesentlich effizienter als Black Box: Wenn die Penetration Tester erst viel Zeit mit Informationssuche verbringen, wird der Spa\u00df eben teurer. Nat\u00fcrlich kann es sein, dass echte Angreifer nur schwieriger an die Informationen zu Netzwerkaufbau und Organisation kommen, und im Best Case den Aufwand scheuen. Aber wenn wir schon Geld ausgeben, dann doch nicht, um den Best Case zu simulieren und uns anschlie\u00dfend selbst zu gratulieren, dass wir schon super gesch\u00fctzt sind.&nbsp;<\/li>\n\n\n\n<li>Dazu sollten im Vorfeld Netzwerkpl\u00e4ne aktualisiert werden, und im Idealfall Schemata f\u00fcr die Kommunikationspfade zwischen IT und OT&nbsp;<\/li>\n\n\n\n<li>\u00dcbersichten der Benutzerrechte, insbesondere f\u00fcr Fernzugriffe auf OT-Systeme der Ebenen 1-3, sollten greifbar sein&nbsp;<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Wissenstr\u00e4ger m\u00fcssen ausreichend Zeit f\u00fcr Briefings einplanen&nbsp;<\/li>\n\n\n\n<li>Corona hat gezeigt, dass die meisten Penetration Tests und Security Assessments sehr wohl und in ausreichender Tiefensch\u00e4rfe remote durchgef\u00fchrt werden k\u00f6nnen (Ausnahmen best\u00e4tigen die Regel).&nbsp;&nbsp;<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Welche Schwachstellen werden typischerweise gefunden, und welche sollten priorisiert behoben werden?<\/strong>&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wie immer gilt: Der n\u00e4chste Euro, den ich nach dem Penetration Test ausgebe, sollte mein Risiko am meisten mindern.&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Am besten macht der Penetration Test Partner einen Vorschlag dazu als Diskussionsgrundlage (ansonsten muss man eben die W\u00e4scheliste an Schwachstellen nehmen, und mit dem Anbieter zum Thema Priorisierung in das Gespr\u00e4ch einsteigen).&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Gefundene Schwachstellen ziehen sich nat\u00fcrlich entlang des kompletten NIST-Frameworks.&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Meistens haben Unternehmen, die auch die Produktionsumgebung einem Test unterziehen, aber davor Hausaufgaben in wesentlichen Aspekten gemacht (z.B.&nbsp;<strong>Asset und Software Inventarisierung<\/strong>&nbsp;zumindest f\u00fcr Ebene 2 und dar\u00fcber, oder die&nbsp;<strong>Umsetzung von Passwortrichtlinien<\/strong>).&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Anlaufpl\u00e4ne:<\/strong>&nbsp;Es mangelt beispielsweise oft an klaren Wiederanlaufpl\u00e4nen (\u00fcber einen ersten Reaktionsplan hinaus) f\u00fcr den Ausfall von einzelnen Systemen. Wie lange kann ich mir erlauben, dass ein System ausf\u00e4llt? Das kann extrem unterschiedlich sein. Zu den \u00fcblichen&nbsp;Findings&nbsp;in Fabriken geh\u00f6ren nat\u00fcrlich auch veraltete Betriebssysteme (Windows NT, Windows 7 etc.), f\u00fcr die nicht klar ist, was im Fall eines Absturzes passiert (Stichpunkte: Prinzip Hoffnung \/&nbsp;single&nbsp;point&nbsp;of&nbsp;failure).&nbsp;<\/li>\n\n\n\n<li><strong>2FA:<\/strong>&nbsp;Oder es gibt keine Multifaktorauthentifizierung f\u00fcr \u00fcbergeordnete Bedieneinheiten. In der Tat stimmen fast alle Penetration Tester in diesem Punkt \u00fcberein: Fl\u00e4chendeckende Zweifaktorauthentifizierung erschwert Hackern den Zugriff so deutlich, dass nur noch extrem motivierte Angreifer den Aufwand in Kauf nehmen.&nbsp;&nbsp;<\/li>\n\n\n\n<li><strong>Netzwerkarchitektur:<\/strong>&nbsp;Funktionieren die \u201edemilitarisierten Zonen (DMZ)\u201c und Netzwerksegmentierungen? Offenkundig nicht, falls beim Netzwerk-Sniffen im Enterprise-IT-Netz Datenverkehr auf Industrieprotokollbasis bemerkt werden kann.&nbsp;<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Oder falls \u00fcber Terminals in der DMZ Schreibzugriff besteht. Die Nutzung derselben physischen Netzwerk-Switches f\u00fcr IT und OT stellt ebenfalls eine gro\u00dfe Schwachstelle dar. Und Cloud-Anbindung von ICS-Systemen ist heute oft notwendig, aber meist nicht ausreichend gegen Angriffe abgesichert.&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ein realistisches (priorisiertes)&nbsp;<strong>Patch-Management<\/strong>&nbsp;fehlt h\u00e4ufig in OT-Umgebungen. Dabei gilt generell: Priorit\u00e4t auf Patch-Management von IPC, SPS, SCADA und Servern auf&nbsp;Purdue&nbsp;Ebenen 3 und 2. Die Sensoren, Aktuatoren, Controller und meisten Industrieprotokolle darunter sind normalerweise inh\u00e4rent unsicher und Software-Patches mit hohem Aufwand f\u00fcr Systemtests verbunden. Pragmatische Methoden zur Priorisierung stellt z.B. Dale Peterson&nbsp;<a href=\"https:\/\/eur03.safelinks.protection.outlook.com\/?url=https%3A%2F%2Furldefense.com%2Fv3%2F__https%3A%2Feur03.safelinks.protection.outlook.com%2F%3Furl%3Dhttps*3A*2F*2Furldefense.com*2Fv3*2F__https*3A*2Fwww.linkedin.com*2Fpulse*2Fproperly-prioritizing-level-0-1-security-dale-peterson*2F__*3B!!EIXh2HjOrYMV!PObkbrOYb9UF_hqvpQeHII7o9SAiSi3-lmgq3y9YGKUr-suZBPP1LzMgqNwS_QPkgWVv2950*24%26data%3D04*7C01*7CJannis.Stemmann*40de.bosch.com*7C5c38fbb3054a47b590a808d8f8f06745*7C0ae51e1907c84e4bbb6d648ee58410f4*7C0*7C0*7C637533058696001908*7CUnknown*7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0*3D*7C1000%26sdata%3D5*2BOA1XJfDyUFGH7zXWi*2BolPIIrrS4PYVwQ*2BU5IqfXG4*3D%26reserved%3D0__%3BJSUlJSUlJSUlJSUlJSUlJSUlJSUlJSUlJSUlJQ!!EIXh2HjOrYMV!P675rC5iAXhWxT7KpZyfZCDe3wJVeNJDS-xhtKX62Qt-bUjvEkAKWY4WLolphdAkN1cF007z%24&amp;data=04%7C01%7CSimeon.Mussler%40de.bosch.com%7Cd07af606f3904f99ed8a08d8fa70e00f%7C0ae51e1907c84e4bbb6d648ee58410f4%7C0%7C0%7C637534709997897970%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000&amp;sdata=FXM3ss337%2FitNO4CZYZ0aXM1PK7Pp1u7AbqBBy88nPQ%3D&amp;reserved=0\" target=\"_blank\" rel=\"noreferrer noopener\">hier&nbsp;<\/a>&nbsp;und unter&nbsp;<a href=\"https:\/\/eur03.safelinks.protection.outlook.com\/?url=https%3A%2F%2Furldefense.com%2Fv3%2F__https%3A%2Feur03.safelinks.protection.outlook.com%2F%3Furl%3Dhttps*3A*2F*2Furldefense.com*2Fv3*2F__https*3A*2Fwww.linkedin.com*2Fpulse*2Fics-patch-what-patch-when-dale-peterson*2F__*3B!!EIXh2HjOrYMV!PObkbrOYb9UF_hqvpQeHII7o9SAiSi3-lmgq3y9YGKUr-suZBPP1LzMgqNwS_QPkgTKzbQDz*24%26data%3D04*7C01*7CJannis.Stemmann*40de.bosch.com*7C5c38fbb3054a47b590a808d8f8f06745*7C0ae51e1907c84e4bbb6d648ee58410f4*7C0*7C0*7C637533058696006886*7CUnknown*7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0*3D*7C1000%26sdata%3DJhthe4SIr5dMl1jduZYtUaaII9wEWG8H*2FvfdBO3LP1o*3D%26reserved%3D0__%3BJSUlJSUlJSUlJSUlJSUlJSUlJSUlJSUlJSU!!EIXh2HjOrYMV!P675rC5iAXhWxT7KpZyfZCDe3wJVeNJDS-xhtKX62Qt-bUjvEkAKWY4WLolphdAkN4dLwlps%24&amp;data=04%7C01%7CSimeon.Mussler%40de.bosch.com%7Cd07af606f3904f99ed8a08d8fa70e00f%7C0ae51e1907c84e4bbb6d648ee58410f4%7C0%7C0%7C637534709997907964%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000&amp;sdata=phK2bo9W1i9GShZnlEMmLGrtRK%2BhnucalGm1oka02iY%3D&amp;reserved=0\" target=\"_blank\" rel=\"noreferrer noopener\">ICS-Patch&nbsp;<\/a>&nbsp;zur Verf\u00fcgung.&nbsp;&nbsp;<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Vor Kurzem ist zu dem Thema auch ein interessantes&nbsp;<a href=\"https:\/\/eur03.safelinks.protection.outlook.com\/?url=https%3A%2F%2Furldefense.com%2Fv3%2F__https%3A%2Feur03.safelinks.protection.outlook.com%2F%3Furl%3Dhttps*3A*2F*2Furldefense.com*2Fv3*2F__https*3A*2Fwww.claroty.com*2F2021*2F01*2F26*2Fblog-podcast-justin-searle-on-pen-testing-ics*2F__*3B!!EIXh2HjOrYMV!PObkbrOYb9UF_hqvpQeHII7o9SAiSi3-lmgq3y9YGKUr-suZBPP1LzMgqNwS_QPkgQU59KIa*24%26data%3D04*7C01*7CJannis.Stemmann*40de.bosch.com*7C5c38fbb3054a47b590a808d8f8f06745*7C0ae51e1907c84e4bbb6d648ee58410f4*7C0*7C0*7C637533058696011864*7CUnknown*7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0*3D*7C1000%26sdata%3DOVZoOPdvQcpDZsS28AUfCvwE3S6YVGi6EcRwHCUg0Xw*3D%26reserved%3D0__%3BJSUlJSUlJSUlJSUlJSUlJSUlJSUlJSUlJSUl!!EIXh2HjOrYMV!P675rC5iAXhWxT7KpZyfZCDe3wJVeNJDS-xhtKX62Qt-bUjvEkAKWY4WLolphdAkN6MeqxrT%24&amp;data=04%7C01%7CSimeon.Mussler%40de.bosch.com%7Cd07af606f3904f99ed8a08d8fa70e00f%7C0ae51e1907c84e4bbb6d648ee58410f4%7C0%7C0%7C637534709997917962%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000&amp;sdata=xoW7deASFAXOrzsCBvy6ONN3N6rufV5tZB2m57oPzwE%3D&amp;reserved=0\" target=\"_blank\" rel=\"noreferrer noopener\">Interview&nbsp;<\/a>&nbsp;mit SANS&nbsp;Instructor&nbsp;und langj\u00e4hrigem Profi Justin Searle erschienen.&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Darin weist er noch auf einige Tipps und Kniffe zum besseren Schutz der OT hin: Beispielsweise, zwei separierte Identit\u00e4tsmanagementsysteme f\u00fcr IT und OT zu haben, sowie die m\u00f6glichen Verbindungen (inkl. tats\u00e4chlich existierender Seitenkan\u00e4le) zwischen IT und OT aufzulisten. Und, klar, oft fehlt es an Fachpersonal, um die identifizierten Ma\u00dfnahmen zeitnah umzusetzen.&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Wie sieht es mit automatisierten L\u00f6sungen aus?<\/strong>&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Anbieter von automatisierten Penetration Tests werben nat\u00fcrlich damit, dass der manuelle Zeitaufwand (typischerweise mehrere Tage oder Wochen) mit einer Softwarel\u00f6sung auf wenige Stunden reduziert&nbsp;werden kann. Die Preise sind attraktiv \u2013 besonders, wenn man Schwachstellen-Tests vielleicht \u00f6fter als nur einmal jedes Schaltjahr durchf\u00fchren m\u00f6chte.&nbsp;&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Und auch wenn herk\u00f6mmliche Beratungen zu Recht darauf hinweisen, dass menschliche Kreativit\u00e4t nicht ersetzt werden kann: Klar ist auch, dass automatisierte Abl\u00e4ufe auf Basis aktueller Datenbanken gr\u00fcndlicher pr\u00fcfen k\u00f6nnen, als ein einzelner Mensch oder ein kleines Team. Das gilt insbesondere f\u00fcr globale Organisationen. Wir alle kennen die Geschichte von Schach oder Go \u2013 erst war der Mensch der Maschine \u00fcberlegen, dann ein Mensch mit Computerunterst\u00fctzung der Gewinner, und heute haben selbst Gro\u00dfmeister keine Chance mehr gegen die KI-Algorithmen.&nbsp;&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Auch manuelle Penetration Test-Teams (und echte Angreifer) setzen nat\u00fcrlich weitestgehend auf automatisierte Tools, um Schwachstellen zu finden.&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wahrscheinlich ist die Frage also eher: Wie hoch ist der Automatisierungsgrad, und wie viel des Test-Aufwands k\u00f6nnen die eigenen Mitarbeiter \u00fcbernehmen? Zumindest in industriellen Umgebungen sieht es aktuell noch eher so aus, dass ein vollautomatisierter Penetration Test ohne Team deutlich weniger Erkenntnisse \u00fcber m\u00f6gliche Angriffe bietet. Das mag sich im Laufe der Zeit nat\u00fcrlich \u00e4ndern.&nbsp;&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Welche Anbieter sind empfehlenswert?<\/strong>&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Eine Google Suche nach \u201ePenetration Test\u201c liefert je nach Tagesform mehr als 100 Tausend Treffer.&nbsp;<br>Und logisch, alle Anbieter werben mit Kundenreferenzen.&nbsp;<br>Wen soll man jetzt nehmen? Wie immer ist die pauschale Antwort \u201eit&nbsp;depends\u201c.&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Hier ein paar Fragen, die zus\u00e4tzlich zu einem strukturierten Ausschreibungsprozess vielleicht bei der Auswahl helfen:&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Werden Lebensl\u00e4ufe der Teammitglieder zur Verf\u00fcgung gestellt, die die Tests tats\u00e4chlich durchf\u00fchren?&nbsp;<\/li>\n\n\n\n<li>Mit welchen Industriesteuerungen,&nbsp;Firmwarel\u00f6sungen, Protokollen und RT-Betriebssystemen hat das spezifische Team des Anbieters wirklich Erfahrung?&nbsp;<\/li>\n\n\n\n<li>Werden eigenentwickelte Tools genutzt, und falls ja, zu welchem Zweck (normalerweise ein gutes Zeichen)?&nbsp;<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">\u00dcbrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider \u2013 aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenw\u00e4rtigen Entwicklungen vertiefend und freuen uns \u00fcber Ihr Feedback sowie Anfragen zu einem Austausch.<br><br>Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abh\u00e4ngig von der kundenindividuellen Situation.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Was Penetration Tests sind und wie diese Ihr Unternehmen sch\u00fctzen Warum ist das Thema \u00fcberhaupt [&hellip;]<\/p>\n","protected":false},"author":24,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[18],"tags":[],"class_list":["post-4627","post","type-post","status-publish","format-standard","hentry","category-article-de"],"_links":{"self":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/4627","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/users\/24"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/comments?post=4627"}],"version-history":[{"count":1,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/4627\/revisions"}],"predecessor-version":[{"id":4630,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/4627\/revisions\/4630"}],"wp:attachment":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media?parent=4627"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/categories?post=4627"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/tags?post=4627"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}