Penetration Tester: Hilfe gegen Bedrohung aus dem Cyberspace

Um Schwachstellen in IT-Systemen zu finden, nutzen „Pentester“ Methoden und Werkzeuge von Cyberkriminellen (Symbolbild). © dpa | Sebastian Gollnow

Siegen/Olpe. Zahl der Cyberattacken steigt seit Jahren drastisch, auch in Siegen-Wittgenstein. „Pentester“ helfen Firmen, IT-Sicherheitslücken zu schließen

„Wir erleben gerade am eigenen Leib die drastischen Folgen eines Cyberangriffs. Auch, wenn die Attacke sich nicht gegen die IHK Siegen selbst, sondern einen Dienstleister richtete, sind die Folgen tagtäglich zu spüren: Nach wie vor sind wir vom E-Mail-Verkehr abgeschnitten und digitale Plattformen funktionieren nicht“, sagt Hans-Peter Langer, Geschäftsführer der IHK-Siegen. „Die Angriffe richten sich heute offenkundig längst nicht nur gegen Unternehmen. Ziele sind Behörden, Institutionen, Verbände – praktisch alle gesellschaftlichen Akteure, die Daten verarbeiten.“

+++Mehr Nachrichten aus Siegen und dem Siegerland finden Sie hier!+++

Die Kammer betrachtet die Folgen solcher Angriffe mit großer Sorge und rät zu einer Sensibilisierung der Belegschaften. Empfehlenswert sei, in Zusammenarbeit mit Experten maßgeschneiderte Schutzmaßnahmen zu entwickeln, sagt Langer. Dazu sei es unerlässlich, die bestehende IT-Sicherheit auf Herz und Nieren zu prüfen.

Penetration Testing als kontrollierte Versuche: Schwachstellen in der Firmen-IT finden

Eben dies ist die Aufgabe sogenannter „Penetration Tester“. Die Experten schlüpfen in die Rolle von Cyberkriminellen und suchen Wege, die Sicherheitsvorkehrungen der Betriebe zu durchdringen. Ihre Auftraggeber: die Unternehmen selbst. Mit dem großangelegten Projekt „Stresstest IT-Sicherheit“ unterstützt die IHK Siegen heimische Unternehmen beim Einsatz der „Pentester“ und bereitet die Erkenntnisse für alle Betriebe auf. „Es geht beim Penetration Testing um kontrollierte Versuche, in ein Computersystem oder -netzwerk einzudringen, Schwachstellen zu identifizieren, sie zu dokumentieren und sie auszunutzen“, sagt Maurice Rothe, Head of Penetration Testing von der SVA System Vertrieb Alexander GmbH.

>>>Lesen Sie auch: Hacker attackieren Siegener Mittelstand im Ukraine-Krieg<<<

Das Unternehmen ist auf solche „Pentests“ spezialisiert. Mit den autorisierten Angriffen kann geprüft werden, inwieweit die Sicherheit der IT-Systeme durch Bedrohungen von Hackern gefährdet ist und ob bestehende Sicherheitssysteme tatsächlich greifen. „Wir nutzen dabei dieselben oder ähnliche Techniken, die bei einem realen Angriff zum Einsatz kommen. Die gefundenen Schwachstellen können dann behoben werden“, so Rothe. Das ist die Aufgabe von Forensikern. Sie rekonstruieren den genauen Ablauf eines kriminellen Angriffs und entwickeln mit dem betroffenen Unternehmen Handlungsempfehlungen.

Cyberattacken in Siegen-Wittgenstein nehmen seit Jahren drastisch zu

Seit Jahren nehmen die Cyberattacken auch bei heimischen Unternehmen drastisch zu. „Wir beobachten, dass die Angriffe sich nicht mehr nur auf große Konzerne konzentrieren, bei denen vermeintlich große Summen erpresst werden können, sondern sich längst gegen kleine und mittlere Unternehmen richten. Gerade ihnen fällt es meist schwer, sich zu schützen. Da gibt es sehr viele offene Flanken“, hebt Bianca Stolte-Reeh vom IT-Dienstleister Dokuworks in Siegen hervor.

Die Folgen sind häufig sehr weitreichend, selbst dann, wenn schnell reagiert wird: Dazu gehören Datenverlust, Wirtschaftsspionage, Systemverluste und Haftpflichtansprüche aufgrund von Datenschutzverletzungen. Ganz schlimm wird es, wenn die Produktion betroffen ist, Aufträge nicht mehr bearbeitet werden können und Maschinenparks stillgelegt werden müssen – „das geht schnell an die Existenz“, sagt Roger Schmidt, Leiter des Referats Technologie, Energie, Umwelt der IHK, der das Projekt „Stresstest IT-Sicherheit“ entworfen hat und betreut.

IHK Siegen unterstützt Unternehmen, wenn sie ihre IT durchleuchten lassen

Die IHK-Vollversammlung hat für das Projekt „Stresstest IT-Sicherheit“ bis 2023 Mittel in Höhe von 180.000 Euro bereitgestellt. Unternehmen, die zu einem Penetrationstest bereit sind, erhalten einen Zuschuss von 7500 Euro und machen Erkenntnisse und Sicherheitslücken anonymisiert auch weiteren Betrieben zugänglich.

+++Die Lokalredaktion Siegen ist auch bei Facebook!+++

Zu den 16 Firmen, die teilnahmen, gehört auch die „Tracto-Technik GmbH 8: Co. KG“ in Lennestadt. „Die vor einiger Zeit auf uns verübte Cyberattacke hatte zur Folge, dass wir unsere IT-Infrastruktur neu aufgesetzt haben. Das Projekt war eine Gelegenheit, unsere Systeme durch ein Spezialisten-Team durchleuchten zu lassen“, sagt Markus Tesche, IT-Leiter der Tracto-Technik. Die eigene IT-lnfrastruktur einem Pentester, also jemand anderem, zu „überlassen“, sei mit einem mulmigen Gefühl verbunden gewesen. „Der Pentest war definitiv ein Erfolg. Die bislang durchgeführten Tests zeigen, in welchen Bereichen Firmen gut aufgestellt sind.