Immer wieder gelingt es uns durch Angriffsszenarien, Passwörter innert wenigen Sekunden zu entschlüsseln. Unsere Kunden reagieren oftmals geschockt und können sich nicht vorstellen, dass so etwas überhaupt möglich ist. Mit unserem Ethical Hacking versetzen wir uns in die Lage eines «gutartigen» Hackers. Gutartig, weil wir dem System während des Tests zu keiner Zeit schaden und keine Daten veröffentlicht oder verschlüsselt werden. Die Methoden und Skills von Hackern werden jedoch genutzt, um Schwachstellen zu erkennen und diese auch auszunutzen. Wie im erwähnten Beispiel der Passwörter. Diese werden während des Tests ausgenutzt, um aufzeigen zu können, wie schnell man an einen Benutzer und dessen Passwort herankommt.

Man ist im Stress und richtet noch kurz einen Administrator- oder SMTP-Benutzer ein – schon ist es passiert. Ein einfaches Passwort ohne Sonderzeichen, ohne Zahlen oder eine Mindestlänge wird erstellt. Ein Penetrationstest soll nicht aufzeigen, wer einen Fehler gemacht hat, sondern ob die risikoreduzierenden Massnahmen effektiv sind. Einfache Passwörter werden oftmals am schnellsten identifiziert. Zusätzlich gehört zu einem Test jedoch die ganzheitliche Betrachtung, welche folgende Fragen beantworten soll:

• Entdecken die aktuellen Sicherheitsmassnahmen einen Hackerangriff und wird dieser erfolgreich abgewehrt?
• Sind die aktuellen Sicherheitskomponenten (wie bspw. eine Firewall) richtig konfiguriert?
• Ist auf allen Geräten wie Servern und Computern eine sichere und aktuelle Endpoint-Protection vorhanden?
• Sind auch die IOT-Geräte sicher oder gibt es Konfigurationen, welche Schwachstellen aufweisen oder gar das Netzwerk ausbremsen?

Cyber Security und Risikomanagement sind unserer Meinung nach eng verknüpft. Die aktuelle Bedrohungslage ist bereits ein erhöhtes Risiko, welches allen Geschäftsführern, Sicherheits- und IT-Verantwortlichen bewusst sein muss. Ein Penetration-Test bietet eine Übersicht der Ist-Situation, um vorhandene Risiken zu erfassen und diese zu bewerten. Entscheiden Sie dann aufgrund der Häufigkeit und des möglichen Schadens, welche Risiken Sie vermeiden, reduzieren oder gar selber tragen können.