Die Evolution der Software überrascht uns immer wieder. Ich erinnere mich, wie ich 1997 während des Schachspiels gegen den Großmeister Garri Kasparow gegen den IBM-Computer Deep Blue gewettet habe und dann verblüfft war, als die Maschine den Sieg errang. Hätten wir uns vor drei Jahren vorstellen können, dass ein Chatbot heute Aufsätze schreiben, Kundenanrufe bearbeiten und sogar kommerzielle Kunstwerke gestalten kann? Wir sind immer wieder erstaunt darüber, was Software leisten kann – Aufgaben, die wir einst für ausschließlich menschliche Domänen hielten. Eine solche Überraschung zeichnet sich auch im Bereich der Cybersicherheitstests ab. Halten Sie sich fest!
## Demystifizierung von Penetrationstests
Hätte mir vor zehn Jahren jemand gesagt, dass Computersoftware eines Tages die Arbeit eines ethischen Hackers übernehmen könnte, hätte ich gesagt: „Auf keinen Fall“. Bei Penetrationstests – kurz PT – ahmen Experten Hacker nach, um die Verteidigung eines Unternehmens zu testen. Es handelt sich um eine wichtige Praxis, die von wichtigen Aufsichtsbehörden wie PCI DSS, HIPAA und DORA vorgeschrieben wird, um die Netzwerksicherheit zu gewährleisten. Doch trotz seiner wichtigen Rolle werden PTs seit Jahrzehnten auf die gleiche Weise durchgeführt.
## Wir sind es gewohnt, die Rechnung zu bezahlen
Traditionelle PTs sind nicht billig und kosten zwischen 30.000 Dollar für grundlegende externe Webtests und 150.000 Dollar für komplexe Analysen von Cloud-Systemen. Der Prozess ist langwierig und dauert oft zwei bis drei Monate von der ersten Serviceanfrage bis zum endgültigen Bericht, wobei jeweils nur 5 % bis 10 % der Ressourcen eines Unternehmens abgedeckt werden.
Betrachten wir nun die neue Wirtschaftlichkeit: Für den Preis einer einzigen manuellen Pentest-Übung kann man das ganze Jahr über automatisierte tägliche Übungen mit dem zehnfachen Umfang pro Durchlauf durchführen. Das finanzielle Argument für die Automatisierung ist wirklich disruptiv. Mit Software sinken die Kosten pro Testlauf vom Preis eines BMW M4 auf den Preis eines Paares Air Jordan Sneakers. So drastisch ist das.
## Die kurze Geschichte der Sicherheitsvalidierung
Während die Cybersicherheitsbranche insgesamt rasante Fortschritte erlebt hat, wie z. B. die KI-gesteuerte Endgerätesicherheit, hat sich PT nur langsam weiterentwickelt. Pentera übernahm die Führung, indem es bereits 2015 automatisierte Sicherheitstestfunktionen einführte. Das war die Geburtsstunde der algorithmischen Sicherheitsvalidierungslösungen. Das kommerzielle Debüt wurde von einigen wenigen frühen Anwendern mit Begeisterung und von vielen Traditionalisten mit Skepsis aufgenommen. Fast ein Jahrzehnt später haben Pentera und einige andere Unternehmen die Grenzen für vollautomatisierte Infrastruktur- und Anwendungspenetrationstests erweitert, wobei Tausende von begeisterten Sicherheitsexperten in Unternehmen die Software täglich einsetzen.
## Akzeptanz automatisierter Lösungen
Der Trend zur Automatisierung nimmt Fahrt auf, und die Vorteile häufiger und gründlicher Tests liegen auf der Hand. Während es immer noch einen Platz für die Expertenarbeit eines erfahrenen Pentesters für Anwendungstests, physisch-cybernetische Angriffspfade und andere fortgeschrittene und maßgeschneiderte Szenarien gibt, ist der Bedarf an einer breiten Abdeckung und häufigen Kontrollen offensichtlich. Wenn es darum geht, die Hunderte von Millionen ungetesteter Systeme auf der Welt zu adressieren, bieten softwarebasierte Lösungen eine unübertroffene Effizienz und Erschwinglichkeit. Angesichts der ständig wachsenden Herausforderungen im Bereich der Cybersicherheit ist die Investition in automatisierte PTs nicht nur ein kluger Schachzug, sondern unerlässlich, um eine robuste Sicherheitsverteidigung aufrechtzuerhalten, ohne die Bank zu sprengen.
Die Zukunft der Cybersicherheitstests liegt in der Software. Daher frage ich: Warum einen Pentester bezahlen?