„Scope, Zugang und Autorisierung entscheiden darüber, ob ein Test aussagekräftige Ergebnisse liefert“, sagt Wozniak. Er fügt eine Warnung hinzu: Würden die Befunde nicht in echte Nachbesserung übersetzt, werde der Test zu einer reinen Compliance-Übung, die nichts verbessere. Ein Penetrationstest müsse als Zeugnis darüber verstanden werden, was ordentlich behoben werden müsse – und nicht nur notdürftig geflickt.
Ein gut durchgeführter Test liefert Sicherheitsteams klar priorisierte Schritte, um Abwehrmaßnahmen zu härten und die Angriffsfläche zu verringern. Ebenso wichtig: Er deckt Lücken bei Erkennung und Reaktion auf und gibt der Führungsebene die Daten an die Hand, um gezielte Investitionen in diesen Bereichen zu begründen.
Jon David, Managing Director bei NR Labs, betont, dass eine wirksame Sicherheitsführung dafür sorgt, dass ein Test von Bedrohungsinformationen geleitet wird und sich auf die sensibelsten Geschäfts- und Finanzdaten sowie auf geistiges Eigentum konzentriert. Die Tests sollten realistisch und zielorientiert sein und das volle Verhalten eines Angreifers nachbilden, statt sich allein auf automatisiertes Schwachstellen-Scanning zu beschränken. Der Bericht müsse zudem klar erklären, worin der Angriff bestand, warum er funktionierte und wie man sich davor schützt – samt detaillierter nächster Schritte.
Gute Führungskräfte ziehen laut David Spitzenkräfte an, fördern eine sicherheitsbewusste Kultur, sichern angemessene Budgets und sorgen dafür, dass Befunde zu echten Verbesserungen führen statt zu Schuldzuweisungen oder Panik. Sie kommunizieren in beide Richtungen der Organisation und gewichten Risiken realistisch neben anderen geschäftlichen Anforderungen wie Compliance und Betrieb.
Caroline Wong, Chief Strategy Officer bei Axari, verweist auf die Bedeutung der Zielsetzung vor dem Test: „Vor dem Test legt die Führung die Absicht fest: Was wollen wir lernen? Was ist für das Geschäft wichtig?“ Laute der Rahmen hingegen „Wir müssen das Audit bestehen“, sei die gesamte Übung von Beginn an eingeschränkt. Wird ein Test wie das Abhaken eines Kästchens behandelt, gehe es nur noch darum, ihn zu überstehen, nicht darum, etwas Nützliches zu lernen.
Genauso wichtig sei ein klarer Plan für die Zeit, nachdem der Bericht vorliegt. Das häufigste Versagen habe oft wenig mit der Qualität des Tests selbst zu tun, sondern mit dem, was danach geschehe. Häufig fehle eine klare Zuständigkeit dafür, wer die Behebung über Entwicklung, Sicherheit und Geschäft hinweg vorantreibe. Eine technisch starke Bewertung könne so völlig wirkungslos bleiben, wenn ein Folgeplan fehle. „Das ist der Moment, in dem Priorisierung, Ressourcen und Verantwortlichkeit entweder auftauchen oder nicht“, sagt Wong.
Einen verwandten blinden Fleck auf Vorstandsebene beschreibt Trey Ford, Chief Strategy and Trust Officer bei Bugcrowd: „Jede Führungskraft will darüber reden, was gefunden wurde. Fast niemand will darüber reden, was man bewusst nicht getestet hat oder wie lange die Behebung der letzten Befunde gedauert hat.“ Die Phase nach dem Test sei der Ort, „an dem Befunde sterben“, und als Führungsaufgabe chronisch unterentwickelt.
Besonders wichtig sei Führung, wenn ein Test schlechter ausfalle als erwartet. Das Schlimmste, was eine Sicherheitsführung dann tun könne, sei, Leute zu entlassen, sagt David. Oft sei nicht eine einzelne Person schuld, sondern ein Zusammenspiel von Faktoren. Ein guter Verantwortlicher mache aus einem Bericht – so schlecht er auch sein möge – einen Plan zur Risikoreduzierung.