Viele Unternehmen kontrollieren nur einen kleinen Teil ihrer möglichen Schwachstellen. Das zeigt eine
Untersuchung von der Penetration-Testing-Plattform Synack und dem Forschungs- und Beratungsunternehmen
Omdia. Zwar sagen 95 Prozent der befragten Organisationen, dass Penetrationstests sehr wichtig sind. Tatsächlich prüfen sie im Durchschnitt aber nur rund ein Drittel ihrer Angriffsfläche. Der Rest bleibt ungetestet.
Für die Studie wurden 200 Sicherheitsverantwortliche befragt. Als Hauptproblem nennen die Autoren, dass klassische Penetrationstests mit heutigen IT-Umgebungen oft nicht mehr mithalten. Viele Firmen arbeiten mit Cloud-Diensten, laufend veränderten Systemen und immer mehr KI-Anwendungen. Dadurch wird es schwieriger, alles regelmässig und vollständig zu überprüfen. Gleichzeitig nutzen laut den Angaben auch Angreifer zunehmend KI-Werkzeuge.
Deshalb suchen viele Unternehmen nach neuen Methoden. Laut der Untersuchung haben 87 Prozent die Prüfung von agentenbasierter KI für Penetrationstests bereits abgeschlossen oder planen, testen oder nutzen solche Lösungen schon. 64 Prozent bevorzugen dabei ein Modell, in dem KI mit menschlicher Kontrolle kombiniert wird. Jay Kaplan, CEO und Mitgründer von Synack, sagt dazu: "Diese Studie beweist, dass die Branche bereit ist, das Modell der zweimal jährlichen Penetrationstests hinter sich zu lassen."
Auch beim Blick nach vorne zeigt sich ein klarer Trend. 95 Prozent der Befragten gehen davon aus, dass agentenbasierte KI herkömmliche Penetrationstests zumindest teilweise verdrängen wird. Gleichzeitig bleibt Kontrolle wichtig. 93 Prozent halten Schutzmechanismen und nachvollziehbare Entscheidungen für notwendig, damit solche Systeme sicher eingesetzt werden können.
(dow)
