Mit Penetrationstests Sicherheitslücken aufdecken und schließen

Penetrationstests (auch PenTests genannt) können höchstindividuell auf Kundenbedürfnisse und -anforderungen abgestimmt werden. In Abhängigkeit der jeweiligen Ausprägungsart des Penetrationstests werden beispielsweise die externen Netzwerkzugänge inklusive der verschiedenen Webanwendungen auf Sicherheitslücken analysiert. Dabei können auch mobile Endgeräte, Datenträger und Authentifizierungstoken im Rahmen des sogenannten Lost Devices-Szenarios berücksichtigt werden.

Unsere IT-Sicherheitsexperten folgen bei der Durchführung von Penetrationstests Vorgehensmodellen von anerkannten Institutionen wie dem BSI. Dabei nutzen sie eine eigens dafür entwickelte Testplattform „Distributed Penetration Platform“ (DPP). Diese ermöglicht beispielsweise eine zentrale Datenhaltung bei Penetrationstests in komplexen Netzwerkumgebungen sowie die parallele Testdurchführung zur Effizienzsteigerung.

Während ein Information Security Management System (ISMS) die Sicherheitsanforderungen auf Struktur- und Prozessebene einer Organisation abdeckt, wird die Prüfung auf technischer Ebene durch Penetrationstests durchgeführt. Diese ist für einen wirksamen Schutz vor Sicherheitsbedrohungen in erster Linie wichtig. Nur wer auch von der technischen Seite her prüft, ob beschriebene Sicherheitsmaßnahmen tatsächlich umgesetzt sind und ob sie in der konkret vorhandenen Konfiguration den gewünschten Zweck erfüllen, kann Sicherheitsrisiken ausreichend reduzieren.

Zudem lässt sich gesetzliche Compliance mithilfe von Penetrationstests überprüfen. Eine Vielzahl gesetzlicher Bestimmungen und Auflagen berühren das Themenfeld der IT-Sicherheit – vom IT-Sicherheitsgesetz über das Handelsgesetzbuch (HGB), das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) bis hin zu Verordnungen bestimmter Branchenaufsichten wie der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Mithilfe von Penetrationstests lässt sich die gesetzliche Compliance oft wirkungsvoll überprüfen. Deshalb ist es wichtig, die in Frage kommenden Gesetzes- und Regelwerke bei der Definition von Art und Umfang der Penetrationstests von Anfang an zu berücksichtigen, da die entsprechende Fürsorgepflicht für alle gleichermaßen gilt.

Nach dem Penetrationstest ist immer auch vor dem Penetrationstest – in zweierlei Hinsicht: Zum einen sollte ein Re-Test überprüfen, ob die nach einem Penetrationstest durchgeführten Verbesserungs- und Abwehrmaßnahmen (wirksam) greifen. Zum zweiten machen es neue Releases ohnehin notwendig, Penetrationstests in regelmäßigen Abständen zu wiederholen. Dies geschieht zum Teil in Form von „Enhanced Security Services“. Dabei geht es vor allem um die Etablierung eines Monitoring-Verfahrens, das neue Releases und neue Angriffsvektoren berücksichtigt. Hierbei ist zu unterscheiden zwischen Monitoring und Re-Testing: Während beim Re-Testing ein- und derselbe Untersuchungsgegenstand in regelmäßigen Abständen immer wieder hinsichtlich neu bekannt gewordener Angriffsvektoren geprüft wird, geht das Monitoring darüber hinaus: Es bezieht sich nicht auf bestimmte („eingefrorene“) Versionen des Untersuchungsgegenstands, sondern berücksichtigt auch Weiterentwicklungen und neue Funktionen. Ein Unternehmen kann auf diese Weise Anwendungen, Systeme und Infrastrukturen weiterentwickeln, und das dynamisch mitlaufende Security-Monitoring sorgt dafür, dass das Sicherheitsniveau und die einmal erhaltenen Zertifikate weiterhin erhalten bleiben.

Grundsätzlich sollten Penetrationstests wie auch andere Sicherheitsmaßnahmen Teil eines standardisierten und flexiblen Verfahrens sein, das eine ganzheitliche Betrachtung der IT-Systeme ermöglicht.

Was sollte ein guter Penetrationstester können:

Die Anforderungen an Penetrationstester sind hoch. Sie müssen sich tief mit verschiedenen Fachdisziplinen der „offensiven“ und „defensiven“ IT-Sicherheit auskennen. Dazu zählen neben System-, Netzwerk- und Anwendungssicherheit auch Mobile und Industrial Security sowie spezifische Produktkenntnisse über Sicherheitslösungen wie Web Application Firewalls, Client- und Server-Betriebssysteme als auch kryptografische Algorithmen, Skript- und Programmiersprachen.

Vertrauen und unabhängige Dritte:

Penetrationstester bekommen sehr oft vertrauliche Informationen zu sehen. Dazu gehören geistiges Eigentum, personenbezogene Daten, interne Prozesse, Konfigurationen oder Systeme. Daher müssen sie unbedingt vertrauenswürdig und vor allem unabhängig sein – wie zum Beispiel TÜViT.

• Identifizierung von spezifischen Schwachstellen (technisch, organisatorisch, prozedural)
• objektive Einschätzung und Bewertung der Wirksamkeit Ihrer IT-Sicherheitsmaßnahmen
• konkrete Handlungsempfehlungen für Sicherheitsmaßnahmen, um die Sicherheitslücken zu schließen (technisch, organisatorisch, prozedural)
• Erhöhung der Sicherheit von kritischen Daten, Systemen und Anwendungen
• Erhöhung der effektiven Wirksamkeit des technischen, organisatorischen und prozeduralen Maßnahmenmix
• Vorbereitung auf ein internes oder externes Abnahmeverfahren, Audit oder Zertifizierung
• Erhöhung des Sicherheitsbewusstseins von Mitarbeitern aller Hierarchieebenen