Warum Penetrationstests? Penetrationstests helfen, organisatorische und technische Sicherheitslücken zu identifizieren und zu schließen. Wer seinen Geschäftserfolg nachhaltig schützen und seine Sicherheitsrisiken konsequent reduzieren will, ist gut beraten, qualifizierte Penetrationstests von IT-Infrastruktur, Systemen, Anwendungen, Produkten oder vernetzten Lösungen durchzuführen.
TÜViT hat branchenübergreifend hunderte Penetrationstests erfolgreich durchgeführt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat TÜViT als IT-Sicherheitsdienstleister für Penetrationstests zertifiziert.
Worauf sollten Sie bei der Auswahl eines Penetrationstesters achten und was sollte ein guter Penetrationstester können? Antworten finden Sie hier.
TÜViT-Methodik
Penetrationstests (auch PenTests genannt) können höchstindividuell auf Kundenbedürfnisse und -anforderungen abgestimmt werden. In Abhängigkeit der jeweiligen Ausprägungsart des Penetrationstests werden beispielsweise die externen Netzwerkzugänge inklusive der verschiedenen Webanwendungen auf Sicherheitslücken analysiert. Dabei können auch mobile Endgeräte, Datenträger und Authentifizierungstoken im Rahmen des sogenannten Lost Devices-Szenarios berücksichtigt werden.
Unsere IT-Sicherheitsexperten folgen bei der Durchführung von Penetrationstests Vorgehensmodellen von anerkannten Institutionen wie dem BSI. Dabei nutzen sie eine eigens dafür entwickelte Testplattform „Distributed Penetration Platform“ (DPP). Diese ermöglicht beispielsweise eine zentrale Datenhaltung bei Penetrationstests in komplexen Netzwerkumgebungen sowie die parallele Testdurchführung zur Effizienzsteigerung.
Klassifikation von Penetrationstests
Exemplarischer Projektablauf
- TÜViT-Handlungsempfehlungen zu Ransomware
Nutzen von Penetrationstests (Nicht nur auf dem Papier)
Während ein Information Security Management System (ISMS) die Sicherheitsanforderungen auf Struktur- und Prozessebene einer Organisation abdeckt, wird die Prüfung auf technischer Ebene durch Penetrationstests durchgeführt. Diese ist für einen wirksamen Schutz vor Sicherheitsbedrohungen in erster Linie wichtig. Nur wer auch von der technischen Seite her prüft, ob beschriebene Sicherheitsmaßnahmen tatsächlich umgesetzt sind und ob sie in der konkret vorhandenen Konfiguration den gewünschten Zweck erfüllen, kann Sicherheitsrisiken ausreichend reduzieren.
Zudem lässt sich gesetzliche Compliance mithilfe von Penetrationstests überprüfen. Eine Vielzahl gesetzlicher Bestimmungen und Auflagen berühren das Themenfeld der IT-Sicherheit – vom IT-Sicherheitsgesetz über das Handelsgesetzbuch (HGB), das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) bis hin zu Verordnungen bestimmter Branchenaufsichten wie der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Mithilfe von Penetrationstests lässt sich die gesetzliche Compliance oft wirkungsvoll überprüfen. Deshalb ist es wichtig, die in Frage kommenden Gesetzes- und Regelwerke bei der Definition von Art und Umfang der Penetrationstests von Anfang an zu berücksichtigen, da die entsprechende Fürsorgepflicht für alle gleichermaßen gilt.
Nach dem Test ist vor dem Test
Nach dem Penetrationstest ist immer auch vor dem Penetrationstest – in zweierlei Hinsicht: Zum einen sollte ein Re-Test überprüfen, ob die nach einem Penetrationstest durchgeführten Verbesserungs- und Abwehrmaßnahmen (wirksam) greifen. Zum zweiten machen es neue Releases ohnehin notwendig, Penetrationstests in regelmäßigen Abständen zu wiederholen. Dies geschieht zum Teil in Form von „Enhanced Security Services“. Dabei geht es vor allem um die Etablierung eines Monitoring-Verfahrens, das neue Releases und neue Angriffsvektoren berücksichtigt. Hierbei ist zu unterscheiden zwischen Monitoring und Re-Testing: Während beim Re-Testing ein- und derselbe Untersuchungsgegenstand in regelmäßigen Abständen immer wieder hinsichtlich neu bekannt gewordener Angriffsvektoren geprüft wird, geht das Monitoring darüber hinaus: Es bezieht sich nicht auf bestimmte („eingefrorene“) Versionen des Untersuchungsgegenstands, sondern berücksichtigt auch Weiterentwicklungen und neue Funktionen. Ein Unternehmen kann auf diese Weise Anwendungen, Systeme und Infrastrukturen weiterentwickeln, und das dynamisch mitlaufende Security-Monitoring sorgt dafür, dass das Sicherheitsniveau und die einmal erhaltenen Zertifikate weiterhin erhalten bleiben.
Grundsätzlich sollten Penetrationstests wie auch andere Sicherheitsmaßnahmen Teil eines standardisierten und flexiblen Verfahrens sein, das eine ganzheitliche Betrachtung der IT-Systeme ermöglicht.
Empfehlungen
Worauf sollten Sie bei der Auswahl eines Penetrationstesters achten:
Anbieter von Penetrationstests sollten auf jeden Fall als solche zertifiziert und gelistet sein. In Deutschland stellt hier vor allem das BSI entsprechende Akkreditierungen aus. Doch nicht nur die Anbieter von Penetrationstests, sondern auch die einzelnen Tester selbst sollten zertifiziert sein. Neben dem BSI vergeben auch anderweitige IT-Sicherheitsinstitutionen wie zum Beispiel ISACA Germany Chapter e.V., OSCP oder GIAC entsprechende Personenzertifikate, nach denen die Kompetenz erfolgreich nachgewiesen wird. So gibt es zum Beispiel das BSI-Zertifikat „IT-Sicherheitsdienstleister“ für die Bereiche Informationssicherheits- (IS-) Revision und IS-Beratung sowie Penetrationstests oder das „Cyber Security Practicioner“-Zertifikat, das in Kooperation zwischen BSI und ISACA Germany Chapter e.V. entwickelt wurde.
Was sollte ein guter Penetrationstester können:
Die Anforderungen an Penetrationstester sind hoch. Sie müssen sich tief mit verschiedenen Fachdisziplinen der „offensiven“ und „defensiven“ IT-Sicherheit auskennen. Dazu zählen neben System-, Netzwerk- und Anwendungssicherheit auch Mobile und Industrial Security sowie spezifische Produktkenntnisse über Sicherheitslösungen wie Web Application Firewalls, Client- und Server-Betriebssysteme als auch kryptografische Algorithmen, Skript- und Programmiersprachen.
Vertrauen und unabhängige Dritte:
Penetrationstester bekommen sehr oft vertrauliche Informationen zu sehen. Dazu gehören geistiges Eigentum, personenbezogene Daten, interne Prozesse, Konfigurationen oder Systeme. Daher müssen sie unbedingt vertrauenswürdig und vor allem unabhängig sein – wie zum Beispiel TÜViT.
Ihre Vorteile auf einen Blick
- Identifizierung von spezifischen Schwachstellen (technisch, organisatorisch, prozedural)
- objektive Einschätzung und Bewertung der Wirksamkeit Ihrer IT-Sicherheitsmaßnahmen
- konkrete Handlungsempfehlungen für Sicherheitsmaßnahmen, um die Sicherheitslücken zu schließen (technisch, organisatorisch, prozedural)
- Erhöhung der Sicherheit von kritischen Daten, Systemen und Anwendungen
- Erhöhung der effektiven Wirksamkeit des technischen, organisatorischen und prozeduralen Maßnahmenmix
- Vorbereitung auf ein internes oder externes Abnahmeverfahren, Audit oder Zertifizierung
- Erhöhung des Sicherheitsbewusstseins von Mitarbeitern aller Hierarchieebenen
Alexander Padberg
Gerald Krebs
Weitere Leistungen
