Regelmäßige Penetrationstests
Haftungsrisiken begrenzen
Fortsetzung des Artikels von Teil 1
Penetrationstests; Teil 2
Zu fragen ist auch: Verfügt der Dienstleister oder sein Team über geeignete Zertifizierungen als Sicherheitsdienstleister, zum Beispiel durch das BSI? Beziehen sich die Zertifizierungen auf einzelne Personen oder das Unternehmen? Wie professionell ist der Musterbericht? Enthält er neben der technischen und strukturellen Dokumentation der Sicherheitslücken und Empfehlungen für eine Steigerung des IT-Sicherheitsniveaus auch eine Management-Zusammenfassung für IT-Fremde? Ist für den Einsatz im eigenen Unternehmen Spezialwissen erforderlich, über das der Dienstleister auf jeden Fall verfügen sollte (zum Beispiel SAP, Client-Analyse, Mainframe-Systeme, Drittanbieter-Software, mobile Anwendungen, etc.)? Optimal ist es, wenn der Security-Analyst Kompetenz im Einsatz künstlicher Intelligenz hat, denn Angreifer setzen immer häufiger auf KI. Wer in der Lage ist, KI zu programmieren, zu steuern und zu managen, ist auch in der Lage, KI-gestützte Angriffe oder Schwachstellen zu identifizieren.
Tests an Hochsicherheitsnetzen oder Produktionssystemen erfordern besondere Vorsicht und Sorgfalt. Hierzu ist viel Erfahrung mit diesen Umgebungen und eine intensive Testvorbereitung notwendig, um die Besonderheiten des Scopes zu recherchieren. Ideal ist es, wenn der Pentester über Erfahrung in der Prüfung technischer Richtlinien, Prozesse oder Netzwerkarchitekturen verfügt. Es gibt zudem Dienstleister, die sich nicht nur auf die Durchführung des Penetrationstests und die Formulierung von Empfehlungen zur Härtung des Systems beschränken, sondern das interne IT-Sicherheits-Team darüber hinaus aktiv darin unterstützen, die detektierten Lücken wirksam zu schließen. Dies ist eine interessante Option insbesondere für kleine Security-Teams und zugleich ein wirksames „Training on the Job“.
Erfolgsfaktor 5: die Vertragsgestaltung mit dem Dienstleister. Wird ein Security-Analyst ohne vertragliche Grundlage tätig, handelt es sich um Hacking – und damit macht er sich strafbar. Ausgangspunkt jedes Penetrationstests ist deshalb ein schriftlicher Auftrag der Organisation, in dem sich Auftraggeber und Dienstleister konkret auf Umfang und Grenzen des Penetrationstests verständigen. Zum Auftragsinhalt zählen: die Angriffsmethode, die Risiken, eine Notfallregelung und eine Geheimhaltungsvereinbarung.
Angriffsmethode: Welche sollen zum Einsatz kommen und in welchem Umfang? Wichtig: Für Penetrationstests in Form eines Social Engineerings sind zuvor immer gesonderte Vereinbarungen zu treffen, um zu gewährleisten, dass das Vorgehen den juristischen Rahmen wahrt und keine Arbeitnehmerrechte verletzt, wie etwa das „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“, umgangssprachlich auch IT-Grundrecht genannt. Im Rahmen von Social-Engineering-Penetrationstests empfiehlt es sich auch immer, den Betriebsrat und die Rechtsabteilung hinzuziehen.
Risiken: Der Vertrag sollte definieren, in welcher Risikoklassifizierung gemäß BSI oder OSSTMM der Penetrationstest verläuft. Zudem sollte geregelt sein, welche Bereiche des Netzwerks ausgeschlossen sind.
Notfallregelung: Was passiert, wenn es zu einer unerwarteten Auswirkung des Tests auf das System kommt? Wer hat welche Aufgaben, wie sind die Abstimmungsprozesse und Verantwortlichkeiten – intern als auch seitens des Dienstleisters? Geheimhaltungsvereinbarung: Sie ist unerlässlich für den Auftraggeber, denn immerhin kommen die Security-Analysten im Rahmen ihrer Arbeit digitalen Assets und Betriebsgeheimnissen sehr nahe.
Dynamische Bedrohungslage
Bei aller Sorgfalt sollten sich Auftraggeber darüber im Klaren sein, dass es gerade angesichts der dynamischen Bedrohungslage mit einem Penetrationstest nicht getan ist. Vielmehr sollten diese zum regelmäßigen Repertoire der Security-Maßnahmen gehören, um Hackern möglichst immer den wesentlichen Schritt voraus zu sein.
Severin Quell ist Director IT Security Consulting und Aaron Brown Team Lead Security Audit bei Infodas, www.infodas.de.
- Haftungsrisiken begrenzen
- Penetrationstests; Teil 2
Lesen Sie mehr zum Thema
