<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=286961978467565&amp;ev=PageView&amp;noscript=1">
Skip to content
    Quick Links
    Jetzt Beratungstermin vereinbaren!

    Blogs

    Weitere Leistungen

    Engagement

    Sonstiges

    Penetrationstests als Voraussetzung für eine Zertifizierung

    Picture of Armin Harbrecht
    2
    min. read
    Penetrationstests als Voraussetzung für eine Zertifizierung

    Penetrationstests spielen eine wichtige Rolle im Rahmen von Managementsystemen zur Informationssicherheit (ISMS). Sie dienen zur Überprüfung der getroffenen Sicherheitsmaßnahmen unter realistischen Bedingungen. Als Ergebnis liefern sie priorisierte Handlungsempfehlungen zur Behebung von Sicherheitslücken. Wenn ein ISMS erfolgreich zertifizieren werden soll, müssen bestimmte Anforderungen an den Penetrationstests erfüllt sein. Welche die einzelnen Zertifizierungsstellen wie das BSI empfehlen, beschreibt dieser Artikel.

     

    Was ist ein Penetrationstest?

    Ziel eines Penetrationstests ist es, Schwachstellen in IT Systemen aufzudecken und eine Risikoeinschätzung zu geben. Penetrationstests werden von professionellen Hackern durchgeführt. Diese versuchen im Auftrag des Kunden in seine IT Systeme einzudringen. Das Angriffsziel kann eine spezifische Anwendung, ein bestimmtes Unternehmensnetzwerk oder die komplette Organisation mit all ihren IT Systemen und Mitarbeitern sein. Das Vorgehen von Penetrationstestern ist dabei dasselbe wie von Cyberkriminellen. In der ersten Phase wird das Angriffsziel analysiert. Darauf aufbauend wird ein möglichst erfolgsversprechender Angriffsplan geschmiedet, der dann in den eigentlichen, zielgerichteten Angriffen mündet. Das Ergebnis eines Penetrationstests ist ein ausführlicher Bericht, der eine Risikoabschätzung und die gefundenen Schwachstellen auflistet.

     

    Penetrationstests als Teil des Sicherheitsprozesses

    Alle wichtigen Zertifizierungen der IT Sicherheit betrachten IT Sicherheit nicht als Zustand, sondern als fortlaufenden Prozess. Dieser Prozess folgt dem nach seinem Erfinder genannten Demingkreislauf. Darin werden iterativ vier Phasen durchlaufen: Planen, Umsetzen, Überprüfen, Handeln. Penetrationstests sind ein beliebtes Werkzeug, um Sicherheitsprozesse effizient zu überprüfen. Wie die verschiedenen Normen im Einzelnen auf Penetrationstests zurückgreifen wird im Folgenden beschrieben.

     

    Kontaktieren Sie uns!

     

    Penetrationstests und der BSI IT-Grundschutz

    Der IT-Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnik verweist mehrfach auf die Notwendigkeit, Penetrationstests zur Überprüfung des Sicherheitsniveaus einzusetzen. Die IT-Grundschutz Maßnahme M5.150 Durchführung von Penetrationstests beschreibt klare Anforderungen zum Umfang und Ablauf eines Tests. Darüber hinaus hat das BSI einen eigenen Leitfaden zu Penetrationstests veröffentlicht.

     

    Penetrationstests und ISO 27001

    Im Rahmen eines nach der ISO/IEC 27001-Norm aufgestellten Informationssicherheits-managementsystems sind regelmäßige Penetrationstests ein integraler Bestandteil des Zyklus aus Planen, Umsetzen, Überprüfen und Handeln. Penetrationstests können neben der Überprüfung der Sicherheit von IT Systemen auch noch andere Rollen übernehmen. So können sie Teil der Risikoanalyse sein oder bei als kritisch eingestuften Anwendungen und Systemen zur Beherrschung des Risikos eingesetzt werden.

     

    Penetrationstests und ITQ13 sowie VDS 3473

    Da sich die „kleinen Geschwister“ der umfangreichen Normen ISO 27001 und BSI IT-Grundschutz an den Anforderungen und am Aufbau der „großen“ Normen orientieren, gelten hier im Prinzip dieselben Anforderungen bezüglich Penetrationstests. Aus den Ergebnissen des initialen IT Sicherheitschecks und der individuellen Risikoeinschätzung ergeben sich die Anforderungen an die Regelmäßigkeit und den Umfang der Penetrationstests.

     

    Mehr über den IT-Sicherheitscheck erfahren? Hier klicken!

     

    Penetrationstests auch ohne Zertifizierung notwendig

    Aber nicht nur bei freiwilligen Zertifizierungen sind Penetrationstests gefragt. Die Notwendigkeit, die getroffenen Maßnahmen zur IT Sicherheit regelmäßig zu überprüfen betrifft spätestens ab nächstem Jahr im Prinzip jedes Unternehmen. Ab 25. Mai 2018 ist die bereits in Kraft getretene EU-Datenschutzgrundverordnung endgültig in allen EU-Ländern anzuwenden. Darin enthalten ist die Verpflichtung, die Wirksamkeit technischer und organisatorischer Maßnahmen regelmäßig zu überprüfen, zu bewerten und zu evaluieren. Daher sprechen manche Experten auch schon von der allgemeinen Pflicht zum Penetrationstest.

     

    Schon heute mit dem Thema Penetrationstest auseinandersetzen müssen sich solche Unternehmen, die Kreditkarten akzeptieren oder aus anderen Gründen Kreditkartendaten verarbeiten. Diese Unternehmen unterliegen den Vorschriften des Payment Card Industry Data Security Standards (PCI-DSS). Dieser fordert jährliche Penetrationstests zur Überprüfung der IT Sicherheit.

     

    Fazit

    Mit dem Thema Penetrationstests sollte man sich nicht nur auseinandersetzen, wenn man das eigene ISMS nach einer der anerkannten Normen zertifizieren lassen will. Wer seine Bemühungen um ein hohes IT-Sicherheitsniveau zertifizieren lassen will, für den sind Penetrationstests ein fester Baustein. Sinnbildlich kann man aber sagen, dass regelmäßige Penetrationstests für die Überprüfung der IT Sicherheit eines Unternehmens so essentiell sind wie die jährliche Kontrolle eines Zahnarztes für die Zahngesundheit.

     

    Jetzt IT-Security Blog abonnieren!