Praxisbezug
In einer vorgelagerten Informationsbeschaffungsphase (Reconnaissance) werden öffentlich verfügbare Informationen über das Unternehmen und seine IT-Infrastruktur, im Rahmen von Blackbox-Tests, ermittelt. Dies stellt das übliche Angreifer-Vorgehen nach, bei dem zunächst rein passiv und aus öffentlichen Quellen möglichst viele Informationen über das Ziel gesammelt werden. Hierzu gehören zum Beispiel IP-Adressbereiche, DNS-Einträge, E-Mail-Adressen, Technologie-Informationen, Metadaten aus Dokumenten etc.
Sind die Erkenntnisse gesichtet und finale Zielsysteme für die weiterführende und tiefe, aktive Überprüfung festgelegt, werden die Tests in Form von Greybox-Tests fortgeführt. Es folgt ein umfassender Penetrationstest auf alle relevanten Systeme und Dienste der über das Internet erreichbaren IT-Infrastruktur, um Optimierungspotenziale und Schwachstellen zu identifizieren sowie behebende Maßnahmen zu empfehlen.
Gesetzliche Regelung
- Die Legalität von Penetrationstests ist nur dann gegeben, wenn beide Parteien eine Vereinbarung getroffen haben, ansonsten erfüllen sie möglicherweise einen Straftatbestand.
- Es gibt keine direkte Pflicht zu Penetrationstests, diese lässt sich aber aus einigen Gesetzen/Verordnungen indirekt ableiten. Die DS-GVO regelt in Art. 32, Abs. 1 lit. d.), dass der Verantwortliche ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einführen muss. Dies kann er nach derzeitigem Wissensstand insbesondere durch regelmäßige Pentests erfüllen.
- Mit einer Regierungsbeteiligung der FDP (und auch der Grünen) ist zu erwarten, dass im Bereich IT-Sicherheit die Anforderungen an Behörden und auch Unternehmen viel spezifischer werden. Pentests könnten Pflicht werden.
- Verschiedene kundige Bundes- und Landesbehörden führen Penetrationstests durch, vor allem das BSI.
- Das BSI hat auch einen Praxis-Leitfaden: IT-Sicherheits-Penetrationstest erstellt, in dem Penetrationstests für Durchführende erklärt werden.
- Für Behörden sind diese kostenlos, Kritische Infrastrukturen (KRITIS), wie beispielsweise Energie- und Trinkwasserversorgung sowie Abwasserentsorgung, müssen bezahlen.
- In der aktuellen politischen Debatte um Penetrationstests geht es etwa um Forderungen von Landtagen (zum Beispiel Bayern) und Datenschutzbeauftragten, die LUCA-App durch Penetrationstests überprüfen zu lassen.
Warum ist das für die Geschäftsführung wichtig?
Alle Business Assets, die mit dem Internet verzahnt sind, sind automatisch sofort angreifbar. Der externe Penetrationstest ist daher besonders wichtig, um das Bedrohungspotenzial von Angriffen von außen zu identifizieren, präventive Maßnahmen zu treffen und so sein Geschäft zu schützen. Dabei ist der externe Penetrationstests allerdings nur ein wichtiger Baustein von vielen.