Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterscheidet in seiner Definition des Penetrationstests nicht zwischen intern und extern. Aus fachlichen und technischen Gründen sowie wegen der unterschiedlichen Ausgangslagen und Risiken, grenzt die @-yet die beiden Varianten stark voneinander ab.
Praxisbezug
Bei der Durchführung eines internen Penetrationstests wird den Testern ein Zugang zu dem lokalen Netzwerk des Unternehmens gestattet. Dieser erfolgt meist vor Ort oder coronabedingt durch einen VPN-Zugang mit Verbindung zu einer der Netzwerkzonen, mit denen Mitarbeiter-PCs verbunden sind. Durch den direkten Einblick in die interne Netzwerkinfrastruktur spüren die @-yet Resulter Schwachstellen auf und dokumentieren diese in einem eigens dafür angelegten Ergebnisbericht. Jede Schwachstelle wird auf ihre Kritikalität hin eingeschätzt und mit einer Einstufung versehen. Mithilfe dieser Einstufung lassen sich die Schwachstellen später priorisieren und in angemessener Zeit beheben. Abgeschlossen wird das Assessment durch eine Präsentation oder einen Workshop, in denen die gefundenen Schwachstellen erläutert sowie Rückfragen aus der Geschäftsleitung und aus der IT beantwortet werden können.
Gesetzliche Regelung
- Bei Penetrationstests wird im Allgemeinen nicht zwischen der Durchführung remote oder vor Ort unterschieden.
- Penetrationstests sind grundsätzlich nur dann rechtmäßig, wenn das Einverständnis beider Seiten explizit vorliegt.
- Die gleichen gesetzlichen Vorgaben und Einschränkungen, die für externe Penetrationstests gelten, sind auch bei Penetrationstests vor Ort (intern) relevant.
- Für Behörden wird nach dem Koalitionsvertrag ein regelmäßiger Penetrationstest wahrscheinlich zur Pflicht.
Zurzeit spüren Unternehmen, vor allem im Mittelstand, schmerzlich die Auswirkung eines über Jahre aufgebauten Cyber Security Schuldenberges. Durch falsche Fokussierung oder generellen Mangel an Investitionen in diesem Sektor werden viele Unternehmen kompromittiert und haben kaum eine Chance auf die Angriffe zu reagieren. Hier ist Handeln angesagt, und zwar als fortlaufender Prozess. Penetrationstests sollten regelmäßig und mit entsprechendem Personal zur Schwachstellenbeseitigung durchgeführt werden.
Warum ist das für die Geschäftsführung wichtig?
Interne Penetrationstests verschaffen Unternehmen einen realistischen Überblick über das Qualitätsniveau der technischen Infrastruktur und der Prozesslandschaft. Wie leicht wird es einem potentiellen Angreifer gemacht, tiefer in die internen Unternehmensnetze und -systeme einzudringen? Mit welchen Maßnahmen kann das Sicherheitsniveau nachhaltig wirksam verbessert werden?
Der interne Penetrationstest beantwortet diese Fragen und ermittelt Quick Wins (schnelle Resultate mit wenig Aufwand) sowie mittel- und langfristige Maßnahmen.