Das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Leitfaden für Penetrationstest herausgegeben. Da die Zahl von Hacker-Angriffen weiter zunimmt, sah sich das Amt in der Pflicht, etwas zur Prävention beizutragen. Einige nützliche Tipps zu Organisation und Durchführung eines Penetrationstests sind in dem Leitfaden zusammengefasst.
Warum es sich lohnt, einen Blick in das Dokument zu werfen, zeige ich heute auf meinem Blog. Außerdem erkläre ich natürlich, was es mit dem Penetrationstest auf sich hat, damit ihr – genau wie ich – wieder ein bisschen dazulernt ;-).
Sicherheitslücken selbst entdecken – bevor es ein Anderer tut
Auf meinem Blog habe ich schon häufiger darüber berichtet, was alles passieren kann, wenn das eigene IT-System gehackt wird. Die Folgen sind meist wenig amüsant und die Wiederherstellung der Daten und der technischen Infrastrukturen kann zeitaufwändig und teuer werden. Wie gut wäre es da, Sicherheitslücken selbst ausfindig machen zu können – und damit den Hackern zuvor zu kommen.
Möglich ist das mit einem sogenannten IT-Sicherheits-Penetrationstest, kurz IS-Penetrationstest. Der Leitfaden des BSI liefert dazu folgende Erklärung: „Ein IS-Penetrationstest ist ein erprobtes und geeignetes Vorgehen, um das Angriffspotenzial auf ein IT-Netz, ein einzelnes IT-System oder eine (Web-)Anwendung festzustellen.“
Auf gut Deutsch bedeutet das, dass mit dem Test festgestellt werden kann, ob irgendwo im System Schwachstellen zu finden sind, die von Hackern ausgenutzt werden könnten. Durchgeführt werden sollte der Test von spezialisierten Experten.
Organisation und fachliche Anforderungen
Da sich Penetrationstests immer an den jeweiligen Untersuchungsgegenstand anpassen und deshalb flexibel sein müssen, gibt es keinen standardisierten Ablauf, der einfach abgearbeitet werden kann.
Dennoch sind dem Leitfaden einige Checklisten beigefügt, die die Organisation eines Tests erleichtern und Anhaltspunkte dazu geben, welche fachlichen Qualifikationen ein Internet-Sicherheit-Penetrationstester besitzen sollte.
