Präventionsmaßnahme Penetrationstest: Was das ist und wie er gestaltet sein sollte

BSI-Leitfaden für IT-Verantwortliche: Wie sollte ein Internet-Sicherheit-Penetrationstest gestaltet sein.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Leitfaden für Penetrationstest herausgegeben. Da die Zahl von Hacker-Angriffen weiter zunimmt, sah sich das Amt in der Pflicht, etwas zur Prävention beizutragen. Einige nützliche Tipps zu Organisation und Durchführung eines Penetrationstests sind in dem Leitfaden zusammengefasst.

Warum es sich lohnt, einen Blick in das Dokument zu werfen, zeige ich heute auf meinem Blog. Außerdem erkläre ich natürlich, was es mit dem Penetrationstest auf sich hat, damit ihr – genau wie ich – wieder ein bisschen dazulernt ;-).

Sicherheitslücken selbst entdecken – bevor es ein Anderer tut

Auf meinem Blog habe ich schon häufiger darüber berichtet, was alles passieren kann, wenn das eigene IT-System gehackt wird. Die Folgen sind meist wenig amüsant und die Wiederherstellung der Daten und der technischen Infrastrukturen kann zeitaufwändig und teuer werden. Wie gut wäre es da, Sicherheitslücken selbst ausfindig machen zu können – und damit den Hackern zuvor zu kommen.

Möglich ist das mit einem sogenannten IT-Sicherheits-Penetrationstest, kurz IS-Penetrationstest. Der Leitfaden des BSI liefert dazu folgende Erklärung: „Ein IS-Penetrationstest ist ein erprobtes und geeignetes Vorgehen, um das Angriffspotenzial auf ein IT-Netz, ein einzelnes IT-System oder eine (Web-)Anwendung festzustellen.“

Auf gut Deutsch bedeutet das, dass mit dem Test festgestellt werden kann, ob irgendwo im System Schwachstellen zu finden sind, die von Hackern ausgenutzt werden könnten. Durchgeführt werden sollte der Test von spezialisierten Experten.

Organisation und fachliche Anforderungen

Da sich Penetrationstests immer an den jeweiligen Untersuchungsgegenstand anpassen und deshalb flexibel sein müssen, gibt es keinen standardisierten Ablauf, der einfach abgearbeitet werden kann.

Dennoch sind dem Leitfaden einige Checklisten beigefügt, die die Organisation eines Tests erleichtern und Anhaltspunkte dazu geben, welche fachlichen Qualifikationen ein Internet-Sicherheit-Penetrationstester besitzen sollte.

Fazit: Für alle IT-Verantwortlichen in Unternehmen und Freiberufler, die ihre Systeme einmal gründlich auf Sicherheitslücken checken lassen wollen, ist der Leitfaden des BSI eine wertvolle Hilfe! Da die wenigsten von uns wissen dürften, worauf es bei der Wahl eines Experten in diesem Bereich ankommt und wie ein solcher Test ablaufen sollte, kann ich die Lektüre wärmstens empfehlen 🙂