Bei einem Penetrationstest prüft ein meist externer Dienstleister, ob ein Netzwerk Angriffsflächen für Cyberattacken bietet. Autraggeber und Autragnehmer müssen dabei ihre Ziele klar definieren und schriftlich festhalten. Beim Test selbst gilt es, rechtliche Vorschriften zu respektieren – auch die Rechte des Cloudanbieters.

Für die Durchführung eines Penetrationstests ist eine klare Zielvereinbarung unbedingt notwendig. Falls Ziele angestrebt werden, die sich nicht bzw. nicht effizient erreichen lassen, sollte der Tester vorab deutlich darauf hinweisen und alternative Vorgehensweisen empfehlen, z. B. eine IT-Revision oder eine IT-Sicherheitsberatung.

Die Ziele eines Penetrationstests lassen sich in vier Gruppen gliedern

  1. Erhöhung der Sicherheit der technischen Systeme
  2. Identifikation von Schwachstellen
  3. Bestätigung der IT-Sicherheit durch einen externen Dritten
  4. Erhöhung der Sicherheit der organisatorischen und personellen Infrastruktur

 

Ein Penetrationstest besteht aus vier Phasen

  1. Vorbereitung: Klare Definition der Ziele und des konkreten Test-Szenarios. Dazu zählen Notfallmaßnahmen, falls beim Testangriff außerplanmäßige Reaktionen oder Ereignisse auftreten. Ein Beispiel ist das beabsichtige oder unbeabsichtigte Abschalten der Firewall, welche die IT-Abteilung dann schnellstmöglich wieder aktivieren muss.
  2. Informationsbeschaffung: Hier sammelt der Penetration-Tester umfangreich Daten über die Behörde/Firma, auch mithilfe von Social Engineering. Dazu zählt etwa, ob sensible Informationen oder IP-Adressen, die sich für spätere Angriffe nutzen lassen, direkt auffindbar sind. Diese Phase nimmt etwa 50 bis 60 % der Testzeit in Anspruch.
  3. Praktischer Test: Der Penetration-Tester versucht, in die IT-Landschaft einzudringen. Dabei bedient er sich verschiedener Tools.
  4. Analyse und Ergebnisdarstellung: Der Tester analysiert die Ergebnisse und spricht Empfehlungen aus. Er erstellt in der Regel eine technische Zusammenfassung sowie eine Risikobewertung für die Verantwortlichen.

Bei der Planung und Durchführung von Penetrationstests sind technische, organisatorische und juristische Anforderungen zu beachten. Zentral vor jedem Test sind die Absprache und  die schriftliche Fixierung des konkreten Auftrags und Vorgehens. Der Vertrag zwischen Auftraggeber und Penetration-Tester beweist letztlich, dass dieser im Auftrag der Behörde/des Unternehmens handelt, und schützt ihn vor Strafverfolgung, solange er sich konkret an den Vertrag hält. Wesentlich ist daher die exakte Festlegung des Handlungsrahmens. Es ist zweckmäßig, die erforderliche Einwilligung nach Festlegung des konkreten Handlungsrahmens  in Form einer gesonderten Erklärung des Auftraggebers einzuholen.

Der Cloudanbieter muss einbezogen werden

Arbeitet die Behörde/Firma mit einem externen Cloudanbieter zusammen, so ist eine dritte Partei betroffen. Penetrationtests sind in den Cloud-Verträgen oft nicht abgedeckt. Daher sollte der Vertrag den Pentration-Tester dazu verpflichten, die rechtlichen Anforderungen mit dem Cloud-Provider abzuklären. Das bedeutet mindestens, dass der Tester seine Maßnahmen dem Cloudbetreiber vorab bekanntgibt und detailliert das geplante Vorgehen schildert. Einige Cloud-Provider bieten dafür mittlerweile vorgefertigte Muster an. Aus Nachweisgründen sollte sich auch der Auftraggeber die schriftliche Erlaubnis des Cloudanbieters vorlegen lassen. Dort muss genau festgehalten sein, welche Attacken der Penetration-Tester zu welchem Datum und in welchem eindeutig definierten Zeitfenster durchführen darf. Fehlende schriftliche Dokumentationen bergen haftungsrechtliche Risiken. Das gilt sowohl für Tests in der Cloud als auch auf On-Premise-Systemen.

Fazit

Mit den Systemlandschaften ändern sich auch die rechtlichen Anforderungen rasant. Die IT-Sicherheit muss dabei Schritt halten. Da sich die Techniken der potenziellen Angreifer schnell weiterentwickeln und beinahe täglich neue Schwachstellen in IT-Systemen gemeldet werden, kann aus einem einzelnen Penetrationstest keine Aussage über das Sicherheitsniveau der geprüften Systeme für die Zukunft abgeleitet werden. Im Extremfall kann sogar unmittelbar nach einem Penetrationstest eine neue Sicherheitslücke enstehen und ein erfolgreicher Cyberangriff erfolgen. Das bedeutet jedoch nicht, dass Penetrationstests sinnlos sind. Verantwortliche sollten ihre IT-Systeme  am besten in definierten Abständen, auf jeden Fall aber sofort nach Bekanntwerden von Sicherheitslücken überprüfen lassen. Der Penetratationstest ist auch ein Instrument zur Erfüllung der Rechenschaftspflicht aus Art. 5 Abs.2 und 24 Abs. 1 der Datenschutzgrundverordnung.

Weiterführende Quellen:
BSI-Studie Durchführungskonzept für Penetrationstests

    Verpassen sie keine Beiträge mehr!

    Wenn Ihnen dieser Beitrag gefällt, abonnieren Sie unsere Newsletter. Dann entgeht Ihnen kein Insidas Artikel mehr.

    Datenschutzhinweis

    Mit dem Abonnement des Newsletters messen wir auch Reichweite und Erfolg, um diesen noch interessanter zu gestalten. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung.

    Diese Beiträge könnten Sie auch interessieren

    Hinweisgebersysteme müssen eingerichtet werden

    Hinweisgebersysteme müssen eingerichtet werden

    Am 17.12.2021 hätte die Whistleblower-Richtlinie (EU) 2019/1937 in nationales Recht umgesetzt werden müssen. Der deutsche Gesetzgeber ist dem bis jetzt jedoch nicht nachgekommen. Die Richtlinie soll es Arbeitnehmern und anderen Beteiligten ermöglichen, mittels eines...

    read more
    Mitbestimmung im virtuellen Raum

    Mitbestimmung im virtuellen Raum

    Die Einführung von Software und Diensten erfolgt regelmäßig, um einen dienstlichen oder geschäftlichen Zweck zu erreichen. Dazu werden IT-Projekte aufgesetzt, die sich unterschiedlicher Hilfsmittel bedienen. In der aktuellen Corona-Krise dominieren Projekte zur...

    read more
    In die Cloud, aber richtig?

    In die Cloud, aber richtig?

    In der aktuellen Corona-Krise mit Home Office, Online-Meetings uvm. ist der Zugriff auf Daten oder Software über das Internet verbreiteter denn je. Immer mehr Privatpersonen und Unternehmen nutzen im täglichen Leben Angebote und Dienste aus der Cloud, eine Zukunft...

    read more
    Wie geht man als Arbeitgeber mit Passwörtern richtig um?

    Wie geht man als Arbeitgeber mit Passwörtern richtig um?

    Viele Beschäftigte kennen sie: Hinweise mit dem Inhalt „Ihr Passwort ist älter als 90 Tage. Bitte ändern Sie es umgehend.“ Im Arbeitsalltag werden sie vielfach als Behinderung bei der eigentlichen Arbeit wahrgenommen.  Passwortänderungen, die über Jahre hinweg nur aus...

    read more