5. Der Penetrationstest als Instrument der Internen Revision

Der Penetrationstest ist ein mächtiges Instrument, um die Unternehmens-IT gegen alltägliche Angriffe vorausschauend abzusichern. Das vorliegende Kapitel wird den Penetrationstest in seiner Funktion als Qualitätssicherungsmaßnahme auch für Nicht-IT-Experten eingängig und mit praktischem Bezug vorstellen. Dabei wird unter anderem aufgezeigt, welche qualitativen Mehrwerte eine Integration von Penetrationstests in Prüfpläne generiert. Der erste Schwerpunkt liegt auf der Art und Weise, wie ein Revisor ein Angriffsszenario spezifiziert. Die wichtigsten Spezifika sind dabei: Angriffsursprung, Angriffsziel, Testtiefe, Testmittel, Wissensstand und Motivation des Täters. Ferner ist vom Revisor zu entscheiden, ob es sich um angekündigte oder unangekündigte Tests handelt, ein offensichtliches oder verdecktes Vorgehen eingesetzt wird und wie hoch die Aggressivität des Täters ist. Auch wie die Testszenarien geschickt gebündelt werden können (Clustering), wird erläutert, da hier Potenziale zur Kosten- und Zeitersparnis liegen. Um die Integration von Penetrationstests in Revisionsprüfpläne zu erleichtern, werden praktische Beispiele und Auswahlkriterien zur Entscheidungshilfe aufgeführt. So werden etwa Möglichkeiten aufgezeigt, wie Kosten minimiert und Budgets optimal eingeteilt werden können. Darüber hinaus wird auch den relevanten Fragen bezüglich der bestehenden Rechtslage sowie realen Risiken und dem Umgehen derselben in der Praxis nachgegangen. Mit der zunehmenden Professionalisierung und dem Branchenboom stieg in den vergangenen Jahren auch die Anzahl der Penetrationstest-Dienstleister. Aus diesem Grund wird ebenfalls eine Reihe von Kriterien aufgelistet, die es erleichtern soll, den richtigen Anbieter für eine langfristige partnerschaftliche Zusammenarbeit zu finden.