Penetrationstests erfolgreich umsetzen

Dieses Buch ist ein Praxisleitfaden für Verantwortliche in Unternehmen, die Penetrationstests erfolgreich umsetzen wollen. Dabei werden aktuelle regulatorische Anforderungen sowie Chancen, Herausforderungen und die Machbarkeit von konkreten Szenarien durch Künstliche Intelligenz (KI) beleuchtet.

Der Fokus bei Pentests liegt meist auf digitalen Komponenten, die über das Netzwerk mit ihrer Außenwelt verbunden sind. Das liegt daran, dass es eine mögliche Bedrohung geben muss, damit eine Schwachstelle ausgenutzt werden kann und sie damit erst zu einem Risiko wird. Das Testen von Szenarien ohne erkennbare Bedrohung ist deshalb meist nicht zielführend und Ressourcen sind an anderer Stelle besser investiert. Bedrohungen können Angreifer von außen, wie Ransomware-Gruppen, Skript Kiddies und staatliche Akteure, sein, aber auch Innentäter.

Die Vielfalt von Pentesting-Anbietern ist groß und reicht von soloselbständigen Freelancern über kleine und mittlere Unternehmen bis zu Pentesting-Teams in großen Unternehmensberatungen. Zudem gibt es in Unternehmen mit entsprechender Größe und Bedarf teilweise auch interne Pentesting-Teams – mehr dazu in Abschn. 3.3.

In diesem Kapitel wird ein exemplarischer Ablauf eines Pentest-Projekts beschrieben. Abhängig von Gegebenheiten im eigenen Unternehmen können Abweichungen im Vorgehen sinnvoll sein. Jedoch sollten die aufgeführten Aspekte inhaltliche Abdeckung finden.

Da Pentester zumeist erfolgreich in die IT-Systeme einer Organisation eindringen, werden eine Reihe von rechtlichen Fragen aufgeworfen. Zu erörtern sind zunächst die wesentlichen Anforderungen aus dem Datenschutz wie etwa die datenschutzrechtliche Ermächtigungsgrundlage oder ob ein Vertrag zur Auftragsverarbeitung erforderlich ist. Eine besondere Bedrohung für den Pentester stellen die Regelungen zum Hacker-Strafrecht dar. Hier wird dargelegt, wie Strafbarkeit beim Pentesting vermieden werden kann. Behandelt werden zentrale Aspekte der Vertragsgestaltung und Haftung, etwa und in welchem Umfang Haftung beschränkt werden kann. Im Online-Material zum Buch ist ein Vertragsmuster enthalten, dass die wesentlichen Regelungen eines Pentest-Vertrages darstellt.

Durch Verabschiedung des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) wurde 2015 von den Betreibern der sog. Kritischen Infrastruktur (KRITIS) gesetzlich neben allgemeinen Sorgfaltspflichten, Verkehrssicherungspflichten und vereinzelt je nach Sektor bereits vorgeschriebenen Spezialpflichten (etwa zum Störfallbetrieb) folgendes festgelegt: KRITIS-Betreiber haben einerseits nach § 8b Abs. 3 BSIG eine Kontaktstelle gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI), die für KRITIS-Betreiber als zusätzliche Aufsichtsbehörde fungiert, einzurichten.

Pentests sind eine wichtige Maßnahme im Rahmen des kontinuierlichen Verbesserungsprozesses und geben Ihnen einen Einblick, was Angreifer bei Ihnen an Schwachstellen finden werden. Deshalb ist die Durchführung bzw. Beauftragung und schlussendlich die Umsetzung eines Pentests eine sinnvolle Maßnahme, um Ihr Informationssicherheitsniveau auf die nächste Stufe zu heben.

Künstliche Intelligenz (KI) hat sich zu einem Begriff entwickelt, der nahezu in jede Domäne Einzug hält. Dabei ist es nicht überraschend, dass damit auch das Pentesting betroffen ist.