6. Woher kommen Pflichten für Pentests

Das Kapitel beleuchtet die regulatorischen Anforderungen an Penetrationstests in Deutschland und deren Bedeutung für die IT-Sicherheit. Es beginnt mit einer detaillierten Analyse des IT-Sicherheitsgesetzes (KRITIS) und den daraus resultierenden Pflichten für Betreiber kritischer Infrastrukturen. Diese müssen nach § 8a Abs. 1 BSIG angemessene organisatorische und technische Vorkehrungen treffen, um die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme zu gewährleisten. Die Erfüllung dieser Vorgaben ist alle zwei Jahre gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachzuweisen. Das BSI hat 2023 Grundsätzliche Anforderungen im Nachweisverfahren (GAiN) erlassen, die das Nachweisverfahren für KRITIS-Betreiber regeln. Diese Anforderungen umfassen die Dokumentation von Mängeln und deren Bewertung, sowie die Durchführung von Penetrationstests. Das Kapitel geht auch auf die Bedeutung der ISO/IEC 27001:2022 für die Umsetzung der NIS-2-Richtlinie ein, die zahlreiche Anforderungen zur Beherrschung von Cyberrisiken stellt. Die ISO/IEC 27001 ist ein zentraler Standard für Informations-Sicherheits-Management-Systeme (ISMS) und spielt eine entscheidende Rolle bei der Erfüllung der NIS-2-Anforderungen. Penetrationstests sind dabei ein wesentlicher Bestandteil, um die Sicherheitsziele der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu überwachen und zu schützen. Das Kapitel beleuchtet auch die Rolle von TIBER-DE und TLPT unter DORA im Finanzsektor. TIBER-DE ist ein Rahmenwerk für bedrohungsgeleitete ethische Hacking-Übungen, das die Cyberwiderstandsfähigkeit von Finanzunternehmen stärken soll. Mit der Einführung von DORA werden diese Tests verpflichtend für bestimmte Finanzunternehmen. Das Kapitel bietet einen detaillierten Einblick in die Methodik und den Prozess von TIBER-DE und TLPT, sowie deren Bedeutung für die IT-Sicherheit im Finanzsektor. Zudem wird die Bedeutung von Cyber-Versicherungen und deren Anforderungen an Penetrationstests diskutiert. Das Kapitel schließt mit einer umfassenden Analyse der regulatorischen Anforderungen und deren praktische Umsetzung in verschiedenen Branchen. Es zeigt auf, wie Penetrationstests zur Erhöhung der IT-Sicherheit beitragen und welche Rolle sie in der regulatorischen Landschaft spielen. Die detaillierte Darstellung der gesetzlichen Rahmenbedingungen und deren praktische Umsetzung macht das Kapitel zu einem wertvollen Leitfaden für IT-Sicherheitsbeauftragte und -manager.