Computer und Internet So finden Sie einen seriösen Hacker - Seite 2

Der Experte, den ich angefragt habe, verfügt über gar kein Zertifikat. Kann ich ihm trotzdem vertrauen?

Liegt gar keine Zertifizierung vor, so empfiehlt das BSI, dass man einen Nachweis über die Berufserfahrung der Person im Bereich Penetrationstest verlangt. Außerdem sollte die Person eine abgeschlossene technische Ausbildung, mindestens fünf Jahre Berufserfahrung und davon zwei Jahre Vollzeit in der Informationssicherheit vorweisen können. Außerdem sollte er laut Empfehlung des BSI in den vergangenen drei Jahren an der Durchführung von mindestens sechs Penetrationstests beteiligt gewesen sein und diese im Idealfall durch Referenzen belegen können. Will jemand die Namen der Unternehmen, in denen er die Tests durchgeführt hat, nicht nennen, weil er Verschwiegenheit zugesichert hat, sollte man zumindest nach Branche und Unternehmensgröße fragen.

Worauf muss ich achten, wenn ich einen Vertrag mit dem Penetrationstester abschließe?

Zunächst einmal sollte man unbedingt darauf bestehen, dass ein schriftlicher Vertrag geschlossen wird. Darin sollte stehen, welche Systeme genau geprüft werden, wie lange die Prüfung dauert, was sie kostet und was im Anschluss an die Präsentation geschieht (z.B. eine Präsentation der Ergebnisse). Darüber hinaus muss unbedingt festgelegt werden, in welchem Maße der Penetrationstester zur Verschwiegenheit verpflichtet ist. Das BSI rät dazu, den Experten zu verpflichten, Dritten gegenüber keine Auskunft geben zu dürfen.

Müssen Unternehmer Angst um Ihre Daten haben?

Fast immer müssen die IT-Experten während des Penetrationstests Unternehmensdaten speichern. Im Vertrag sollte man genau festhalten, auf welchem Medium diese Speicherung erfolgen darf und wann sie spätestens wieder gelöscht werden muss. Müssen beispielsweise personenbezogene Daten gespeichert werden, sollte man vor dem Test gemeinsam mit dem Penetrationstester überlegt werden, ob und wie diese anonymisiert werden können. Seriöse Tester werden sich an die vertragliche Abmachung halten. Unternehmer sollten sich aber trotzdem darüber bewusst sein, dass es keine hundertprozentige Sicherheit gibt.

Was sollte ich durch den Experten überprüfen lassen?

Bevor man gemeinsam mit dem Penetrationstester entscheidet, welche Elemente des Netzwerks geprüft werden, sollte man sich folgende Fragen stellen:
1. Welche Systeme sind geschäftskritisch?
2. Wo gibt es Schnittstellen, über die ein Angreifer in mein Netzwerk eindringen könnte?
Pauschale Antworten auf diese Fragen gibt es nicht. Klassischerweise werden aber beispielsweise Router, Switches, Firewalls, Datenbank- und Webserver, Webshops und WLANs überprüft.

Seiten: 1 2 3
1 Kommentar
  • Anton Matter 31. März 2021 17:10

    Guten Tag
    Ich bin der Internetfirma HBC auf den Leim gegangen und 17’000.00 Euro verloren. Kann ich diese irgendwie zurückholen? Finanziell machte ich mir naive Hoffnungen, bin aber nun ruiniert.

Hinterlassen Sie einen Kommentar

(Die Redaktion schaltet Kommentare montags bis freitags von 10 bis 18 Uhr frei. Die Angabe von Name und E-Mail-Adresse ist freiwillig. IP-Adressen werden nicht gespeichert. Mit der Abgabe eines Kommentars stimmen Sie unseren Datenschutzbestimmungen zu.)