Wonach muss ich eigentlich suchen?
Experten, die in der Lage sind, Computernetzwerke auf Sicherheitslücken zu überprüfen, heißen in der Fachsprache Penetrationstester. IT-Sicherheitstests sollten grundsätzlich von einer externen Person durchgeführt werden, die nicht beim Aufbau des Unternehmens-Netzwerkes mitgeholfen hat und dadurch betriebsblind geworden ist. Außerdem sollte sie ohne Scheu in der Lage sein, auch gravierende Sicherheitslücken anzusprechen.
Wie findet man einen Penetrationstester?
Seriöse Experten findet man am einfachsten über das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Behörde zertifiziert Einzelpersonen für die Durchführung von Sicherheitstests. Eine aktuelle Liste der Unternehmen, in denen zertifizierte Penetrationstester arbeiten, ist hier öffentlich zugänglich.
Zertifiziert werden nur Experten, die Kenntnisse haben in der Systemadministration, beim Thema Netzwerkprotokolle, in unterschiedlichen Programmiersprachen, bei Firewalls und anderen Sicherheitsprodukten, sowie in unterschiedlichen Anwendungssystemen (z.B. Textverarbeitungsprogramme). Nachweisen müssen angehende Penetrationstester ihre Expertise durch Berufserfahrung, Schulungen, Zeugnisse oder Projekte. Zusätzlich müssen sie über aktuelle Kenntnisse in der IT-Sicherheit verfügen und verschiedene Methoden und Werkzeuge kennen, mit deren Hilfe Schwachstellen gefunden werden können. Überprüft werden all diese Kenntnisse am BSI. Wer nicht besteht, kann die Prüfung einmal wiederholen. Danach ist eine Zertifizierung nicht mehr möglich. Die Liste der vom BSI zertifizierten Penetrationstester ist allerdings nicht besonders lang.
Die vom BSI zertifizierten Tester kommen für mich nicht in Frage. Und jetzt?
Wer über das BSI keinen Experten in seiner Nähe findet und zusätzliche Kosten für eine lange Anreise des Testers vermeiden will, kann sich selbst auf die Suche machen. Bei der Auswahl eines Experten empfiehlt das BSI, auf folgende Aspekte zu achten:
Als seriöse Alternative zur BSI-Zertifizierung empfiehlt das Bundesamt die Zertifizierung von CREST, einer Non-Profit Organisation, die ebenfalls eine Liste mit den von ihr zertifizierten Anbietern führt. Genauso wie bei der BSI-Zertifizierung, müssen die IT-Experten auch bei CREST theoretisches und praktisches Wissen nachweisen. Allerdings sitzt CREST in Großbritannien und führt überwiegend britische, aber auch einige internationale Unternehmen in seiner Liste. Eine weitere Alternative sind Zertifikate der Certified Ethical Hacker. Um diese Zertifizierung zu bekommen, müssen Sicherheitsexperten allerdings nur theoretisches und kein praktisches Wissen nachweisen.
Der Experte, den ich angefragt habe, verfügt über gar kein Zertifikat. Kann ich ihm trotzdem vertrauen?
Liegt gar keine Zertifizierung vor, so empfiehlt das BSI, dass man einen Nachweis über die Berufserfahrung der Person im Bereich Penetrationstest verlangt. Außerdem sollte die Person eine abgeschlossene technische Ausbildung, mindestens fünf Jahre Berufserfahrung und davon zwei Jahre Vollzeit in der Informationssicherheit vorweisen können. Außerdem sollte er laut Empfehlung des BSI in den vergangenen drei Jahren an der Durchführung von mindestens sechs Penetrationstests beteiligt gewesen sein und diese im Idealfall durch Referenzen belegen können. Will jemand die Namen der Unternehmen, in denen er die Tests durchgeführt hat, nicht nennen, weil er Verschwiegenheit zugesichert hat, sollte man zumindest nach Branche und Unternehmensgröße fragen.
Worauf muss ich achten, wenn ich einen Vertrag mit dem Penetrationstester abschließe?
Zunächst einmal sollte man unbedingt darauf bestehen, dass ein schriftlicher Vertrag geschlossen wird. Darin sollte stehen, welche Systeme genau geprüft werden, wie lange die Prüfung dauert, was sie kostet und was im Anschluss an die Präsentation geschieht (z.B. eine Präsentation der Ergebnisse). Darüber hinaus muss unbedingt festgelegt werden, in welchem Maße der Penetrationstester zur Verschwiegenheit verpflichtet ist. Das BSI rät dazu, den Experten zu verpflichten, Dritten gegenüber keine Auskunft geben zu dürfen.
Müssen Unternehmer Angst um ihre Daten haben?
Fast immer müssen die IT-Experten während des Penetrationstests Unternehmensdaten speichern. Im Vertrag sollte man genau festhalten, auf welchem Medium diese Speicherung erfolgen darf und wann sie spätestens wieder gelöscht werden muss. Müssen beispielsweise personenbezogene Daten gespeichert werden, sollte man vor dem Test gemeinsam mit dem Penetrationstester überlegt werden, ob und wie diese anonymisiert werden können. Seriöse Tester werden sich an die vertragliche Abmachung halten. Unternehmer sollten sich aber trotzdem darüber bewusst sein, dass es keine hundertprozentige Sicherheit gibt.
Was sollte ich durch den Experten überprüfen lassen?
Bevor man gemeinsam mit dem Penetrationstester entscheidet, welche Elemente des Netzwerks geprüft werden, sollte man sich folgende Fragen stellen:
- Welche Systeme sind geschäftskritisch?
- Wo gibt es Schnittstellen, über die ein Angreifer in mein Netzwerk eindringen könnte?
Pauschale Antworten auf diese Fragen gibt es nicht. Klassischerweise werden aber beispielsweise Router, Switches, Firewalls, Datenbank- und Webserver, Webshops und WLANs überprüft.
Wie oft sollte ich einen Penetrationstest machen lassen?
Weil es ständig neue Angriffsmethoden gibt und immer wieder neue Sicherheitslücken aufgedeckt werden, empfiehlt das BSI, alle zwei bis drei Jahre einen Test durchführen zu lassen.
Und nach dem Test?
Das BSI empfiehlt, die gefundenen Schwachstellen vom Penetrationstester einstufen zu lassen (Schadenspotenzial ist niedrig, mittel, hoch und zur Information). Auf Schwachstellen mit hohem Schadenspotenzial sollte man sofort reagieren; bei mittlerem Schadenspotenzial sollte man binnen weniger Wochen reagieren. Manchmal kann man den Penetrationstester selbst mit der Behebung des Schadens beauftragen. Sollte das nicht möglich sein, kann dieser in der Regel aber Hinweise darauf geben, an wen man sich wenden kann.
Wie die Schwachstellen eingestuft werden, hängt davon ab, ob an der betreffenden Stelle sensible Daten verarbeitet werden und davon, wie wahrscheinlich ein Angriff über diese Stelle ist.
Was muss ich sonst noch beachten?
Je nach System, das getestet wird, kann es vorkommen, dass Mitarbeiter oder Kunden in ihrer Arbeit beeinträchtigt werden. Sie sollten deshalb vorab informiert werden. Nach Möglichkeit sollte der Test in einem Zeitraum stattfinden, zu dem wenig Betrieb auf dem System ist. Denn wird das System während des Tests verändert, verliert dieser an Aussagekraft.
Einen ausführlichen Leitfaden mit vielen Hinweisen zu Penetrationstests findet man auch auf der Website des BSI.
Ab Seite 28 in diesem Dokument gibt es außerdem eine Checkliste mit allen Punkten, an die man bei der Beauftragung eines Penetrationstests denken sollte.