Dienstleister zählen zu den Zielscheiben
Von Thomas Hofer, LMU München
Für die Durchführung eines Penetrationstests ist eine klare Zielvereinbarung unbedingt notwendig. Falls Ziele angestrebt werden, die sich nicht bzw. nicht effizient erreichen lassen, sollte der Tester vorab deutlich darauf hinweisen und alternative Vorgehensweisen empfehlen, z. B. eine IT-Revision oder eine IT-Sicherheitsberatung.
Die Ziele eines Penetrationstests lassen sich in vier Gruppen gliedern
- Erhöhung der Sicherheit der technischen Systeme,
- Identifikation von Schwachstellen,
- Bestätigung der IT-Sicherheit durch einen externen Dritten sowie
- Erhöhung der Sicherheit der organisatorischen und personellen Infrastruktur.
Penetrationstest in vier Phasen
- Vorbereitung: Klare Definition der Ziele und des konkreten Testszenarios. Dazu zählen Notfallmaßnahmen, falls beim Testangriff außerplanmäßige Reaktionen oder Ereignisse auftreten. Ein Beispiel ist das beabsichtigte oder unbeabsichtigte Abschalten der Firewall, welche die IT-Abteilung dann schnellstmöglich wieder aktivieren muss.
- Informationsbeschaffung: Hier sammelt der Penetrationstester umfangreich Daten über die Behörde/Firma, auch mithilfe von Social Engineering. Dazu zählt etwa, ob sensible Informationen oder IP-Adressen, die sich für spätere Angriffe nutzen lassen, direkt auffindbar sind. Diese Phase nimmt etwa 50 bis 60 % der Testzeit in Anspruch.
- Praktischer Test: Der Penetrationstester versucht, in die IT-Landschaft einzudringen. Dabei bedient er sich verschiedener Tools.
- Analyse und Ergebnisdarstellung: Der Tester analysiert die Ergebnisse und spricht Empfehlungen aus. Er erstellt in der Regel eine technische Zusammenfassung sowie eine Risikobewertung für die Verantwortlichen.
Beim Bundesamt für Sicherheit in der Informationstechnik gibt es die Studie „Durchführungskonzept für Penetrationstests“ zum freien Download.
Bei der Planung und Durchführung von Penetrationstests sind technische, organisatorische und juristische Anforderungen zu beachten. Zentral vor jedem Test sind die Absprache und die schriftliche Fixierung des konkreten Auftrags und Vorgehens. Der Vertrag zwischen Auftraggeber und Penetrationstester beweist letztlich, dass dieser im Auftrag der Behörde/des Unternehmens handelt, und schützt ihn vor Strafverfolgung, solange er sich konkret an den Vertrag hält. Wesentlich ist daher die exakte Festlegung des Handlungsrahmens. Es ist zweckmäßig, die erforderliche Einwilligung nach Festlegung des konkreten Handlungsrahmens in Form einer gesonderten Erklärung des Auftraggebers einzuholen.
Den Cloud-Anbieter einbeziehen!
Arbeitet die Behörde/Firma mit einem externen Cloud-Anbieter zusammen, so ist eine dritte Partei betroffen. Penetration testing ist in den Cloud-Verträgen oft nicht abgedeckt. Daher sollte der Vertrag den Pentrationstester dazu verpflichten, die rechtlichen Anforderungen mit dem Cloud-Provider abzuklären. Das bedeutet mindestens, dass der Tester seine Maßnahmen dem Cloud-Betreiber vorab bekannt gibt und detailliert das geplante Vorgehen schildert. Einige Provider bieten dafür mittlerweile vorgefertigte Muster an. Aus Nachweisgründen sollte sich auch der Auftraggeber die schriftliche Erlaubnis des Cloud-Anbieters vorlegen lassen. Dort muss genau festgehalten sein, welche Attacken der Penetrationstester zu welchem Datum und in welchem eindeutig definierten Zeitfenster durchführen darf. Fehlende schriftliche Dokumentationen bergen haftungsrechtliche Risiken. Das gilt sowohl für Tests in der Cloud als auch für solche auf On-premises-Systemen.
Thomas Hofer ist Volljurist und Leiter des Rechtsinformatikzentrums der Ludwig-Maximilians-Universität München, außerdem ein langjähriger Referent und Dozent mit Spezialisierung auf IT-Compliance-Recht.
Akad. Dir. Thomas Hofer, riz@jura.uni-muenchen.de, www.jura.uni-muenchen.de/fakultaet/riz/index.html
Regelmäßiger Testzyklus
Mit den Systemlandschaften ändern sich auch die rechtlichen Anforderungen rasant. Die IT-Sicherheit muss dabei Schritt halten. Da sich die Techniken der potenziellen Angreifer schnell weiterentwickeln und beinahe täglich neue Schwachstellen in IT-Systemen gemeldet werden, kann aus einem einzelnen Penetrationstest keine Aussage über das Sicherheitsniveau der geprüften Systeme für die Zukunft abgeleitet werden. Im Extremfall kann sogar unmittelbar nach einem Penetrationstest eine neue Sicherheitslücke entstehen und ein erfolgreicher Cyberangriff erfolgen.
Das bedeutet jedoch nicht, dass Penetrationstests sinnlos sind. Verantwortliche sollten ihre IT-Systeme am besten in definierten Abständen, auf jeden Fall aber sofort nach Bekanntwerden von Sicherheitslücken überprüfen lassen. Der Penetratationstest ist auch ein Instrument zur Erfüllung der Rechenschaftspflicht aus Art. 5 Abs. 2 und Art. 24 Abs. 1 der Datenschutzgrundverordnung.