Gratis-Download

Das aktuelle Gesetz BDSG ändert sich nicht nur, sondern es wird komplett in die DS-GVO aufgehen. Welche Konsequenzen diese Änderung auch für Sie als...

Jetzt downloaden

So funktionieren Penetrationstests (Pentest) zur Bewertung und Evaluierung der technischorganisatorischen Maßnahmen

0 Beurteilungen
White-Box-Angriff | Urheber: Andrew Stefanovsky - Fotolia

Von Sebastian Tausch,

Die Datenschutz-Grundverordnung (DS-GVO) verpflichtet Unternehmen, die Qualität der technischen und organisatorischen Maßnahmen ausreichend zu testen.

Gemäß Art. 32 Abs. 1 Satz 2 lit. d müssen Betreiber von technischen Systemen „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ implementieren. Gemeint sind hier u.a. differenzierte Penetrationstests zur Aufdeckung möglicher Schwachstellen in Sicherheitsmechanismen. Mit diesem Artikel möchte ich Ihnen meine Empfehlungen beim „Projekt Penetrationstest“ anbieten.

Definition Penetrationstest

(Pentest oder PT = penetration testing) Ein Pentest wird zur Schwachstellenanalyse eingesetzt und dient dem Auffinden von Sicherheitslücken in IT-Systemen. Der Pentest ist nicht standardisiert, wird auf Basis des Pentester-Wissens und anhand herstellerspezifischer Erfahrungswerte durchgeführt. Er kann als simulierter Hacker-Angriff verstanden werden. Erfahrung und praktisches Wissen des Pentesters (Ethical-Hacker) sind ausschlaggebend für den Erfolg.

Tipp: Besprechen Sie das Thema Security-Audit und Pentest vorab mit Ihrer IT-Abteilung. Räumen Sie den Kollegen die notwendige Zeit ein, bestehende Konfigurationen aus dem Fokus eines kommenden Audits zu bewerten.

Die Grundlage – das Security Audit

Über einen Pentest werden mögliche Sicherheitslücken aufgedeckt. Hatten Sie bisher noch keine unabhängigen Überprüfungen Ihrer IT-Infrastruktur durchführen lassen, empfiehlt sich vorab über ein Security-Audit nachzudenken. Hierbei werden offensichtliche Lücken und fehlende Sicherheitsprozesse wie ein funktionierendes Patchmanagement aufgedeckt, in einer Übersicht erfasst und über eine Risikobewertung priorisiert. Im nächsten Schritt werden die sich daraus ergebenden Aufgaben definiert, anhand des Schweregrades gelistet und den Ansprechpartnern präsentiert.

Hierbei sollten nicht nur technische Abläufe begutachtet werden, sondern auch interne Sicherheitskonzepte und -prozesse. 

Empfehlung: In der Regel wird ein White-Box-Angriff empfohlen. Die zusätzlichen Erkenntnisse eines Black-Box-Angriffs rechtfertigen meist nicht die höheren Kosten durch aufwändige Recherchetätigkeiten. Die eingesparte Zeit kann sehr viel effizienter bei der Überprüfung der IT-Systeme verwendet werden. Social-Engineering-Angriffe sind sehr zielführend, wenn im Nachgang Mitarbeiterschulungen geplant sind. Die praktischen Erkenntnisse aus dem Test bleiben den Teilnehmern lange im Gedächtnis.

Anzeige

Varianten eines Pentests

Black-Box-Angriff

Als Black-Box-Angriff bezeichnet man einen Pentest, bei dem der Pentester vom Auftraggeber keine Informationen erhält. Bei Black-Box-Angriffen kann auch der Zeitraum des Tests offenbleiben und nur wenige Mitarbeiter sind über den geplanten Angriff informiert. Diese Art von Pentest ist realitätsnäher und simuliert die Perspektive eines Angreifers deutlicher. Zudem erfasst ein Black-Box-Angriff auch die Recherche wichtiger Informationen als Grundlage für den Angriff.

Nachteile:

  • Durch fehlende Basisinformationen können Schwachstellen unerkannt bleiben.
  • Es entsteht ein hoher Aufwand für die Recherche der notwendigen Basisinformationen. Black-Box-Angriffe sind damit kostenintensiver.

White-Box-Angriff

Bei einem White-Box-Angriff werden dem Pentester vorab die notwendigen Basisinformationen durch den Auftraggeber zu Verfügung gestellt. Beispiele dafür sind IP-Adressen, URL von Webdiensten, Server-Betriebssysteme, eingesetzte Firewall.

Gray-Box-Angriff

Es handelt sich um eine Mischung aus Black- und White-Box-Angriff. Der Pentester erhält wenige wichtige Informationen.

Social-Engineering-Angriff

Als weiterer Baustein kann ein Social-Engineering-Angriff durchgeführt werden. Dabei wird die „Schwachstelle Mensch“ getestet; man könnte es auch als „Menschen hacken, mit den Prinzipien der allgemeinen Psychologie“ bezeichnen. Beispiele für Social-Engineering-Angriffe sind: ausgelegte USB-Sticks, Abgreifen sensibler Informationen über Telefonanrufe, Phishing-E-Mails oder das Betreten sensibler Bereiche durch einen Unberechtigten.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

IT-Know-how und Praxistipps für Datenschutzbeauftragte

Ihr starker Berater für ein rechtssicheres Online-Marketing

Spezifische Schulungspräsentationen für verschiedene Unternehmensbereiche

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Jobs