Anfrage
Durchführungskonzept Penetrationstests

BSI-Durchführungskonzept für Penetrationstests: Was Unternehmen beachten müssen

Das Durchführungskonzept für Penetrationstests des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet Unternehmen eine strukturierte Methode, um Penetrationstests effizient und sicher durchzuführen. Es stellt sicher, dass Schwachstellen in IT-Systemen systematisch aufgedeckt werden, ohne den laufenden Betrieb unnötig zu beeinträchtigen. Unternehmen müssen jedoch vor der Durchführung eines Penetrationstests Massnahmen und Anforderungen definieren, um eine reibungslose und rechtssichere Umsetzung zu gewährleisten.

1. Massnahmen und Anforderungen vor einem Penetrationstest

1.1 Klare Zielsetzung des Penetrationstests

Definition der Testziele:

  • Identifikation spezifischer Schwachstellen.
  • Überprüfung der Einhaltung von Sicherheitsrichtlinien.
  • Bewertung der Effektivität bestehender Schutzmechanismen.
  • Testfokus bestimmen: Prüfung von Anwendungen, Netzwerken, Systemen oder Prozessen.

1.2 Scope des Penetrationstests festlegen

Festlegung des Testumfangs:

  • Welche Systeme, Anwendungen oder Netzwerke sind Bestandteil des Tests?
  • Ausschluss von sensiblen oder kritischen Bereichen, wenn nötig.

Abgrenzung zwischen internem und externem Testing:

  • Intern: Simulation von Angriffen innerhalb des Unternehmens.
  • Extern: Überprüfung der Angriffsvektoren aus der Perspektive eines externen Angreifers.

1.3 Methodik und Vorgehensweise

Definition des Testtyps:

  • Blackbox-Tests: Tester haben keine Informationen über das Zielsystem.
  • Greybox-Tests: Tester verfügen über teilweise Informationen (z. B. Zugangsdaten).
  • Whitebox-Tests: Tester erhalten vollständige Systeminformationen.
  • Einsatz von Tools und manuellen Tests: Sicherstellen, dass automatisierte Tests mit manuellen Prüfungen ergänzt werden.

1.4 Rechtliche und organisatorische Rahmenbedingungen

Genehmigungen einholen:

  • Klare Zustimmung der Geschäftsleitung und relevanter Abteilungen.

Vertragliche Vereinbarungen:

  • Abschluss eines Rules of Engagement-Vertrags, der die Testbedingungen, Verantwortlichkeiten und Haftungsfragen klärt.

Vertraulichkeit gewährleisten:

  • Unterzeichnung von Geheimhaltungsvereinbarungen (NDAs).

1.5 Technische Vorbereitung

Bereitstellung von Zugangsdaten und Testumgebungen:

  • Falls erforderlich, Zugangsdaten oder Testsysteme vorbereiten.

Schutz sensibler Systeme:

  • Sicherstellen, dass kritische Systeme nicht beeinträchtigt werden, es sei denn, dies ist ausdrücklich vereinbart.

Logging und Monitoring:

  • Aktivieren von Protokollierungsmechanismen, um die Aktivitäten der Tester nachzuverfolgen.

1.6 Kommunikation und Sensibilisierung

Einbindung der IT-Teams:

  • Informieren der IT-Abteilungen, um unnötige Fehlalarme während des Tests zu vermeiden.

Krisenpläne für unerwartete Störungen:

  • Festlegen von Eskalationsverfahren, falls der Test den laufenden Betrieb beeinträchtigt.

Penetrationtest - Scheinsicherheit oder echter Schutz?

  • Penetrationtest - Scheinsicherheit oder echter Schutz?

IT-Notfallmanagement Fachbroschüren

IT-Notfallmanagement und Cyber-Krisenmanagement - Vorlagen und Tools

2. Vorteile der strukturierten Vorbereitung

Eine klare Planung und Definition der Anforderungen vor einem Penetrationstest minimiert Risiken und erhöht den Mehrwert des Tests:

  • Erhöhte Rechtssicherheit durch klar definierte Regeln und Genehmigungen.
  • Bessere Ergebnisse durch Fokus auf kritische Systeme und gezielte Methodik.
  • Minimale Störungen im laufenden Betrieb durch technische und organisatorische Vorbereitung.

Das BSI-Durchführungskonzept für Penetrationtests bietet eine fundierte Grundlage, um Penetrationstests professionell und effizient durchzuführen. Unternehmen sollten besonderen Wert auf eine gründliche Vorbereitung legen, einschliesslich klarer Zielsetzung, umfassender Scope-Definition und rechtlicher Absicherung. So wird sichergestellt, dass der Test nicht nur Schwachstellen aufdeckt, sondern auch nachhaltige Verbesserungen in der IT-Sicherheit ermöglicht.

3. Ist ein Unternehmen nach einem Penetrationtest auf der sicheren Seite? Oder ist das nur eine Scheinsicherheit?

Ein Penetrationstest ist ein wertvolles Werkzeug zur Verbesserung der IT-Sicherheit, jedoch bietet er keine absolute Sicherheit. Die Durchführung eines Penetrationstests macht ein Unternehmen nicht automatisch „auf der sicheren Seite“, sondern stellt nur einen wichtigen Schritt im Rahmen eines umfassenden Sicherheitsmanagements dar. Es gibt mehrere Gründe, warum ein Penetrationstest keine absolute Sicherheit garantiert:

1. Begrenzte Testabdeckung (Scope)

Ein Penetrationstest konzentriert sich auf den festgelegten Scope – also auf die vereinbarten Systeme, Netzwerke oder Anwendungen. Bereiche ausserhalb des Testumfangs bleiben ungetestet und könnten potenzielle Schwachstellen enthalten. Wenn der Test nicht alle relevanten Angriffsflächen abdeckt, könnte ein Angreifer weiterhin erfolgreich auf nicht getestete Systeme zugreifen.

2. Momentaufnahme der Sicherheit

Penetrationstests bieten nur eine Momentaufnahme der Sicherheitslage zu einem bestimmten Zeitpunkt. Die IT-Sicherheit eines Unternehmens kann sich jedoch schnell ändern, etwa durch neue Software, Updates oder Änderungen an der Infrastruktur. Wenn nach dem Test neue Schwachstellen auftreten, die nicht identifiziert wurden, besteht weiterhin ein Risiko.

3. Unvorhergesehene Angriffstechniken

Penetrationstests sind auf die geplanten Angriffstechniken und getesteten Schwachstellen ausgerichtet. Ein erfahrener Angreifer könnte jedoch unvorhersehbare, kreative Methoden verwenden, die der Penetrationstest nicht berücksichtigt hat. Einige Zero-Day-Schwachstellen oder neu entdeckte Exploits sind möglicherweise nicht im Testzeitraum relevant, aber könnten später eine Bedrohung darstellen.

4. Begrenzte Ressourcen und Zeit

Ein Penetrationstest wird in einer begrenzten Zeitspanne durchgeführt, was bedeutet, dass nicht alle Schwachstellen identifiziert werden können, insbesondere in komplexen Systemen oder bei umfangreichen Netzwerkinfrastrukturen. Angreifer, die unendlich viel Zeit und Ressourcen zur Verfügung haben, könnten in der Lage sein, viele weitere Schwachstellen zu entdecken, die ein Penetrationstest nicht aufgedeckt hat.

5. Keine Sicherheitsstrategie im Ganzen

Ein Penetrationstest ist nur ein Teilbereich eines umfassenden Sicherheitsprogramms. Unternehmen müssen neben den Tests auch kontinuierliche Sicherheitspraktiken wie Monitoring, Schwachstellenmanagement, Patch-Management, Mitarbeiterschulungen und Incident Response etablieren, um Sicherheitslücken langfristig zu schliessen. Ein einmaliger Test allein bietet keine Garantie, dass das gesamte System sicher bleibt.

6. Social Engineering und menschliches Versagen

Penetrationstests decken zwar technische Schwachstellen auf, berücksichtigen jedoch möglicherweise nicht alle menschlichen Schwächen. Social Engineering, wie Phishing-Angriffe oder das Überlisten von Mitarbeitern, wird in einem klassischen Pen-Test möglicherweise nicht gründlich getestet. Menschen bleiben häufig der schwächste Punkt in der Sicherheitskette.

Fragen

Ihre Fragen werden durch unsere Experten gerne beantwortet

Sie haben ein Anliegen oder suchen fachliche Unterstützung? Gerne helfen wir weiter.

Newsletter

Neuigkeiten nicht verpassen

Verpassen Sie weder News noch fachliche Neuheiten, die wir unseren treuen Abonnenten vorbehalten.

 
Ihre E-Mail-Adresse wird nur dazu genutzt, Ihnen unseren Newsletter und Informationen über unsere Tätigkeiten zu senden. Ihnen steht jederzeit der Abmeldelink zur Verfügung, den wir in jede gesendete E-Mail einfügen.

Benutzereinstellungen für Cookies
Wir verwenden Cookies, um sicherzustellen, dass Sie die beste Erfahrung auf unserer Website machen. Wenn Sie die Verwendung von Cookies ablehnen, funktioniert diese Website möglicherweise nicht wie erwartet.
Alle akzeptieren
Alle ablehnen
Weiter lesen
Unbedingt erforderliche Cookies
Diese Cookies sind unerlässlich, um sicherzustellen, dass der Besucher in bestimmten Funktionen der Website navigieren und sie nutzen kann. Ohne sie können wesentliche Teile der Webseite nicht verwendet werden. Entsprechend sind diese Cookies immer aktiviert. Sie werden nur dann eingesetzt, wenn Sie unsere Website besuchen und werden in der Regel nach dem Schliessen Ihres Browsers gelöscht. Ausserdem werden sie verwendet, um bei Zugriff mit einem mobilen Gerät die optimierte Website-Darstellung abzurufen, damit z. B. Ihr Datenvolumen nicht unnötig verbraucht wird. Auch erleichtern die Cookies den Seitenwechsel von http zu https, sodass die Sicherheit der übertragenen Daten gewährleistet bleibt.
Marketing-Cookies
Marketing-Cookies werden genutzt, um gezielter für den Nutzer relevante und an seine Interessen angepasste Inhalte anzubieten. Sie werden ausserdem dazu verwendet, die Effektivität von Kampagnen zu messen und zu steuern. Sie registrieren z. B., ob man eine Webseite besucht hat oder nicht, sowie welche Inhalte genutzt worden sind. Mithilfe dieser Informationen wird ein Interessensprofil erstellt, sodass nur für Sie interessante Inhalte angezeigt werden. Wenn Sie Ihre Zustimmung zu Marketing-Cookies widerrufen, bedeutet dies nicht, dass Sie in der Folge weniger Inhalte sehen oder erhalten. Es bedeutet vielmehr, dass die Inhalte, die Sie sehen und erhalten, nicht individuell auf Ihre Bedürfnisse zugeschnitten sind.
linkedin.com
Annehmen
Decline
Leistungs-Cookies
Diese Cookies sammeln Daten über das Benutzerverhalten. Auf dieser Basis wird die Webseite bezüglich Inhalt und Funktionalität auf das allgemeine Nutzungsverhalten abgestimmt. Die gesammelten Informationen werden grundsätzlich in aggregierter Form weiterverarbeitet, es sei denn, ein Besucher hat einer personenbezogenen Auswertung gesondert ausdrücklich zugestimmt. Leistungs-Cookies werden ausschliesslich verwendet, um die Leistung der Website zu verbessern und das Online-Erlebnis auf die Bedürfnisse der Nutzer abzustimmen.
Google Analytics
Annehmen
Decline
Funktionale Cookies
Funktionale Cookies ermöglichen der Webseite, getätigte Angaben, wie z. B. den Benutzernamen oder die Sprachauswahl, zu speichern und dem Nutzer darauf basierend verbesserte und personalisierte Funktionen anzubieten. Die gesammelten Informationen werden ausschliesslich in aggregierter Form ausgewertet. Da wir Ihnen eine Website bieten möchten, die auf optimale Benutzerfreundlichkeit ausgelegt ist, empfehlen wir die Aktivierung dieser Cookies. Funktionale Cookies werden z. B. auch genutzt, um von Ihnen gewünschte Funktionen wie die Wiedergabe von Videos zu aktivieren.
Speichern