Pentrationstests, kurz Pentests, prüfen IT-Einrichtungen und Netzwerke auf ihre Anfälligkeit gegenüber Angriffen. Gesetzlich vorgeschrieben sind sie nicht. Doch aufgrund verschiedener Sicherheitsgesetze und vor allem wegen der Gefahren, die ein Cyberangriff birgt, können sie gerade für Kommunen sinnvoll sein.

Bei der Nutzung öffentlicher Netze und Dienste sehen sich Firmen und Behörden vielfältigen Gefahren ausgesetzt. Im Zeitalter einer beschleunigten Digitalisierung werden immer mehr sensible Informationen und sogar ganze Geschäftsprozesse in Cloud-Dienste verlagert. Laut dem Bitkom Cloud Monitor nutzen bereits zwei Drittel aller deutschen Unternehmen Cloud-Dienste, die in der Regel mit ihrer eigenen IT verknüpft sind.

Das macht die Anbieter der Cloud-Dienste zu attraktiven Zielen für Angreifer. Der jüngste Bericht zur „Lage der IT-Sicherheit in Deutschland 2018“ des Bundesamt für Sicherheit in der Informationstechnik (BSI) zeigt erneut eine hohe Dynamik der Angreifer bei der Weiterentwicklung von Schadprogrammen und Angriffswegen. Das BSI betont, dass insbesondere Unternehmen und kritische Infrastrukturen (KRITIS) wie etwa Krankenhäuser mit Cyber-Erpressung und -Spionage zu kämpfen haben.

Wie anfällig ein Netzwerk gegenüber Cyberangriffen ist, lässt sich mit Pentrationstests herausfinden. Explizite Gesetze, die solche Tests für Firmen noch für Behörden vorschreiben, gibt es nicht. Aber es existieren z.B. mit dem IT-Sicherheitsgesetz verbindliche Vorschriften zur Sicherheit und Verfügbarkeit kritischer Infrastrukturen (KRITIS) und zur Einrichtung und Ausgestaltung eines internen Kontrollsystems (ISMS). Für einzelne Sektoren wie das Finanzwesen, für steuerrechtlich und handelsrechtlich relevanten Daten sowie für den Umgang mit personenbezogenen Daten gibt es bereits seit längerem spezifische Vorschriften, die eine verschärfte Regelung vorsehen. So verlangt z.B. Art. 32 Abs.1 lit c) von den Verantwortlichen einer Behörde, dass sie Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten auf Dauer sicherstellen. Das ist gerade für kleinere Organisationen eine große Herausforderung, weil sie meist nicht über genügend bzw. ausreichend qualifiziertes Personal in diesem Bereich verfügen.

An dieser Stelle können „Penetration-Tester“ helfen. Dabei handelt es sich um meist externe Dienstleister, die im Auftrag von IT-Betreibern Schwachstellen und Sicherheitslücken unter kontrollierten Bedingungen identifizieren und dann reale Angriffsszenarien durchspielen. Typische Ansatzpunkte für einen Pentest sind Firewalls, Webserver, Remote-Zugänge (z.B. für die Fernwartung) und Funknetze. Firewalls sind wegen ihrer Funktion als Übergang zwischen Internet und Firmennetz für Cyberangriffe geradezu prädestiniert und somit auch der erste Ansatzpunkt für Pentests. Bei Webservern liegt das hohe Gefährdungspotential ihrer weiten Verbreitung, ihren umfangreichen Funktionen und den daraus resultierenden Schwachstellen. Wertvolle Hinweise auf mögliche Schwachpunkte gibt der seit 2003 von dem Open Web Application Security Project (OWASP) jährlich veröffentlichte  Top 10 Report. Er zeigt die zehn wichtigsten Risiken und Angriffsarten im Bereich Webanwendungen. Ziel des Reports ist es, die Aufmerksamkeit auf die bekanntesten Schwachstellen im Webumfeld zu lenken. Sicherheitsexperten, Softwareentwickler, Projektmanager und Softwarearchitekten nutzen den Report für ihre Arbeit.

Ein einzelner Pentrationstest bietet keine langfristige Sicherheit für das geprüfte IT-System, da neue Sicherheitslücken und Schwachsstellen sogar unmittelbar nach Abschluss des Tests auftreten können. Daher sollten Verantwortliche ihre IT-Systeme möglichst regelmäßig prüfen lassen.

Was es bei Planung und Umsetzung eines Pentests zu beachten gilt, erklärt insidas hier.

Autor: Thomas Hofer, Leiter der Rechtsinformatik an der Juristischen Fakultät der Ludwig-Maximilians-Universität München

 

 

    Verpassen sie keine Beiträge mehr!

    Wenn Ihnen dieser Beitrag gefällt, abonnieren Sie unsere Newsletter. Dann entgeht Ihnen kein Insidas Artikel mehr.

    Datenschutzhinweis

    Mit dem Abonnement des Newsletters messen wir auch Reichweite und Erfolg, um diesen noch interessanter zu gestalten. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung.

    Diese Beiträge könnten Sie auch interessieren

    Videoüberwachung bei öffentlichen Stellen in Bayern

    Videoüberwachung bei öffentlichen Stellen in Bayern

    Ein ungebrochener Trend und ein Dauerbrennpunkt im Bereich des Datenschutzrechtes ist das Thema Videoüberwachung. Es ist eines der wichtigsten Schwerpunkte in der Arbeit der Datenschutzbehörden und häufiger Gegenstand in datenschutzpolitischen Diskussionen. Was ist...

    read more
    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Einstellung Matomo ermöglicht das Tracking von Webseitenbesucherinnen und -besuchern mittels Cookies oder JavaScript. Auch im Hinblick auf die zunehmende Verbreitung von Schutzmechanismen in Webbrowsern ist ein Tracking per JavaScript dem Tracking durch...

    read more
    Versand von Newslettern durch öffentliche Stellen

    Versand von Newslettern durch öffentliche Stellen

    Häufig bedienen sich öffentliche Stellen für die Kommunikation mit Bürgern der Möglichkeit eines "Newsletter". Beispiele hierfür sind der behördliche Presseverteiler oder die aktuellen Kundeninformationen durch gemeindliche Tourismusbüros. Für die Nutzung solcher...

    read more