Pentrationstests, kurz Pentests, prüfen IT-Einrichtungen und Netzwerke auf ihre Anfälligkeit gegenüber Angriffen. Gesetzlich vorgeschrieben sind sie nicht. Doch aufgrund verschiedener Sicherheitsgesetze und vor allem wegen der Gefahren, die ein Cyberangriff birgt, können sie gerade für Kommunen sinnvoll sein.

Bei der Nutzung öffentlicher Netze und Dienste sehen sich Firmen und Behörden vielfältigen Gefahren ausgesetzt. Im Zeitalter einer beschleunigten Digitalisierung werden immer mehr sensible Informationen und sogar ganze Geschäftsprozesse in Cloud-Dienste verlagert. Laut dem Bitkom Cloud Monitor nutzen bereits zwei Drittel aller deutschen Unternehmen Cloud-Dienste, die in der Regel mit ihrer eigenen IT verknüpft sind.

Das macht die Anbieter der Cloud-Dienste zu attraktiven Zielen für Angreifer. Der jüngste Bericht zur „Lage der IT-Sicherheit in Deutschland 2018“ des Bundesamt für Sicherheit in der Informationstechnik (BSI) zeigt erneut eine hohe Dynamik der Angreifer bei der Weiterentwicklung von Schadprogrammen und Angriffswegen. Das BSI betont, dass insbesondere Unternehmen und kritische Infrastrukturen (KRITIS) wie etwa Krankenhäuser mit Cyber-Erpressung und -Spionage zu kämpfen haben.

Wie anfällig ein Netzwerk gegenüber Cyberangriffen ist, lässt sich mit Pentrationstests herausfinden. Explizite Gesetze, die solche Tests für Firmen noch für Behörden vorschreiben, gibt es nicht. Aber es existieren z.B. mit dem IT-Sicherheitsgesetz verbindliche Vorschriften zur Sicherheit und Verfügbarkeit kritischer Infrastrukturen (KRITIS) und zur Einrichtung und Ausgestaltung eines internen Kontrollsystems (ISMS). Für einzelne Sektoren wie das Finanzwesen, für steuerrechtlich und handelsrechtlich relevanten Daten sowie für den Umgang mit personenbezogenen Daten gibt es bereits seit längerem spezifische Vorschriften, die eine verschärfte Regelung vorsehen. So verlangt z.B. Art. 32 Abs.1 lit c) von den Verantwortlichen einer Behörde, dass sie Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten auf Dauer sicherstellen. Das ist gerade für kleinere Organisationen eine große Herausforderung, weil sie meist nicht über genügend bzw. ausreichend qualifiziertes Personal in diesem Bereich verfügen.

An dieser Stelle können “Penetration-Tester” helfen. Dabei handelt es sich um meist externe Dienstleister, die im Auftrag von IT-Betreibern Schwachstellen und Sicherheitslücken unter kontrollierten Bedingungen identifizieren und dann reale Angriffsszenarien durchspielen. Typische Ansatzpunkte für einen Pentest sind Firewalls, Webserver, Remote-Zugänge (z.B. für die Fernwartung) und Funknetze. Firewalls sind wegen ihrer Funktion als Übergang zwischen Internet und Firmennetz für Cyberangriffe geradezu prädestiniert und somit auch der erste Ansatzpunkt für Pentests. Bei Webservern liegt das hohe Gefährdungspotential ihrer weiten Verbreitung, ihren umfangreichen Funktionen und den daraus resultierenden Schwachstellen. Wertvolle Hinweise auf mögliche Schwachpunkte gibt der seit 2003 von dem Open Web Application Security Project (OWASP) jährlich veröffentlichte  Top 10 Report. Er zeigt die zehn wichtigsten Risiken und Angriffsarten im Bereich Webanwendungen. Ziel des Reports ist es, die Aufmerksamkeit auf die bekanntesten Schwachstellen im Webumfeld zu lenken. Sicherheitsexperten, Softwareentwickler, Projektmanager und Softwarearchitekten nutzen den Report für ihre Arbeit.

Ein einzelner Pentrationstest bietet keine langfristige Sicherheit für das geprüfte IT-System, da neue Sicherheitslücken und Schwachsstellen sogar unmittelbar nach Abschluss des Tests auftreten können. Daher sollten Verantwortliche ihre IT-Systeme möglichst regelmäßig prüfen lassen.

Was es bei Planung und Umsetzung eines Pentests zu beachten gilt, erklärt insidas hier.

Autor: Thomas Hofer, Leiter der Rechtsinformatik an der Juristischen Fakultät der Ludwig-Maximilians-Universität München