Wie funktioniert ein Penetrationstest in Deinem Unternehmen?

Bei einem Penetrationstest Deiner Infrastruktur lege ich persönlich viel wert auf:

• was Du erreichen möchtest (z.B. Sicherheit Deiner Webseite, Server)
• für wen/was Du Deinen Sicherheitstest machen möchtest (generell, DSVGO usw.)
• Welche Systeme innerhalb Deiner Infrastruktur für Dich und Dein Unternehmen “lebenswichtig” sind und worauf Du auf gar keinem Fall verzichten möchtest. So kann ich bei einem Penetrationstest darauf achten, dass nichts mit diesen Systemen “passiert” und extra ein Auge darauf halten
• Sicherheit Deiner bestehenden Systeme (z.B. Buchhaltung, welche bei einem Sicherheitstest eventuell vorab ausgeschaltet sein sollten).

Ein Sicherheitstest ist immer individuell und wird nach Deinen Bedürfnissen und Wünsche erstellt und ausgeführt. Es kann auch sein, dass Du A und B ausführen lassen möchtest, jedoch C und D für Dich besser geeignet sind.

Deine Wünsche und Vorstellungen besprechen wir in einem individuellen Gespräch, in welchen wir näher auf den zuvorstehenden Sicherheitstest eingehen. Auch besprechen wir in wie weit und wann Du benachrichtig werden möchtest und auch die Zeiten, indem ein Sicherheitstest ausgeführt werden soll.

Wie Du siehst geht es um viele Sachverhalte, die wir vorab abklären, damit der Sicherheitstest ein Erfolg für Dich und Dein Unternehmen wird.

Welche Möglichkeiten gibt es um einen Sicherheitstest auszuführen?

Hier kommt es natürlich darauf an, was zu testen ist und wie Deine Infastruktur aufgestellt ist.

Webseiten, zum Beispiel, können online getestet werden. Für Deine Infastruktur ist entweder eine virtuelle Maschine, VPN oder vor-Ort-Termin erforderlich.

Wenn Du Deine Infrastruktur auf einer virtuellen Maschine abbilden kannst, dann ist dies natürlich die bevorzugte Methode, da diese isoliert vom Lifesystem ist.

Sicherheitstest können “blind”, also ohne vorherige Informationen, “halb-blind” mit einigen Informationen zu der Struktur der zutestenden IT-Systeme ausgeführt werden. Natürlich kannst Du mir auch Zugang als Benutzer geben und ich werde dann mit diesem Benutzer testen, was Deine Mitarbeiter mit ihren Rechten erreichen können und wo sie Zugang zu Daten erzielen können.

Nachdem wir alle Einzelheiten besprochen haben gibt es natürlich auch noch rechtliche Dinge zu besprechen.

Recht - verständlich

In Deutschland gibt es im Strafgesetzbuch einen sogenannten “Hackerparagraphen”, der nicht nur den Besitz von Werkzeugen enthält, sondern auch das “Abgreifen” von Daten.

Um mich rechtlich abzusichern, werden wir in einem Rahmenvertrag vereinbaren, dass Du einverstanden bist, dass Deine Geräte/Netzwerke/Webseiten getestet werden dürfen und Du auch Eigentümer und Besitzer der zutestenden Systeme bist.

Diese Vereinbarung beinhaltet auch, wie, wann und womit der Sicherheitstest stattfinden soll und welche Systeme eventuell nicht betrachtet werden sollen.

Auch der Zeitrahmen und die Zeiten für den bevorstehenden Sicherheitstest werden vereinbart, sowie wann und womit Du benachrichtigt werden möchtest, wenn ich etwas gefunden habe (z.B. Adminzugang) und inwieweit ich in ein System “eindringen” darf und gegebenfalls welche weitere Maßnahmen ergriffen werden.

Nicht zu vergessen ist natürlich die Geheimhaltungsklausel, sodass ich mich verpflichte alle Informationen geheim zu halten.

Somit sind wir beide rechtlich abgesichert und Du weißt, wie, wann und womit der Sicherheitstest ablaufen wird und inwieweit Deine Mitarbeit / Genehmigungen benötigt werden.

Nachdem dies alles geklärt ist, werde ich mit meiner Arbeit beginnen und Dir mitteilen inwieweit die Arbeiten laufen und was Du erwarten kannst.

Nach dem Sicherheitstest ist vor dem Test

Nach erfolgreichem Abschluss des Penetrationstest erhältst Du einen ausführlichen Bericht über die Arbeiten und inwieweit Dein(e) System(e) gefährdet sind und was Du tun kannst, um diese Risiken zu beseitigen.

Der Bericht enthält als erstes einen sogenannten Managementbericht in welchen die Arbeiten in verständlicher Sprache aufgeführt sind und wo Deine individuellen Risiken liegen und was Du tun musst, um diese zu mitigieren.

Weiterhin enthält der Bericht einen technischen Teil, in welchem alle Anforderungen und gefundene Risiken detailiert aufgeschlüsselt werden und auch wie ich z.B. in ein System eindringen konnte oder wo die Schwachstellen liegen.

Nachdem Du die Risiken beseitigt hast, kann ein neuer Sicherheitstest gemacht werden, der gezielt auf die gefunden Sicherheitslücken ausgerichtet ist, sodass das eine Bestätigung der Mitigierung der Lücken erfolgen kann.

Somit wird bewerkstelligt, dass auch alle “Findings” vom ersten Test behoben wurden.

Sollte ich den Sicherheitstest wiederholen?

Das kommt natürlich immer darauf an, inwieweit Du Änderungen am System vornimmst und ob Du Deine Abläufe eventuell anders gestalten möchtest.

Ich empfehle einen simulierten Angriff jährlich zu machen, um sicherzustellen, dass alles in Ordnung ist.

Weiterhin kann man auch die Testumgebung erweitern oder die Aufgaben “stückeln”, sodass zu einem Testzeitraum nur eine begrenzte Anzahl unternehmerischer Felder beleuchtet werden. Dies ist natürlich sinnvoll, wenn Du einen Überblick erhalten möchtest und nicht gleich an vielen Ecken Schrauben festdrehen möchtest.

Wenn Du weitere Fragen hast, ruf mich einfach an oder schreibe mir eine E-Mail unter info@steffiscloudde.