Sicherheitsanalysen und Penetrationstests

Was macht einen guten Sicherheitsanbieter aus?

Stuxnet und Flame waren nur der Anfang: Gezielte Cyber-Attacken auf die produzierende Industrie nehmen zu. Die Folgen können gravierend sein und erhebliche Auswirkungen haben - auch für Kunden, Partner und Lieferanten. Große Automobilhersteller ziehen bereits die Konsequenzen und setzen auf regelmäßige Sicherheitsüberprüfungen entlang der Schnittstellen zwischen Unternehmens- und Industrienetzen. Doch auch für andere Industriezweige werden Sicherheitsanalysen und Penetrationstests angesichts der zunehmenden Vernetzung zum erfolgskritischen Faktor.

Pentest und Pentesting – vor allem diese beiden Begriffe beherrschen den Markt für Sicherheitsüberprüfungen im Netz. Aber eine Sicherheitsanalyse ist kein Penetrationstest, ein Penetrationstest ist kein Vulnerability Scan. Es gibt entscheidende Unterschiede. Die Absicht einer technischen Sicherheitsanalyse ist, einen Angriff auf das Unternehmensnetzwerk so früh wie möglich abzuwehren. Deshalb konzentriert sich der Tester darauf, mögliche Schwachstellen entlang der Schnittstelle zwischen Internet und Unternehmensnetzwerk zu finden, also in vorderster Linie, z. B. auf Server-Systemen, in Web-Anwendungen oder VPN-Zugängen. Werden die gefundenen Sicherheitslücken behoben, liegt die Sicherheit für Angreifer schon deutlich höher. Die Sicherheitsanalyse ist in der Regel mit einem überschaubaren Aufwand verbunden.

Simulation des Worst Case

Der Penetrationstest ist eine Simulation des Worst Case, eines realistischen Hacker-Angriffs auf Infrastruktur, Systeme oder Applikationen. Damit wird geprüft, welcher maximale Schaden droht, wenn es dem Hacker gelingt, so tief wie möglich in die Infrastruktur der Organisation einzudringen. Der Aufwand für einen Penetrationstest ist vorweg meist lediglich in einer Art Größenordnung zu beziffern, weil der Tester nicht weiß, welche Sicherheitsvorkehrungen ihn erwarten und wie er sie überwinden kann. Der Penetrationstest beleuchtet detailliert, ob das aktuelle IT-Sicherheitskonzept im Ernstfall wirklich trägt. Erfahrungsgemäß ist er auch sehr gut dazu geeignet, Aufmerksamkeit im Management für längst überfällige Sicherheitsvorkehrungen zu erzeugen. Der Vulnerability Scan wird mitunter fälschlicherweise unter dem Stichwort Pentest angeboten und ist meist günstiger als die Sicherheitsanalyse oder der Penetrationstest. Dafür bietet er auch einen geringeren Erkenntnisgewinn. Beim Vulnerability Scan erledigen nicht echte Miet-Hacker, sondern eine Software die Arbeit. Der Nachteil: Bei der automatisierten Prüfung von Infrastrukturen oder Anwendungen findet der Vulnerability Scan nur bereits bekannte Schwachstellen. Gegenüber kreativen Kombinationen mehrerer Sicherheitslücken oder unbekannten neuen Einfallstoren hingegen ist er blind. Security-Analysten setzen bei ihren Tests auch Tools ein, entwickeln aber immer eigene Angriffsziele und -szenarien. Kurz: Der Vulnerability Scan ist eine sinnvolle Ergänzung, aber kein Ersatz für Sicherheitsanalyse und Penetrationstest. Innerhalb kritischer Systeme und Umgebungen sind Sicherheitsanalysen und Penetrationstests zum Auffinden neuer Schwachstellen in der Regel zweimal jährlich zu empfehlen, mit dem Vulnerability Scan lassen sich zusätzlich monatlich die bekannten Sicherheitslücken detektieren, die sich zwischen zwei Analysen oder Tests durch Veränderungen an Systemen, Anwendungen oder Angriffsmöglichkeiten ergeben haben.

Mit zehn Punkten zur Sicherheit

Sicherheitsüberprüfungen sind aber nicht nur wichtig während der laufenden Produktion, sondern machen schon bei der Entwicklung von Industrie-Software Sinn. Wer das Know-how nicht im Hause hat, greift am besten auf externe Ressourcen zurück. Was macht einen guten Anbieter aus? Ein 10-Punkte-Plan für den Weg zum guten und sicheren Dienstleister.

  • 1. Methode abfragen. Der seriöse Anbieter kann verständlich erläutern, wie er arbeitet und benennt die konkrete Methode der Sicherheitsüberprüfung. Bietet er einen Penetrationstest, eine Sicherheitsanalyse oder einen Vulnerability Scan an? Oder verkauft er einen Vulnerability Scan als Pentest? Worin die Unterschiede in Aufwand und Ergebnis bestehen, ist im vorherigen Verlauf des Artikels erläutert. Lassen Sie sich in einer vertraglichen Vereinbarung bestätigen, was Sie bestellt haben und was Ihnen der Dienstleister liefert.
  • 2. Erfahrung und Kompetenz? Sicherheitsanalyse oder Penetrationstest sollten durch erfahrene und kompetente Security-Analysten durchgeführt werden, die sich mit aktuellen Angriffsvektoren und -szenarien der Hacker-Szene auskennen – und nicht ausschließlich mittels automatisierter Tools. Ein Mix aus manuellen und softwaregestützten Tests gibt Aufschluss darüber, wie es um die tatsächliche Verwundbarkeit der Organisation bestellt ist.
  • 3. Strukturelle Beratung? Die Tester sind nicht nur technische Spezialisten, sondern verstehen es auch, strukturelle Ursachen in der Organisation zu erkennen und beim Namen zu nennen. Sie verstehen Themen wie Prozessablauf oder Netzwerkarchitektur und haben unter Umständen auch Kenntnisse in nichttechnischen, angrenzenden Bereichen der Informationssicherheit wie etwa dem Datenschutz. Mit ihrer Analyse leisten sie einen wertvolleren Beitrag zur Steigerung der IT-Sicherheit, als dies ein rein technischer Report vermag.
  • 4. Spezialwissen wünschenswert. Zu den fachlichen Mindestanforderungen an die Tester, die der Auftraggeber abfragen sollte, zählen unter anderem Kenntnisse in Netzwerkarchitekturen und -protokollen, Sicherheitsmechanismen, z.B. Firewalls und von Anwendungen. Wünschenswert ist Spezialwissen in der Produktions- und Prozessleittechnik.
  • 5. Größe des Teams? Nicht ausschlaggebend, aber perspektivisch interessant: Wie groß ist das Tester-Team? Handelt es sich um einen Partner für eine längerfristige Zusammenarbeit, kann er für regelmäßige Prüfungen wechselnde Teams zur Verfügung stellen?
  • 6. Berichtsqualität? Ein seriöser Dienstleister ist bereit, Ihnen einen anonymisierten Musterreport zu übersenden, damit Sie sich von der Berichtsqualität überzeugen können. Er setzt sich mit Ihren individuellen Anforderungen auseinander und versucht, diese entsprechend umzusetzen. Grundsätzlich sollte der Report die wichtigsten Maßnahmen auflisten, gefundene Schwachstellen priorisieren und erste Empfehlungen für Gegenmaßnahmen formulieren.
  • 7. Branchenerfahrung? Aufgrund der Besonderheiten von Prozessleittechnik und Betriebsabläufen in der Industrie sollte der Anbieter Branchenerfahrung mitbringen. Mit einem entsprechenden Hintergrund kann der Tester auftretende Schwachstellen ganz anders einordnen als ein Branchenfremder.
  • 8. Unterstützung vor dem Management? Steht der Dienstleister nach der Analyse zur Verfügung, wenn es darum geht, die Ergebnisse gegenüber der Geschäftsführung oder dem Vorstand verständlich zu erläutern und die notwendigen Konsequenzen nachvollziehbar zu beschreiben?
  • 9. Support bei Gegenmaßnahmen? Ideal ist es, wenn der Dienstleister in der Lage ist, darüber hinaus die Organisation auch in der Umsetzung wirksamer Gegenmaßnahmen zu begleiten und so das IT-Sicherheitsniveau nachhaltig zu steigern.
  • 10. Vertraulichkeitsvereinbarung? Zu den wichtigsten Punkten der Zusammenarbeit gehört der Abschluss einer Vertraulichkeitsvereinbarung. Sie sollte Bestandteil des Vertrags sein und alle Projektbeteiligten des Dienstleisters mit einschließen.

Zertifizierung schafft Vertrauen

Unternehmen, die nachhaltig in ihre Informationssicherheit investieren, ist zu empfehlen, dies auch ausdrücklich nachzuweisen, um das Vertrauen in die eigene Marke zu untermauern. Mit einer Zertifizierung nach ISO27001 (Informationssicherheits-Management-System) oder ISO22301 (Business Continuity Management) lässt sich gegenüber Partnern und Kunden der hohe Anspruch an Informationssicherheit und Compliance nachweisen. Namhafte Prüforganisationen bieten darüber hinaus auch spezielle Hauszertifikate für Themengebiete, die nicht durch Normen geregelt sind, z.B. Online-Applikationen oder Apps.

Seiten: 1 2Auf einer Seite lesen

TÜV Rheinland AG
http://www.tuv.com/de

Das könnte Sie auch Interessieren

Weitere Beiträge

M12 in Edelstahlausführung

Sowohl die Prozesstechnik als auch die Lebensmittelindustrie und der einschlägige Maschinenbau fordern eine hohe Widerstandsfähigkeit der eingesetzten Komponenten und ihrer Materialien.

mehr lesen