Penetrationstests sind Sicherheitsüberprüfungen einzelner IT-Systeme oder kompletter Netzwerke auf Schwachstellen. Mit solchen Tests soll geprüft werden, ob es einem Dritten möglich ist, ein Gerät oder eine Software zu manipulieren. Diese Manipulation zielt meist auf Funktionsstörungen oder Mitlesen des Datenverkehrs ab. Der Nutzen von Penetrationstests ist nicht von der Hand zu weisen. Durch Sicherheitsüberprüfungen der IT-Systeme kann insgesamt die Sicherheit der IT-Landschaft erhöht werden. Aber einfach nur Tests durchführen zu lassen, ist leider nur die halbe Miete. Die Durchführung solcher Tests will vorbereitet und die Auswertung gut dokumentiert werden. Schließlich geht es hier auch um einen nachvollziehbaren Nachweis dieser Tests. Schon zur Rechtfertigung des eingesetzten Budgets für diese Maßnahmen.
Ziel von Penetrationstests
Beliebt sind solche Sicherheitstests jedoch nicht unbedingt bei allen. Bei Geschäftsführern und Vorständen vor allem wegen der Kosten. Wohl auch, weil der Nutzen nicht unbedingt sichtbar ist. IT-Sicherheit kann man nicht anfassen. Sichere IT-Systeme laufen stabiler und fallen wahrscheinlich auch seltener aus. Aber wie will man dies recherchieren und nachweisen? Durchaus aufwendig. Auch in IT-Abteilungen stößt man häufig auf Vorbehalte. Wird doch bei solchen Tests auch kontrolliert, ob Applikationen und IT-Systeme in der Vergangenheit ordentlich konfiguriert wurden. Werden IT-Systeme mittels Einrichtungs-Checklisten implementiert, so wird in dem Moment auch die Einhaltung dieser verbindlichen Vorgaben kontrolliert. Ist in der Checkliste beispielsweise aufgeführt, dass ein Standardpasswort einer Hardware geändert werden muss und wird beim Test festgestellt, dass dies nicht durchgeführt wurde, kann es für den zuständigen Mitarbeiter unangenehm werden. Aber es geht beim Penetrationstest ja nicht darum Mitarbeiter zu kontrollieren und anzuprangern. Es geht darum solche Lücken zu finden, sowie das angestrebte Schutzniveau des Unternehmens zu prüfen und nachzuweisen. Dieses Ziel von durchgeführten Penetrationstests sollte im IT-Handbuch dokumentiert und in der IT-Abteilung und dem Unternehmen kommuniziert werden.
Penetrationstest müssen vorgeplant werden
Penetrationstests sollten regelmäßig stattfinden. Je nach Art und Schutzbedarf ein oder zweimal pro Jahr. Interne Tests mit einem Penetrationstester vor Ort vielleicht einmal im Jahr. Tests von Webseiten und anderen aus dem Internet verfügbaren Diensten vielleicht sogar zweimal im Jahr. Aber wie bereitet man sich als Verantwortlicher vor, wie sollen die durchgeführten Maßnahmen und Feststellungen aus den Tests dokumentiert werden?
Die Vorbereitung auf den nächsten Penetrationstest sollte ein laufender Prozess sein und in die tägliche Arbeit integriert werden. Immer wenn ein IT-System oder kompletter IT-Service eingeführt werden soll oder grundlegend verändert wurde, sollte in der Folge eine Überprüfung stattfinden. Nicht zwanghaft sofort, aber spätestens zum nächsten Regeltermin. Beispielsweise nach einem Hardwaretausch oder der Installation einer neuen Version bzw. einem Wechsel der eingesetzten Software. Bei neuen Anwendungen könnte ein Penetrationstest auch bereits vor der Inbetriebnahme erfolgen. Da stören solche Prüfungen den laufenden Betrieb noch nicht.
Penetrationstests mit Docusnap vorplanen und dokumentieren
Wenn Sie das Dokumentationstool Docusnap einsetzen, dann können Sie dies bereits im Standard der Software ohne weitere Anpassungen abbilden. Verwenden Sie einfach die Kommentarfunktion in der Applikation. Kommentare können bei IT-Systemen genauso wie bei Systemgruppen hinterlegt werden.
Erstellen Sie sich einen eigenen Kommentartyp namens „Penetrationstest“. Dann kann zum Beginn des Penetrationstests bzw. beim Vorgespräch eine Liste der zu prüfenden Systeme an den Prüfer übergeben werden.
Alternativ kann auch die Erinnerungsfunktion oder eine Kombination aus beidem verwendet werden. Vermerken Sie in den Erinnerungen was bei einem IT-System oder einer Systemgruppe getestet werden soll und in den Kommentarfunktionen das Ergebnis dazu. Werden Penetrationstests periodisch durchgeführt, bekommt man so einen chronologischen Nachweis der durchgeführten Maßnahmen.
Internes Know-How contra externer Dienstleister
Es gibt zwei Möglichkeiten solche Sicherheitsprüfungen durchzuführen. Sie führen diese selbst durch oder Sie suchen sich einen externen Dienstleister. Besprechen Sie mit dem Dienstleister Ihr gewünschtes Ziel und Sie werden einen Weg finden. Vielleicht sollte man von Zeit zu Zeit den Anbieter wechseln oder von vornherein mit zwei Anbietern arbeiten. Dann können sich die Firmen immer abwechseln. Jeder hat eine andere Herangehensweise und kann damit auch zu anderen Ergebnissen kommen.
Der Nachteil beim Testen durch eigene Mitarbeiter könnte sein, dass die Prüfung nicht ganz so neutral ausfällt. Dies ist aber abhängig von der Unternehmensgröße. Ist das Unternehmen so groß, dass es eine interne Revision gibt, dann kann dies sicherlich intern durchgeführt werden.
Greifen Sie auf bestehende Tools zurück
Sicherlich können Sie die Planung und Dokumentation von Penetrationstests auch in Ihrem Ticketsystem führen, sofern vorhanden. Dort werden Sie bestimmt auch einen gangbaren Weg finden. Der einfachste Weg ist vielleicht auch eine einfache Excel Tabelle. Es liegt beim Unternehmen welcher Weg eingeschlagen wird. Es gibt hier sicherlich kein Richtig und kein Falsch. Machen Sie es so wie es zu Ihrem Unternehmen passt und verwenden Sie im Zweifelsfall erst einmal bestehende Softwarelösungen.