Rechtsratgeber Pentesting
Was Security Analysts dürfen und was nicht
Es hängt an der Zustimmung des Auftraggebers
Ist der Auftraggeber ausdrücklich damit einverstanden, dass in seiner Organisation eine Sicherheitsanalyse oder ein Penetrationstest vollzogen wird, ist für den Gesetzgeber alles in Ordnung. Deshalb werden seriöse Testanbieter zuvor immer die ausdrückliche Zustimmung für solche Analysen einholen, und zwar bei einem vertretungsberechtigten Mitglied der Organisation, beispielsweise dem Geschäftsführer, Prokuristen oder bei dem mit einer Sondervollmacht ausgestatteten IT-Leiter.
- Formalisieren Sie Risiko-Management und IT-Security
Gießen Sie Ihr Risiko- und IT-Sicherheits-Management in eine wiederhol- und messbare Form. Diese umfasst in der Regel vier Phasen: Governance, Planung, Aufbau und Betrieb. - Messen Sie den Reifegrad
Nutzen Sie eine Reifegradskala, um Planungslücken und ungenutzte Chancen des IT-Security-Programms zu finden. Solch eine Skala ist überdies ein gutes Mittel, um solchen Entscheidungsträgern das Thema zu veranschaulichen, die mit Technologie nicht immer etwas anfangen können. - Fahren sie risikobasierte Ansätze
Risiko-Management heißt auch, dass es den perfekten Schutz nicht gibt. Unternehmen sollten bewusste Entscheidungen über ihr Handeln und Nichthandeln fällen, was das Eingehen von Risiken betrifft. Das betrifft nicht nur die IT-Abteilungen, sondern vor allem auch die Nicht-IT-Bereiche. Über allem steht, das Risiko-Manager vorbeugende Ansätze befolgen, die Risiken von Anfang an minimieren. Schließlich sollen sie die Risiken steuern, und sich nicht von diesen steuern lassen. - Nutzen Sie Kennzahlen
Wer im Risiko-Management tätig ist, muss Kennzahlen definieren, an denen er seine Geschäftsprozesse ausrichten kann. Das sind zum einen KPIs (Key Performance Indicators), zum anderen KRIs (Key Risk Indicators). Letztere sollten sich aber nicht nur auf IT-zentrierte Kennzahlen konzentrieren - sonst besteht die Gefahr, zu meinen, dass die Risiken ausschließlich von der IT ausgehen. - Passen Sie Ihre KRIs den KPIs an
Die meisten Unternehmen arbeiten mit einer Fülle von Risiko- und Security-Kennzahlen. Auch wenn diese für interne Prozesse extrem wertvoll sind, haben sie doch meist nur einen geringen Wert für die Unternehmensentscheider. Gute KRIs sind deshalb einfach, messbar und haben einen direkten Einfluss auf viele der KPIs. - Entkoppeln Sie operative Messgrößen von der Vorstandskommunikation
Verwenden Sie keine operativen Messgrößen auf Vorstandsebene. Entscheidern fehlt das Hintergrundwissen und das Training, mit diesen in einem Business-Kontext umzugehen. - Kommunizieren Sie klar, was geht und was nicht
In einer risikobasierten Welt will eine Business-orientierte Zuhörerschaft genau wissen, welche Risiken drohen, welche Haltung ein Unternehmen dazu hat und was dagegen unternommen wird. Beantworten Sie diese Fragen für jeden verständlich, haben Sie den "Kampf" schon halb gewonnen.
Wichtig: Der Auftraggeber kann seine Zustimmung nur für Bereiche erteilen, die sich unter seiner Hoheit befinden. Damit steht bei Sicherheitsanalysen und Penetrationstests stets auch die Frage nach dem Besitzstand von Computersystemen, Software und Daten im Raum. Vor dem Beginn des Tests muss also Klarheit über den Testgegenstand bestehen - gegebenenfalls lässt sich die Organisation zuvor rechtlich beraten. Dies ist dann ratsam, wenn der Test Dienstleistungen oder Produkte betrifft, die Dritte betreiben, also beispielsweise Teile der IT-Infrastruktur, Server oder Rechenzentren.
Was sollte im Vertrag geregelt sein?
Beste Grundlage für eine Sicherheitsanalyse oder einen Penetrationstests ist ein Dienstleistungsvertrag. Darin sollten sowohl die ausdrückliche Zustimmung zur Analyse als auch der Umfang der Durchführung sowie der Zeitraum des Tests schriftlich dokumentiert werden. So lässt sich der konkrete Rahmen, für den die Zustimmung erteilt wird, für beide Seiten genau bestimmen.
Vertraglich festgelegt werden sollten darüber hinaus folgende Aspekte:
die Grundlagen und Risikoklassifizierung, denen der Test unterliegt;
die Art des Tests (Ausgangspunkt außen oder innen) sowie Aggressivität und Umfang;
Technik (Netzwerkzugang, physischer Zugang, Social Engineering, etc.);
einzusetzende und auszuschließende Techniken und Systeme (beispielsweise Produktionsssteuerungssysteme);
Geheimhaltungshaltungsklausel.
Damit die Sicherheitsanalyse oder der Penetrationstest sachgemäß vorgenommen werden kann, sollte vor allem eine umfassende Geheimhaltungsklausel Bestandteil des Dienstleistungsvertrags sein. Denn der Auftraggeber muss den zuvor benannten Security Analysts unter Umständen umfangreiche Informationen zukommen lassen. Darüber hinaus ist es möglich, dass die Tester selbst an sensible Daten gelangen. Die Vereinbarung sollte alle Projektbeteiligten aufseiten des Auftragnehmers miteinschließen.