IT-Security
Den richtigen Pentester finden
Bevor es darum geht, einen Dienstleister auszuwählen, sollte die Organisation klären, ob sie eine technische Sicherheitsanalyse oder einen Penetrationstest benötigt. Beide Begriffe werden oft synonym verwendet, allerdings gibt es einige kleine, aber wichtige Unterschiede, die jeweils zu anderen Ergebnissen führen können.
Anbieterübersichten finden sich in der Fachpresse und im Netz. Aber: Was macht einen guten Anbieter aus? Nicht blenden lassen sollte man sich von Hochglanz-Statistiken, beispielsweise über die Anzahl kompromittierter Systeme oder Datensätze oder die Zeit, in der es gelang, Organisationen zu "hacken". Sie sagen eher etwas über die (mangelnde) IT-Sicherheit der Auftraggeber aus als über die tatsächliche Qualität der Analysen. Seriöse Anbieter lassen ihre Referenzliste für sich sprechen.
Folgende Kriterien sind darüber hinaus hilfreich bei der Auswahl:
Expertise
Leistungsumfang: Ein guter Tester, auch Security Analyst genannt, versteht etwas von typischen Backend-Strukturen in Netzwerken sowie den dort genutzten branchenspezifischen Protokollen. Kennt er den Branchenkontext, findet der Tester nicht nur spezifische Schwachstellen, sondern kann gefundene Schwachstellen auch besser einordnen und effiziente Gegenmaßnahmen vorschlagen.
Blick über den Tellerrand: Ein Qualitätsmerkmal ist es, wenn der Anbieter nicht nur technische Tests beherrscht, sondern auch Erfahrung hat in der Prüfung technischer Richtlinien, von Prozessen oder Netzwerk-Architekturen (siehe auch Absatz "Reporting" weiter unten). Wünschenswert sind auch Kenntnisse angrenzender, nicht-technischer Felder, wie beispielsweise im Bereich Datenschutz. So wird er auch auf nicht-technische Schwachstellen hinweisen können.
Mindestanforderungen: Neben der Handhabung von Hackertools und Schwachstellen-Scannern sollte der Auftragnehmer über Wissen in folgenden Bereichen verfügen: Systemadministration / Betriebssysteme, TCP/IP und weitere Netzwerkprotokolle, Programmiersprachen, IT-Sicherheitsprodukte wie Firewalls, Intrusion Detection Systeme, Anwendungen bzw. Anwendungssysteme.
Spezialwissen: Ist besonderes Know-how für die Prüfung der Infrastruktur erforderlich, wie SAP, Mainframes, Drittanbieter-Software, mobile Anwendungen oder Produktions- und Prozessleittechnik? Kann der Auftragnehmer damit dienen?
Teamgröße
Die Auswahl eines größeren Anbieters (mit mehr als 20 Testern) kann sinnvoll sein, wenn es darum geht, Systeme oder Applikationen regelmäßig prüfen zu lassen. So kann der Dienstleister wechselnde Teams einsetzen, sodass der Tester nicht Gefahr läuft, betriebsblind zu werden.
Vorgehensweise
Der Anbieter sollte vor allem auf die Kompetenz und Kreativität menschlicher Security Analysts setzen. Manuelle Tests, die einen großen Anteil des Gesamtaufwands darstellen, sind für seriöse Anbieter Pflicht. Rein automatisierte Tests, wie sie auch am Markt angeboten werden, erzielen weniger aussagekräftige Ergebnisse. Ein gesunder Mix aus manuellen und automatisierten Tests ist zu empfehlen. Darüber hinaus ist es sinnvoll, abzufragen, ob sich der Dienstleister auf die reine Identifizierung technischer Schwachstellen beschränkt oder auch organisatorische Probleme hinter den Testergebnissen erkennt und benennt.
- Formalisieren Sie Risiko-Management und IT-Security
Gießen Sie Ihr Risiko- und IT-Sicherheits-Management in eine wiederhol- und messbare Form. Diese umfasst in der Regel vier Phasen: Governance, Planung, Aufbau und Betrieb. - Messen Sie den Reifegrad
Nutzen Sie eine Reifegradskala, um Planungslücken und ungenutzte Chancen des IT-Security-Programms zu finden. Solch eine Skala ist überdies ein gutes Mittel, um solchen Entscheidungsträgern das Thema zu veranschaulichen, die mit Technologie nicht immer etwas anfangen können. - Fahren sie risikobasierte Ansätze
Risiko-Management heißt auch, dass es den perfekten Schutz nicht gibt. Unternehmen sollten bewusste Entscheidungen über ihr Handeln und Nichthandeln fällen, was das Eingehen von Risiken betrifft. Das betrifft nicht nur die IT-Abteilungen, sondern vor allem auch die Nicht-IT-Bereiche. Über allem steht, das Risiko-Manager vorbeugende Ansätze befolgen, die Risiken von Anfang an minimieren. Schließlich sollen sie die Risiken steuern, und sich nicht von diesen steuern lassen. - Nutzen Sie Kennzahlen
Wer im Risiko-Management tätig ist, muss Kennzahlen definieren, an denen er seine Geschäftsprozesse ausrichten kann. Das sind zum einen KPIs (Key Performance Indicators), zum anderen KRIs (Key Risk Indicators). Letztere sollten sich aber nicht nur auf IT-zentrierte Kennzahlen konzentrieren - sonst besteht die Gefahr, zu meinen, dass die Risiken ausschließlich von der IT ausgehen. - Passen Sie Ihre KRIs den KPIs an
Die meisten Unternehmen arbeiten mit einer Fülle von Risiko- und Security-Kennzahlen. Auch wenn diese für interne Prozesse extrem wertvoll sind, haben sie doch meist nur einen geringen Wert für die Unternehmensentscheider. Gute KRIs sind deshalb einfach, messbar und haben einen direkten Einfluss auf viele der KPIs. - Entkoppeln Sie operative Messgrößen von der Vorstandskommunikation
Verwenden Sie keine operativen Messgrößen auf Vorstandsebene. Entscheidern fehlt das Hintergrundwissen und das Training, mit diesen in einem Business-Kontext umzugehen. - Kommunizieren Sie klar, was geht und was nicht
In einer risikobasierten Welt will eine Business-orientierte Zuhörerschaft genau wissen, welche Risiken drohen, welche Haltung ein Unternehmen dazu hat und was dagegen unternommen wird. Beantworten Sie diese Fragen für jeden verständlich, haben Sie den "Kampf" schon halb gewonnen.