Penetrationstests waren lange Zeit ein Thema, das Banken und dergleichen beschäftigte. In jüngster Zeit scheint es aber eindeutig hochzukochen und erreicht industrielle Fertigungsunternehmen ebenso wie Versorgungsbetriebe und andere KRITIS-Abteilungen der Kommunen.
Dadurch sieht sich die White-Hat-Fraktion der Hacker-Szene derzeit ins volle Tageslicht und mitten in Wirtschaft und Gesellschaft gezogen. Der Bedarf an Leuten, die unter kontrollierten Bedingungen bitte in die IT-Systeme einbrechen, scheint enorm zu sein. In der Schweiz startet die Post am 25. Februar einen E-Voting Public Intrusion Test (PIT) für ihre Scytl-Wahlsoftware: Bis zu 50.000 Franken können Hacker mitnehmen, die anhand des Quellcodes Wege finden, wie man Wählerstimmen unentdeckt manipulieren kann.
Treiber sind in diesem Fall die entsprechenden Rechtsvorschriften – das dürfte öfter der Fall sein. Kürzlich hat zum Beispiel Thomas Hofer vom Rechtsinformatikzentrum der LMU München darauf hingewiesen, dass Art. 32 Abs. 1 lit b) EU-DSGVO, der fordert, „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“, im Sinne der Cyberresilienz so zu lesen sein könnte, dass sich daraus die Notwendigkeit regelmäßiger Pentests ergibt. Auch Igor Tkach, CTO beim IT-Berater Daxx, führt als einen von fünf Pentest-Treibern die Compliance mit einschlägigen Sicherheitsbestimmungen an.
Der israelische Hacker und Sicherheitsspezialist Iftach Ian Amit, derzeit Chief Security Officer bei Cimpress und u.a. Mitbegründer des Penetration Testing Execution Standards (PTES), hat sich unterdessen zu Wort gemeldet und betont, dass es eine eigene Kunst ist, einen Pentest-Report zu lesen:
„Ein Verständnis dafür, wie ein tatsächlicher Gegner das Unternehmen wahrnehmen würde (was sich deutlich von dem eines angeheuerten Penetrationstesters unterscheidet) und ein Verständnis für die geschäftliche und betriebliche Relevanz der getesteten Umgebung sind entscheidend für ein effektives Ergebnis.“
Genau an dieser Stelle setzt codecentric-Consultant Kevin Wennemuth an, der seinen Workshop „Security-Architektur – Ihr Unternehmen aus der Sicht eines Angreifers“ auf der kommenden secIT (13. und 14. März 2019) in Hannover sogar doppelt halten muss (13. März, 10–13 Uhr in Raum 5 und 14–17 Uhr in Raum 1). Der Grund: Die Anmeldungen liegen deutlich über den verfügbaren Plätzen. Dasselbe gilt für SySS-Geschäftsführer Sebastian Schreiber, den die Heise-Organisatoren wegen hoher Nachfrage ebenfalls bitten mussten, seinen Workshop ein zweites Mal anzubieten. Sein Thema: „Steuerung von Pentests in Großunternehmen und Pentests in agilen Umgebungen“ (14. März, 10–13 Uhr in Raum 1 und 14–17 Uhr in Raum 5). Immerhin: Jetzt ist die Anmeldung wieder offen.