Penetrationstest: Wann sich ein Pe­ne­tra­tions­test für Kom­mu­nen lohnt

Pentrations­tests, kurz Pen­tests, prüfen IT-Ein­rich­tun­gen und Netz­werke auf ihre An­fällig­keit für An­griffe. Ge­setz­lich vor­ge­schrie­ben sind sie nicht. Doch auf­grund ver­schie­de­ner Sicher­heits­gesetze und vor allem wegen der Ge­fah­ren, die ein Cyber­angriff birgt, können sie gerade für Kom­mu­nen sinn­voll sein.

Geplante Attacken auf kommunale Online-Dienste

Von Thomas Hofer, LMU München

Bei der Nutzung öffentlicher Netze und Dienste sehen sich Behörden ebenso wie Firmen vielfältigen Gefahren ausgesetzt. Im Zeitalter einer beschleunigten Digitalisierung werden immer mehr sensible Informationen und sogar ganze Geschäftsprozesse in Cloud-Dienste verlagert. Laut Bitkom-Cloud-Monitor 2018 nutzen bereits zwei Drittel aller deutschen Unternehmen Cloud-Services, die in der Regel mit ihrer eigenen IT verknüpft sind.

Das macht die Anbieter der Cloud-Dienste zu attraktiven Zielen für Angreifer. Der jüngste Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit in Deutschland 2018 zeigt erneut eine hohe Dynamik der Angreifer bei Schadprogrammen und Angriffswegen. Das BSI betont, dass insbesondere Unternehmen und kritische Infrastrukturen (KRITIS) wie etwa Krankenhäuser mit Cybererpressung und -spionage zu kämpfen haben.

Wer braucht Penetrationtests?

Wie anfällig ein Netzwerk gegenüber Cyberangriffen ist, lässt sich mit Pentrationstests herausfinden. Explizite Gesetze, die solche Tests für Firmen oder für Behörden vorschreiben, gibt es zwar nicht. Aber es gibt z.B. mit dem IT-Sicherheitsgesetz verbindliche Vorschriften zur Sicherheit und Verfügbarkeit kritischer Infrastrukturen sowie zur Einrichtung und Ausgestaltung eines internen Kontrollsystems, eines Informationssicherheitsmanagementsystems (ISMS).

Für einzelne Sektoren wie das Finanzwesen, für steuerrechtlich und handelsrechtlich relevante Daten sowie für den Umgang mit personenbezogenen Daten gibt es bereits seit Längerem spezifische Vorschriften, die eine verschärfte Regelung vorsehen. So verlangt z.B. Art. 32 Abs. 1 lit b) EU-DSGVO von den Verantwortlichen einer Behörde, dass sie „Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung“ auf Dauer sicherstellen. Das ist gerade für kleinere Organisationen eine große Herausforderung, weil sie meist nicht über genügend bzw. ausreichend qualifiziertes Personal in diesem Bereich verfügen.

KITK1703 ID106-Thomas-Hofer.JPG

Thomas Hofer ist Volljurist und Leiter des Rechtsinformatikzentrums der Ludwig-Maximilians-Universität München, außerdem ein langjähriger Referent und Dozent mit Spezialisierung auf IT-Compliance-Recht.


Akad. Dir. Thomas Hofer, riz@jura.uni-muenchen.de, www.jura.uni-muenchen.de/fakultaet/riz/index.html

Kontrollierte Angriffe über typische Vektoren

An dieser Stelle können sogenannte Penetration-Tester helfen. Dabei handelt es sich um meist externe Dienstleister, die im Auftrag von IT-Betreibern Schwachstellen und Sicherheitslücken unter kontrollierten Bedingungen identifizieren und dann reale Angriffsszenarien durchspielen. Typische Ansatzpunkte für einen Pentest sind Firewalls, Webserver, Remote-Zugänge (z.B. für die Fernwartung) und Funknetze. Firewalls sind wegen ihrer Funktion als Übergang zwischen Internet und Firmennetz für Cyberangriffe geradezu prädestiniert und somit auch der erste Ansatzpunkt für Pentests. Bei Webservern liegt das hohe Gefährdungspotenzial ihrer weiten Verbreitung, ihren umfangreichen Funktionen und den daraus resultierenden Schwachstellen.

Die 10 größten Sicherheitsrisiken bei Web-Anwendungen

OWASP Top 10-2017 (en).jpg

Wertvolle Hinweise auf mögliche Schwachpunkte gibt der seit 2003 vom Open Web Application Security Project (OWASP) jährlich veröffentlichte Top 10 Report. Er zeigt die zehn wichtigsten Risiken und Angriffsarten im Bereich Web-Anwendungen. Ziel des Reports ist es, die Aufmerksamkeit auf die bekanntesten Schwachstellen im Web-Umfeld zu lenken. Sicherheitsexperten, Softwareentwickler, Projektmanager und Softwarearchitekten nutzen diesen Report für ihre Arbeit. Jüngster Stand ist der OWASP Top 10 Report 2017, der auf Englisch schon verfügbar ist, sowohl als PDF als auch als Online-Version im Wiki-Format. (Bild: OWASP/Open Web Application Security Project)

Allerdings: Ein einzelner Pentrationstest bietet keine langfristige Sicherheit für das geprüfte IT-System, da neue Sicherheitslücken und Schwachstellen sogar unmittelbar nach Abschluss des Tests auftreten können. Daher sollten Verantwortliche ihre IT-Systeme möglichst regelmäßig prüfen lassen.

Was es bei Planung und Umsetzung eines Pentests zu beachten gilt, erklärt der zweite Teil dieses Beitrags.

Nützliche Links