Penetrationstests für den IT-Grundschutz nach IT-Grundschutz-Kompendium des BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt generell die Durchführung von Penetrationstests, sowohl im Rahmen des IT-Grundschutz wie auch unabhängig von der Umsetzung von Grundschutz-Katalogen. Hierzu schreibt das BSI:

„Angriffe auf IT-Systeme sind selbst für kleine Behörden und Unternehmen kein Fremdwort mehr. Um sich hiervor optimal zu schützen, ist es hilfreich, wenn man sich neben den üblichen Sicherheitsvorkehrungen zusätzlich auf die Sicht der Angreifer einlässt. Hierfür sind Penetrationstests ein geeignetes Verfahren, um die aktuelle Sicherheit eines IT-Netzes, eines einzelnen IT-Systems oder einer (Web-)Anwendung festzustellen. Sie dienen dazu, die Erfolgsaussichten eines vorsätzlichen Angriffs einzuschätzen und dadurch die Wirksamkeit der vorhandenen Sicherheitsmaßnahmen zu überprüfen sowie weitere notwendige Sicherheitsmaßnahmen abzuleiten.“

Als Anbieter von Penetrationstests mit langjähriger Erfahrung kann die NSIDE ATTACK LOGIC Sie und Ihr Unternehmen mit der Durchführung von Penetrationstests unterstützen, egal ob Sie diese bei der Umsetzung von IT-Grundschutzmaßnahmen oder unabhängig von diesen durchführen möchten.

Das BSI stellt auch einen Praxisleitfaden zu Penetrationstests auf seiner eigenen Webseite zum Download zur Verfügung: Praxisleitfaden IT-Sicherheits-Penetrationstest des Bundesamt für Sicherheit in der Informationstechnik.

Penetrationstests für Zertifizierung nach ISO 27001

Die Norm ISO 27001 stellt dar, wie Unternehmen ein ISMS (Informationssicherheits-Managementsystem oder Information Security Management System) aufzusetzen und zu betreiben haben.

ISO 27001 schreibt via Control A.12.6.1 (ISO27001:2013, Annex A/Anhang A, „Technical Vulnerability Management“) vor, dass Unternehmen das Ausnutzen von technischen Schwachstellen zu verhindern, Schwachstellenmanagement und Schwachestellenbehebung umzusetzen haben.

Penetrationstests sind eine geeignete Maßnahme, um diese Anforderungen zu erfüllen. In Einzelfällen können zwar auch automatisierte Schwachstellenscans ausreichen, um der Anforderung Genüge zu leisten. Im Normalfall werden jedoch Penetrationstests empfohlen.

NSIDE ATTACK LOGIC ist ein erfahrender Anbieter von Penetrationstests mit außerordentlich hoher Qualität. Sollten Sie oder Ihr Unternehmen eine Zertifizierung nach ISO 27001 anstreben, kann NSIDE ATTACK LOGIC Sie mit Penetration Testing für ISO 27001 unterstützen.

Achtung: Zum aktuellen Zeitpunkt führt NSIDE ATTACK LOGIC keine vollständigen Audits nach ISO 27001 selbst durch. NSIDE ATTACK LOGIC führt allerdings Penetrationstests durch, die eine geeignete Maßnahme darstellen, um Anforderungen zur Zertifizierung nach ISO 27001 zu erfüllen. Wir haben jedoch mehrere Partner, die Audits nach den Vorgaben von ISO 27001 durchführen können und hierzu berechtigt sind. Sprechen Sie uns an, wir vermitteln Sie gerne an unsere kompetenten Partner weiter!

Penetrationstests für TISAX

Der TISAX-Standard zur Akkreditierung von Zulieferern der deutschen Automobilbauer, zusammengeschlossen im ENX, ist ein Standard, der die IT-Sicherheit von Firmen, die Teil der Lieferkette der deutschen Automobilbauer sind, sicherstellen soll. Der TISAX-Standard sieht Information Security Assessments vor und beinhaltet sowohl direkt wie auch indirekt die Anforderung der Penetrationstests.

Unter anderem umfasst das „VDA Information Security Assessment“ Requirement Sheet die Anforderung eines ISMS nach ISO 27001. ISO 27001 spezifiziert in Annex A (Anhang A) 12.6.1 und 12.6.2, dass technisches Vulnerability Management durchzuführen und die Ausnutzbarkeit von technischen Schwachstellen in Systemen der zu akkreditierenden Organisation auszuschließen ist. Hierzu sind Penetrationstests das geeignetste Mittel, wobei in wenigen Einzelfällen auch automatische Schwachstellenscans ausreichend sein können. Somit fordert TISAX über den Bezug zur ISO 27001 auch, dass Penetrationstests durchgeführt werden. Die Information Security Assessment-Liste des VDA fordert ferner die Prüfung der Effektivität von verschiedenen Sicherheitsmaßnahmen. Auch hierfür sind Penetrationstests wiederum ein geeignetes Mittel und effektiver als reine Audits.

Als erfahrender Anbieter von Penetrationstests kann die NSIDE ATTACK LOGIC Sie und Ihr Unternehmen gerne dabei unterstützen, einen Penetrationstest für die Akkreditierung nach TISAX durchzuführen!

Achtung: Zum aktuellen Zeitpunkt führt NSIDE ATTACK LOGIC keine vollständigen Audits nach TISAX selbst durch. NSIDE ATTACK LOGIC führt allerdings Penetrationstests durch, die eine geeignete Maßnahme darstellen, um Anforderungen zur Zertifizierung nach TISAX zu erfüllen. Wir haben jedoch mehrere Partner, die Audits nach den Vorgaben von TISAX durchführen können und hierzu berechtigt sind. Sprechen Sie uns an, wir vermitteln Sie gerne an unsere kompetenten Partner weiter!

Penetrationstest zur Zulassung als AEO (Authorized Economic Operator)

Innerhalb der EU und in anderen Wirtschaftsräumen können sich Marktteilnehmer als Authorized Economic Operator (AEO) zulassen bzw. akkreditieren lassen. Die Anerkennung als AEO hat verschiedene Vorteile, insbesondere beim grenzüberschreitenden Warenverkehr. So gelten vereinfachte Verfahren zur Behandlung durch die verschiedenen Zollbehörden der Länder eines Wirtschaftsraums, wenn das jeweilige Unternehmen als AEO akkreditiert ist.

Eine Voraussetzung für die Anerkennung als Authorized Economic Operator ist die Durchführung eines sogenannten Penetrationstests. Dabei handelt es sich um einen aktiven Sicherheitstest von IT-Systemen. Diese Vorgabe entstammt dem EU-Dokument TAXUD/2006/1450 vom 12.06.2006 und gibt in Abschnitt 3.07 unter „Interne Kontrollverfahren“ Penetrationstests vor:

„Wurden „Penetrationstests” durchgeführt? Mit welchem Ergebnis? Falls keine solchen Tests durchgeführt wurden, sollte das Unternehmen dies nachholen, um die Sicherheit seiner Computersysteme nachzuweisen.“

NSIDE ATTACK LOGIC ist ein erfahrener Anbieter von Penetrationstests. Als solcher können wir Unternehmen, die eine Anerkennung als AEO (Authorized Economic Operator) anstreben unterstützen und kompetente, hochqualitative Penetrationstests für AEO durchführen.

Bankaufsichtliche und Versicherungsaufsichtliche Anforderungen an die IT (BAIT/VAIT)

In den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT), erlassen durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), werden Sicherheitstests und Penetrationstests mehrfach referenziert. Dies ist vor allem in VAIT-Anforderungen #43, #54 und insbesondere #32 explizit und implizit formuliert. So fordern #43 und #54 generelle Tests von Systemen und Anwendungen, . #32 der VAIT nimmt Bezug auf Penetrationstestergebnisse, die im Rahmen von IT-Sicherheitslageberichten der Geschäftsleitung mindestens vierteljährlich vorzulegen sind.

Bei den Bankaufsichtlichen Anforderungen an die IT (BAIT) sieht es ähnlich aus: Hier sind die relevanten Punkte insbesondere #22 sowie #41, die den Punkten 32 und 54 der VAIT entsprechen.

Ferner nehmen beide Werke Bezug auf den BSI IT-Grundschutz-Katalog sowie die Normenreihe ISO 2700X, die in ISO 27001, Appendix A Penetrationstests als geeignete Maßnahme zum Umgang mit Schwachstellen nennt.