Sicherheit

BSI Studie, Durchführungskonzept für Penetrationstests

pimki

pimki

2 min read
BSI Studie, Durchführungskonzept für Penetrationstests
Photo by Simon Wierzba / Unsplash

Hi zusammen, als jemand, der sich schon länger mit IT-Sicherheit beschäftigt, gibt es immer wieder Veröffentlichungen, die mich wirklich zum Nachdenken anregen. Eine davon ist die bekannte BSI-Publikation zum Thema Penetrationstests. Ich kenne das Dokument, seit es herauskam, aber ich finde es immer wieder spannend, mir die Kernaussagen noch einmal vor Augen zu führen. Es geht nämlich nicht nur um die Technik, sondern auch um die dahinterstehende Philosophie.

Mehr als nur ein "Hacking-Versuch"

Ich habe in den letzten Jahren immer wieder festgestellt, dass viele Penetrationstests mit einem wilden, unstrukturierten Hacking-Angriff verwechseln. Das BSI-Dokument stellt hier ganz klar: Ein Penetrationstest ist systematisch, methodisch und hochprofessionell. Es ist eine geplante Dienstleistung, die auf Vertrauen zwischen Unternehmen und Testern aufbaut. Es geht darum, die Stärken und Schwächen der eigenen Verteidigung zu verstehen, bevor sie auf die Probe gestellt werden – nicht, um Chaos zu verursachen.

Ein gutes Beispiel dafür ist die App-Sicherheit. Viele Unternehmen beauftragen einen Penetrationstest, um zu prüfen, ob ihre neue mobile App vor externen Angriffen sicher ist. Die Tester versuchen dann beispielsweise, die App zu manipulieren, um an Kundendaten zu gelangen oder die Funktionsweise zu stören. Die BSI-Methodik liefert hier den perfekten Rahmen, um solch einen Test strukturiert und umfassend durchzuführen. Sie gibt vor, dass man sich nicht nur auf die offensichtlichen Schwachstellen beschränkt, sondern auch die zugrundeliegende Architektur und die Datenverarbeitung genau unter die Lupe nimmt.

Die entscheidenden Phasen: Vom Plan bis zur Lösung

Was ich aus der BSI-Sicht immer wieder mitnehme, ist die Betonung auf den Prozess. Es ist nicht nur der Test an sich, sondern die ganze Kette, die zählt. Die Vorbereitung ist der erste und vielleicht wichtigste Schritt. Man legt den Umfang fest, was getestet werden darf und was nicht. Stellt euch vor, ein Unternehmen hat einen Webshop und ein internes Warenwirtschaftssystem. Hier würde man im Vorfeld ganz klar festlegen, dass nur der Webshop Ziel des Tests ist, um den Geschäftsbetrieb nicht zu stören.

In der Phase der Durchführung setzen die ethischen Hacker dann ihre Werkzeuge und ihr Wissen ein. Ich finde die Idee spannend, dass man hier verschiedene Ansätze wählen kann: Ein Black-Box-Test, bei dem die Tester keine internen Informationen haben und einen realen Angriff von außen simulieren. Oder ein White-Box-Test, bei dem sie vollständigen Einblick in den Quellcode und die Systemarchitektur bekommen, um noch tiefergehende Schwachstellen zu finden.

Der detaillierte Bericht in der Nachbereitung ist das Herzstück. Er liefert nicht nur eine Liste von Problemen, sondern auch die notwendigen Lösungsansätze, um die Sicherheit nachhaltig zu verbessern. Ein typisches Szenario, das ich mir vorstelle: Ein Penetrationstester findet bei einem Webserver eine Schwachstelle, durch die er Zugriff auf vertrauliche Daten erhalten könnte. Die BSI-Methodik fordert, dass diese Schwachstelle nicht nur benannt, sondern auch der genaue Weg zur Ausnutzung und eine detaillierte Anleitung zur Behebung beschrieben werden. Es geht also nicht nur um das "Was", sondern auch um das "Wie" und "Wie man es repariert".

Die Empfehlung des BSI, diese Tests regelmäßig zu wiederholen, macht für mich absolut Sinn. In der dynamischen Welt der IT-Sicherheit ändern sich Bedrohungen, Technologien und auch die eigenen Systeme ständig. Einmalige Tests sind gut, aber kontinuierliche Überprüfungen sind essenziell, um wirklich sicher zu sein. Es ist ein Plädoyer für proaktive statt reaktive Sicherheit.

Kurz gesagt: Obwohl ich die Details des BSI-Papiers schon lange kenne, erinnert es mich immer wieder daran, dass ein Penetrationstest weit über die reine Technik hinausgeht. Es ist ein integraler Bestandteil einer durchdachten Sicherheitsstrategie, der uns hilft, einen Schritt vorauszudenken.

Read more

Die neue digitale Heimat: Warum Mastodon und das Fediverse die Machtverschiebung im Social Web einleiten sollte

Die neue digitale Heimat: Warum Mastodon und das Fediverse die Machtverschiebung im Social Web einleiten sollte

Als langjähriger Nutzer und Beobachter des digitalen Raums habe ich die Entwicklung der sozialen Medien mit einer Mischung aus Faszination und wachsender Skepsis verfolgt. Die zentralisierten Plattformen haben uns immense Vernetzung gebracht, aber der Preis dafür war hoch: Datenhunger, algorithmische Manipulation und die Konzentration der Kommunikationsmacht in den Händen weniger

By pimki
Sichere Cloud-Nutzung durch clientseitige Verschlüsselung

Sichere Cloud-Nutzung durch clientseitige Verschlüsselung

Sichere Cloud-Nutzung durch clientseitige Verschlüsselung: Eine Analyse am Beispiel Cryptomator. Die Nutzung von Cloud-Speicherdiensten wie Google Drive, Dropbox oder Microsoft OneDrive ist im beruflichen wie privaten Kontext weit verbreitet. Sie bietet eine komfortable Möglichkeit, Dokumente, Fotos oder Arbeitsdateien ortsunabhängig zu speichern und zu synchronisieren. Gleichwohl wirft diese Praxis zentrale Fragen

By pimki
MeshCom: Revolutionäres off-grid-Kommunikationssystem für Funkamateure

MeshCom: Revolutionäres off-grid-Kommunikationssystem für Funkamateure

Einführung in MeshCom MeshCom ist ein innovatives Projekt des Institute of Citizen Science for Space & Wireless Communication, das die Kommunikation unabhängig von bestehender Infrastruktur ermöglicht. Es nutzt LORA™-Funkmodule und das APRS-Protokoll, um ein robustes, textbasiertes Mesh-Netzwerk im 70-cm-Band aufzubauen. Ziel ist ein energieeffizientes, kostengünstiges und dezentrales Kommunikationssystem, das

By pimki