IT-Security

Den richtigen Pentester finden

Dr. Daniel Hamburg ist Head of Security Engineering bei TÜV Rheinland i-sec.
Schwachstellenanalyse und Penetrationstest sind meist Aufgaben für einen externen Security-Dienstleister. Wie sollten Unternehmen bei der Anbieterwahl vorgehen?

Bevor es darum geht, einen Dienstleister auszuwählen, sollte die Organisation klären, ob sie eine technische Sicherheitsanalyse oder einen Penetrationstest benötigt. Beide Begriffe werden oft synonym verwendet, allerdings gibt es einige kleine, aber wichtige Unterschiede, die jeweils zu anderen Ergebnissen führen können.

Penetrationstester imitieren einen Hackerangriff und versuchen im Auftrag, unbemerkt ein Netzwerk anzugreifen. So spüren sie für Unternehmen Sicherheitslücken auf.
Penetrationstester imitieren einen Hackerangriff und versuchen im Auftrag, unbemerkt ein Netzwerk anzugreifen. So spüren sie für Unternehmen Sicherheitslücken auf.
Foto: Nmedia - Fotolia.com

Anbieterübersichten finden sich in der Fachpresse und im Netz. Aber: Was macht einen guten Anbieter aus? Nicht blenden lassen sollte man sich von Hochglanz-Statistiken, beispielsweise über die Anzahl kompromittierter Systeme oder Datensätze oder die Zeit, in der es gelang, Organisationen zu "hacken". Sie sagen eher etwas über die (mangelnde) IT-Sicherheit der Auftraggeber aus als über die tatsächliche Qualität der Analysen. Seriöse Anbieter lassen ihre Referenzliste für sich sprechen.

Folgende Kriterien sind darüber hinaus hilfreich bei der Auswahl:

Expertise

  • Leistungsumfang: Ein guter Tester, auch Security Analyst genannt, versteht etwas von typischen Backend-Strukturen in Netzwerken sowie den dort genutzten branchenspezifischen Protokollen. Kennt er den Branchenkontext, findet der Tester nicht nur spezifische Schwachstellen, sondern kann gefundene Schwachstellen auch besser einordnen und effiziente Gegenmaßnahmen vorschlagen.

  • Blick über den Tellerrand: Ein Qualitätsmerkmal ist es, wenn der Anbieter nicht nur technische Tests beherrscht, sondern auch Erfahrung hat in der Prüfung technischer Richtlinien, von Prozessen oder Netzwerk-Architekturen (siehe auch Absatz "Reporting" weiter unten). Wünschenswert sind auch Kenntnisse angrenzender, nicht-technischer Felder, wie beispielsweise im Bereich Datenschutz. So wird er auch auf nicht-technische Schwachstellen hinweisen können.

  • Mindestanforderungen: Neben der Handhabung von Hackertools und Schwachstellen-Scannern sollte der Auftragnehmer über Wissen in folgenden Bereichen verfügen: Systemadministration / Betriebssysteme, TCP/IP und weitere Netzwerkprotokolle, Programmiersprachen, IT-Sicherheitsprodukte wie Firewalls, Intrusion Detection Systeme, Anwendungen bzw. Anwendungssysteme.

  • Spezialwissen: Ist besonderes Know-how für die Prüfung der Infrastruktur erforderlich, wie SAP, Mainframes, Drittanbieter-Software, mobile Anwendungen oder Produktions- und Prozessleittechnik? Kann der Auftragnehmer damit dienen?

Teamgröße

Die Auswahl eines größeren Anbieters (mit mehr als 20 Testern) kann sinnvoll sein, wenn es darum geht, Systeme oder Applikationen regelmäßig prüfen zu lassen. So kann der Dienstleister wechselnde Teams einsetzen, sodass der Tester nicht Gefahr läuft, betriebsblind zu werden.

Vorgehensweise

Der Anbieter sollte vor allem auf die Kompetenz und Kreativität menschlicher Security Analysts setzen. Manuelle Tests, die einen großen Anteil des Gesamtaufwands darstellen, sind für seriöse Anbieter Pflicht. Rein automatisierte Tests, wie sie auch am Markt angeboten werden, erzielen weniger aussagekräftige Ergebnisse. Ein gesunder Mix aus manuellen und automatisierten Tests ist zu empfehlen. Darüber hinaus ist es sinnvoll, abzufragen, ob sich der Dienstleister auf die reine Identifizierung technischer Schwachstellen beschränkt oder auch organisatorische Probleme hinter den Testergebnissen erkennt und benennt.

Reporting

Ein Musterbericht - angefordert vor der Beauftragung - vermittelt einen Eindruck von der Aufbereitung der Ergebnisse durch den Auftragnehmer. Ein guter Report beinhaltet stets eine Zusammenfassung der wichtigsten Testergebnisse und Empfehlungen für wirksame Gegenmaßnahmen, mit denen sich die entdeckten Sicherheitslücken dauerhaft schließen lassen.

Lassen Sie sich anonymisierte Berichte von Referenzprojekten zeigen. Prüfen Sie, inwieweit der Dienstleister in der Lage ist, seinen Berichtsstandard an die Bedürfnisse des Auftraggebers anzupassen (Format, Sprache, Inhalte, Bewertung der Schwachstellen, etc.).

Grundsätzlich sollte der Bericht so abgefasst sein, dass die wichtigsten Zielgruppen ihn nachvollziehen können: die IT-Verantwortlichen, die fachlich über die Lösungsvorschläge entscheiden und das Management bzw. die Geschäftsführung, die das Budget für die Gegenmaßnahmen freigeben.

Vertragswerk

Zu den Mindeststandards gehören:

  • die Beschreibung von Ausgangssituation und Zielsetzung,

  • die Definition von Projekt, Zeitraum und Leistungsbestandteilen,

  • die Darstellung von Projektorganisation und Mitwirkung des Auftraggebers und

  • der Abschluss einer Vertraulichkeitsvereinbarung.

Ernstzunehmende Anbieter benennen in größeren Projekten neben den Security Analysts einen Projektleiter und fordern auch auf Kundenseite die Benennung von Verantwortlichkeiten.

Fazit

Wer eine Sicherheitsanalyse oder einen Penetrationstest durchführen will, der sollte ein wenig Zeit in die Wahl des Anbieters investieren. Denn einige Kriterien haben maßgeblichen Einfluss auf die Ergebnisqualität und damit auch auf die Möglichkeiten, das IT-Sicherheitsniveau der Organisation zu steigern. Grundsätzlich hat die Beauftragung eines externen Dienstleisters einen Vorteil: Externe Security Analysts haben, zusätzlich zu ihrem Ergebniswissen, einen frischen Blick auf die ihnen unbekannte IT-Umgebung und müssen sich nicht - anders als vielleicht die IT-Verantwortlichen - für aufgedeckte Sicherheitslücken gegenüber der Geschäftsführung rechtfertigen.

Mehr zum Thema?

Wenn Sie sich für das Thema Schwachstellen-/Security-Analyse und Penetrationstesting interessieren, empfehlen wir auch den Beitrag "Schwachstellenanalyse vs. Penetrationstest - was ist das?" (sh)