Bevor es darum geht, einen Dienstleister auszuwählen, sollte die Organisation klären, ob sie eine technische Sicherheitsanalyse oder einen Penetrationstest benötigt. Beide Begriffe werden oft synonym verwendet, allerdings gibt es einige kleine, aber wichtige Unterschiede, die jeweils zu anderen Ergebnissen führen können.
Anbieterübersichten finden sich in der Fachpresse und im Netz. Aber: Was macht einen guten Anbieter aus? Nicht blenden lassen sollte man sich von Hochglanz-Statistiken, beispielsweise über die Anzahl kompromittierter Systeme oder Datensätze oder die Zeit, in der es gelang, Organisationen zu "hacken". Sie sagen eher etwas über die (mangelnde) IT-Sicherheit der Auftraggeber aus als über die tatsächliche Qualität der Analysen. Seriöse Anbieter lassen ihre Referenzliste für sich sprechen.
Folgende Kriterien sind darüber hinaus hilfreich bei der Auswahl:
Expertise
Leistungsumfang: Ein guter Tester, auch Security Analyst genannt, versteht etwas von typischen Backend-Strukturen in Netzwerken sowie den dort genutzten branchenspezifischen Protokollen. Kennt er den Branchenkontext, findet der Tester nicht nur spezifische Schwachstellen, sondern kann gefundene Schwachstellen auch besser einordnen und effiziente Gegenmaßnahmen vorschlagen.
Blick über den Tellerrand: Ein Qualitätsmerkmal ist es, wenn der Anbieter nicht nur technische Tests beherrscht, sondern auch Erfahrung hat in der Prüfung technischer Richtlinien, von Prozessen oder Netzwerk-Architekturen (siehe auch Absatz "Reporting" weiter unten). Wünschenswert sind auch Kenntnisse angrenzender, nicht-technischer Felder, wie beispielsweise im Bereich Datenschutz. So wird er auch auf nicht-technische Schwachstellen hinweisen können.
Mindestanforderungen: Neben der Handhabung von Hackertools und Schwachstellen-Scannern sollte der Auftragnehmer über Wissen in folgenden Bereichen verfügen: Systemadministration / Betriebssysteme, TCP/IP und weitere Netzwerkprotokolle, Programmiersprachen, IT-Sicherheitsprodukte wie Firewalls, Intrusion Detection Systeme, Anwendungen bzw. Anwendungssysteme.
Spezialwissen: Ist besonderes Know-how für die Prüfung der Infrastruktur erforderlich, wie SAP, Mainframes, Drittanbieter-Software, mobile Anwendungen oder Produktions- und Prozessleittechnik? Kann der Auftragnehmer damit dienen?
Teamgröße
Die Auswahl eines größeren Anbieters (mit mehr als 20 Testern) kann sinnvoll sein, wenn es darum geht, Systeme oder Applikationen regelmäßig prüfen zu lassen. So kann der Dienstleister wechselnde Teams einsetzen, sodass der Tester nicht Gefahr läuft, betriebsblind zu werden.
Vorgehensweise
Der Anbieter sollte vor allem auf die Kompetenz und Kreativität menschlicher Security Analysts setzen. Manuelle Tests, die einen großen Anteil des Gesamtaufwands darstellen, sind für seriöse Anbieter Pflicht. Rein automatisierte Tests, wie sie auch am Markt angeboten werden, erzielen weniger aussagekräftige Ergebnisse. Ein gesunder Mix aus manuellen und automatisierten Tests ist zu empfehlen. Darüber hinaus ist es sinnvoll, abzufragen, ob sich der Dienstleister auf die reine Identifizierung technischer Schwachstellen beschränkt oder auch organisatorische Probleme hinter den Testergebnissen erkennt und benennt.
- Formalisieren Sie Risiko-Management und IT-Security
Gießen Sie Ihr Risiko- und IT-Sicherheits-Management in eine wiederhol- und messbare Form. Diese umfasst in der Regel vier Phasen: Governance, Planung, Aufbau und Betrieb. - Messen Sie den Reifegrad
Nutzen Sie eine Reifegradskala, um Planungslücken und ungenutzte Chancen des IT-Security-Programms zu finden. Solch eine Skala ist überdies ein gutes Mittel, um solchen Entscheidungsträgern das Thema zu veranschaulichen, die mit Technologie nicht immer etwas anfangen können. - Fahren sie risikobasierte Ansätze
Risiko-Management heißt auch, dass es den perfekten Schutz nicht gibt. Unternehmen sollten bewusste Entscheidungen über ihr Handeln und Nichthandeln fällen, was das Eingehen von Risiken betrifft. Das betrifft nicht nur die IT-Abteilungen, sondern vor allem auch die Nicht-IT-Bereiche. Über allem steht, das Risiko-Manager vorbeugende Ansätze befolgen, die Risiken von Anfang an minimieren. Schließlich sollen sie die Risiken steuern, und sich nicht von diesen steuern lassen. - Nutzen Sie Kennzahlen
Wer im Risiko-Management tätig ist, muss Kennzahlen definieren, an denen er seine Geschäftsprozesse ausrichten kann. Das sind zum einen KPIs (Key Performance Indicators), zum anderen KRIs (Key Risk Indicators). Letztere sollten sich aber nicht nur auf IT-zentrierte Kennzahlen konzentrieren - sonst besteht die Gefahr, zu meinen, dass die Risiken ausschließlich von der IT ausgehen. - Passen Sie Ihre KRIs den KPIs an
Die meisten Unternehmen arbeiten mit einer Fülle von Risiko- und Security-Kennzahlen. Auch wenn diese für interne Prozesse extrem wertvoll sind, haben sie doch meist nur einen geringen Wert für die Unternehmensentscheider. Gute KRIs sind deshalb einfach, messbar und haben einen direkten Einfluss auf viele der KPIs. - Entkoppeln Sie operative Messgrößen von der Vorstandskommunikation
Verwenden Sie keine operativen Messgrößen auf Vorstandsebene. Entscheidern fehlt das Hintergrundwissen und das Training, mit diesen in einem Business-Kontext umzugehen. - Kommunizieren Sie klar, was geht und was nicht
In einer risikobasierten Welt will eine Business-orientierte Zuhörerschaft genau wissen, welche Risiken drohen, welche Haltung ein Unternehmen dazu hat und was dagegen unternommen wird. Beantworten Sie diese Fragen für jeden verständlich, haben Sie den "Kampf" schon halb gewonnen.
Reporting
Ein Musterbericht - angefordert vor der Beauftragung - vermittelt einen Eindruck von der Aufbereitung der Ergebnisse durch den Auftragnehmer. Ein guter Report beinhaltet stets eine Zusammenfassung der wichtigsten Testergebnisse und Empfehlungen für wirksame Gegenmaßnahmen, mit denen sich die entdeckten Sicherheitslücken dauerhaft schließen lassen.
- chart-me
Mit dem Excel-basierten chart-me sind auch komplexere Analysen möglich. Das Bild zeigt beispielhaft die Struktur der Erträge und Aufwendungen, deren Abweichungen absolut und prozentual angezeigt werden. Diese übersichtliche Darstellung ist immer häufiger in Berichten anzutreffen. Die Diagramme sind in ein Seitenlayout eingebettet, das pixelgenau auf eine PowerPoint-Folie passt. - cMORE
cMORE/Message liefert eine umfangreiche Grafikbibliothek mit, in der Business-Grafiken wie beispielsweise Wasserfallgrafiken oder Kennzahlenbäume fertig enthalten sind. Bekannte Excel-Charts wie Balken- oder Säulendiagramme werden um neue Darstellungsformen wie „In-Bar Abweichungsgrafiken“ oder eine farbige Kennzeichnung des Zeitverlaufs erweitert. - QlikView
QlikView gilt als leistungsfähiges Analyse- und Reporting Tool, das seine Stärken im Bereich visuelle Analyse und einfaches Handling hat. Relevante Daten aus verschiedenen Quellen lassen sich in einer einzigen Applikation konsolidieren. Nutzer können mit Dashboards und Analysen interagieren und Daten über mobile Geräte aufrufen, analysieren und erfassen. - Sage Controlling-Paket
Das Controlling-Paket von Sage kann mehrere Trends miteinander vergleichen. So lassen sich Umsätze mit anderen Einheiten wie Tagen oder Stück in Beziehung setzen. Bis zu fünf Trendverläufe können miteinander kombiniert werden, um beispielsweise zu ermitteln, wie sich relevante Schlüsselkennzahlen im Verhältnis zum Umsatz entwickelt haben. - Jedox
Dank eines Excel-Add-ins lässt sich unter Jedox mit der Oberfläche von Microsoft Excel arbeiten. Gleichzeitig profitieren Anwender von den Vorteilen der OLAP-Analyse. In der vertrauten Umgebung des Tabellenkalkulationsprogramms lassen sich schnell und einfach Berichte und Auswertungen generieren, die auf einem OLAP-Würfel basieren. Nutzer können Reports und Analysen selbständig entwickeln, bearbeiten und verteilen. - MIK Starlight
MIK Starlight ermöglicht individuelle Analys- und Reportings im Bereich Self-Service BI. Umfangreiche Möglichkeiten zur Visualisierung mit vielfältigen Grafiken, Tabellen, Ampeln, Sparklines etc. zeigen wichtige Kennzahlen und Entwicklungen im Überblick. - Evidanza BI
Mit der Self-Service BI-Plattform Evidanza können Standardberichte auf derselben Plattform und mit denselben Funktionen aufgebaut werden. Diese stehen jedem berechtigten Fachanwender zur Verfügung, sobald er in den Design Modus für den Bericht wechselt. Der Berichtsaufbau ist in Evidanza programmierfrei gehalten, es sind also keine technischen Kenntnisse über beispielsweise SQL- oder MDX-Abfragen und keine sonstigen Programmierkenntnisse notwendig. - Tableau Online
Mit der skalierbaren Cloud-Lösung von Tableau Software können Anwender BI-Analysen in wenigen Minuten online vollziehen und bereitstellen. Auf einem Data Server speichert Tableau online Daten und Metadaten an zentraler Stelle. Auf diesem können Nutzer auch Dashboards veröffentlichen und teilen. - SAP SAP BusinessObjects BI-OnDemand
Der SAP BI OnDemand Service erlaubt Datananalyse und –visualisierung sowie die Berichtserstellung mit wenigen Mausklicks in der Cloud - ohne vorherige Investitionen in Hardware und Infrastruktur. Die SaaS-Lösung baut auf Funktionen für Abfragen, Berichte, Analysen und Dashboards aus dem SAP-Business-Objects-Portfolio auf. Geführte Analysen erlauben darüber hinaus Nutzern mit wenig BI-Erfahrung, eigene Dashboards und interaktive Analysen sowie Ad-hoc-Berichte zu erstellen. - Tibco Spotfire Cloud
Tibco Spotfire Cloud ist ein Set von Cloud-Services für Unternehmen, Mitarbeiterteams und für den persönlichen Gebrauch. Die Enterprise-Version bietet eine sichere, voll funktionsfähige Spotfire-Version in der Cloud, um damit Daten zu analysieren und Reports zu generieren - unabhängig davon, ob diese Daten gehostet werden oder nicht. - IDL.DESIGNER
Mit dem IDL.DESIGNER als zentraler Komponente der IDL-Reporting- Plattform erstellen Nutzer einfach und flexibel Ihre Web- und Ad-hoc-Berichte, Reports und Dashboards. Sie arbeiten per Drag & Drop auf einer modernen Oberfläche, haben umfassende Möglichkeiten für die Berichtsgestaltung und setzen fachliche Web-, Portal- und Mobility-Lösungen um. In der Anwendung zählen das IDL Financial Reporting für das Berichtswesen ebenso dazu wie individuelle Lösungen für das Controlling oder der Aufbau unternehmensweiter Informationssysteme.
Lassen Sie sich anonymisierte Berichte von Referenzprojekten zeigen. Prüfen Sie, inwieweit der Dienstleister in der Lage ist, seinen Berichtsstandard an die Bedürfnisse des Auftraggebers anzupassen (Format, Sprache, Inhalte, Bewertung der Schwachstellen, etc.).
Grundsätzlich sollte der Bericht so abgefasst sein, dass die wichtigsten Zielgruppen ihn nachvollziehen können: die IT-Verantwortlichen, die fachlich über die Lösungsvorschläge entscheiden und das Management bzw. die Geschäftsführung, die das Budget für die Gegenmaßnahmen freigeben.
Vertragswerk
Zu den Mindeststandards gehören:
die Beschreibung von Ausgangssituation und Zielsetzung,
die Definition von Projekt, Zeitraum und Leistungsbestandteilen,
die Darstellung von Projektorganisation und Mitwirkung des Auftraggebers und
der Abschluss einer Vertraulichkeitsvereinbarung.
Ernstzunehmende Anbieter benennen in größeren Projekten neben den Security Analysts einen Projektleiter und fordern auch auf Kundenseite die Benennung von Verantwortlichkeiten.
- Macher-Typen sind nicht mehr gefragt
Der Projektmanager mit rein technischer Expertise ist out, findet Mary Gerush von Forrester Research. Sie beschreibt den Projektmanager der nächsten Generation als kommunikativ, kompetent und stark in Soft-Skills. - 1. Emotionale Intelligenz
Das meint die Fähigkeit, Augen und Ohren offen zu halten, um den Input von Projektmitarbeitern und Kunden in Zusammenhang mit dem Ziel in die Arbeit einfließen zu lassen. - 2. Anpassungsfähige Kommunikation
Die Fähigkeit, seine Ideen - mündlich oder schriftlich - einem weiten Kreis von Interessenten zu vermitteln, egal, aus welcher Abteilung, aus welchem Kulturkreis und mit welcher Vorbildung sie stammen. - 3. Fähigkeit, mit Leuten umzugehen
Die Begabung, schnell positive Beziehungen zu Team-Mitgliedern und Stakeholdern aufzubauen und zu pflegen. - 4. Fähigkeit zu managen
Das Können, in einem Team zu arbeiten, es zu motivieren, auf das Ziel zu fokussieren und die Zusammenarbeit im Team zu fördern. - 5. Flexibilität
Der Wille und die Fähigkeit, seinen Denkansatz zu überarbeiten, wenn es der Projektgegenstand und das Business verlangen - 6. Business-Kenntnisse
Wissen über das Business des Kunden und seine Branche. Die Fertigkeit, seine Strategie zu verstehen und seine Projektarbeit an dieser Strategie auszurichten. - 7. Analyse-Fähigkeit
Die Eignung, Probleme analysieren zu können und seine Entscheidungen aufgrund solcher Analysen zu treffen. - 8. Blick für den Kunden
Das Vermögen, Kunden- und Anwenderbedürfnisse zu verstehen und den Drang, diese Kundenbedürfnisse im Projekt auch befriedigen zu wollen. - 9. Ausrichtung am Ergebnis
Die Fähigkeit, das Projekt effizient und wirksam abzuschließen. - 10. Charakter
Der Projektmanager der Zukunft sollte eine ansprechende Persönlichkeit sowie starke Wertvorstellungen und einen moralisch einwandfreien Charakter besitzen.
Fazit
Wer eine Sicherheitsanalyse oder einen Penetrationstest durchführen will, der sollte ein wenig Zeit in die Wahl des Anbieters investieren. Denn einige Kriterien haben maßgeblichen Einfluss auf die Ergebnisqualität und damit auch auf die Möglichkeiten, das IT-Sicherheitsniveau der Organisation zu steigern. Grundsätzlich hat die Beauftragung eines externen Dienstleisters einen Vorteil: Externe Security Analysts haben, zusätzlich zu ihrem Ergebniswissen, einen frischen Blick auf die ihnen unbekannte IT-Umgebung und müssen sich nicht - anders als vielleicht die IT-Verantwortlichen - für aufgedeckte Sicherheitslücken gegenüber der Geschäftsführung rechtfertigen.
Mehr zum Thema?
Wenn Sie sich für das Thema Schwachstellen-/Security-Analyse und Penetrationstesting interessieren, empfehlen wir auch den Beitrag "Schwachstellenanalyse vs. Penetrationstest - was ist das?" (sh)