Zunehmende Attacken aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen und Behörden unverzichtbar gemacht. Insbesondere personenbezogene Daten müssen vor diesen Attacken geschützt werden. Dies folgt nicht nur aus den datenschutzrechtlichen Vorschriften des § 9 Bundesdatenschutzgesetz sondern ist auch erforderlich, um teilweise immense Imageverlusten zu verhindern. Dennoch führen unzureichend administrierte Server, nicht aktuelle Versionen oder Programmierfehler immer wieder zu erfolgreichen Angriffen insbesondere auf Mail- und Web-Server. In regelmäßigen Abständen wird z. B. in der Presse darüber berichtet, dass Kunden- oder Nutzerdaten unberechtigt aus Onlineforen, Spielenetzwerken und Shopsystemen kopiert wurden. Teilweise werden dabei millionenfach Kundendaten entwendet. Auch stellen Unternehmen immer wieder fest, dass sie Opfer von Wirtschaftsspionage werden und externe Angreifer sich Zugriff auf sensible Daten verschafft haben. Der Schaden, der hierbei entsteht ist teilweise erheblich. So hat Sony z. B. für einen Hack seines Spielenetzwerks aus dem Jahre 2011 vor kurzem Entschädigungszahlungen in Höhe von ca. 19 Millionen Dollar zugestimmt und zahlt einem Teil der betroffenen Kunden bis zu 2.500 Dollar Entschädigung pro Identitätsdiebstahl.
Penetrationstest
Wie sicher Computersysteme wirklich sind, lässt sich am effektivsten durch gezielte Penetrationstests erkennen. Hierzu beauftragten Unternehmen in der Regel Dienstleister, die versuchen sollen, sich in bestimmte Zielsysteme zu „hacken“. Im Erfolgsfall werden die gefundenen Schwachstellen dokumentiert, um anschließend vom Unternehmen behoben werden zu können.
Die Penetrationstester, die ihr Wissen in diesem Rahmen nutzen, um im Einklang mit dem Gesetz vertrauensvolle Penetrationstests durchzuführen, sind auch als White-Hat-Hacker bekannt. Im Gegensatz zu sog. Black-Hat-Hackern verwenden sie ihr Wissen nicht, um Daten zu entwenden oder Unternehmen zu schädigen.
Leitfaden des BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Leitfaden über eine Methodik zur Durchführung von Pentests veröffentlicht. Dieser Leitfaden soll bei der Auswahl von vertrauensvollen Penetrationstestern und der Beauftragung von Penetrationstests unterstützen und die notwendigen Erläuterungen zum Ablauf geben. Es richtet sich somit vorrangig an die IT-Verantwortlichen in Unternehmen und Behörden, um diesen die notwendigen Hilfsmittel bei der Auswahl eines Dienstleisters und der Planung der Tests zu geben. Zugleich bietet es den Pentestern eine Anleitung für ein strukturiertes Vorgehen, so dass auf diesem Weg ein möglichst aussagekräftiges Testergebnis erzielt werden kann.
Auf seiner Informationsseite bietet das BSI darüber hinaus für Behörden die relevanten Antragsformulare für einen Pentest durch das BSI an und verweist auf die zertifizierten IT-Sicherheitsdienstleister, die diese Tätigkeit, z.B. im Rahmen einer IS-Revision, ebenfalls durchführen können.