Recht und Ethik beim Penetrationstest
Zu den rechtlichen Aspekten eines Penetrationstests gehören zunächst einmal, dass alle Parteien über den bevorstehenden Pentest informiert und aufgeklärt wurden. Da es sich um einen simulierten Angriff handelt, muss die Zustimmung des Auftraggebers in schriftlicher Form vorliegen. Der Umfang sollte dort möglichst klar beschrieben werden, ebenso wie eventuelle Grenzen oder Bereiche, die vom Penetrationstest explizit ausgenommen sind. Da ein Penetrationstest, je nach Umfang, sehr tief in die Systeme eingreifen kann, ist es wichtig auch die Haftung für entsprechende Schäden zu klären. Qualifikationen sollten nachgewiesen und Vertraulichkeiten, Protokollierung etc. ebenfalls umfassend besprochen werden. Der rechtliche Aspekt ist aufgrund des Umfangs tatsächlich nicht zu unterschätzen, da Penetrationstests eben sehr tiefgreifende Angriffe darstellen, wenngleich sie gute Ziele verfolgen und von IT-Sicherheitsexperten fachkundig durchgeführt werden.
Wenn ein Penetrationstest wirklich etwas hervorbringen, also tatsächliche Schwachstellen aufdecken soll, bedarf er einer sehr genauen und realitätsnahen Durchführung. Diese gelingt jedoch nur dann, wenn ethische Hacker den Pentest übernehmen. Angreifer also, die wie Hacker denken und agieren, weil sie schlichtweg Hacker sind, aber eben einer gewissen Ethik folgen. Statt Schaden anzurichten, möchten sie aufdecken, sehnen sich aber dennoch nach der Herausforderung des Hackens. Somit wird in IT-Systeme eingedrungen, in die eigentlich kein Eindringen möglich sein sollte.
Diese ethischen, also gutartigen Hacker, braucht es bei einem Pentest zwingend, da nur sie die Dinge betrachten, wie sie auch ein potenzieller Hacker sehen würde. Nur authentische Hacks können auch aufzeigen, wo Schwachstellen lauern, die bösartige Hacker gezielt ausnutzen könnten.
Die Penetrationstest-Ethik sorgt nun dafür, dass trotz der rabiaten Vorgehensweise keine unangenehmen Konsequenzen entstehen. Es wird also besonders sauber und gewissenhaft vorgegangen und eventuelle IT-Dienstleister, die mit dem Unternehmen verbunden sind, werden dementsprechend auch vorab über den Pentest informiert. Das gilt natürlich ebenfalls für die interne IT-Abteilung, sollte es eine solche geben.
Am Ende beschreibt die Penetrationstest-Ethik ein möglichst transparentes Vorgehen, mit dem Ziel, gute und verwertbare Ergebnisse zu liefern, die keine weiteren Schwachstellen hinzufügen oder für andere Schwierigkeiten sorgen. Penetrationstests sind also ethische Hacks, die unethische Hacks in Zukunft verhindern sollen.
Return on Investment (ROI) bei Penetrationstests
Der sogenannte Return on Investment (kurz einfach ROI genannt) ist ein entscheidender Faktor, wenn es darum geht, den Nutzen einer Maßnahme zu analysieren. Im Falle des Penetrationstests wirkt es auf viele Entscheider so, als wäre der Nutzen von diesem eher geringer Natur. Andere Maßnahmen erscheinen deshalb oft deutlich vielversprechender zu sein. Ein Trugschluss, denn kaum etwas ist derartig aussagekräftig für die IT-Sicherheit im eigenen Unternehmen wie ein umfangreicher Penetrationstest.
Was den Penetrationstest von anderen Sicherheitsmaßnahmen und Sicherheitsprüfungen unterscheidet, ist die Tatsache, dass er im Grunde einen realistischen Angriff nachbildet. Der Pentest ist ein kontrollierter Cyberangriff auf die IT-Systeme eines Unternehmens und zeigt daher sehr genau auf, wo die möglichen Schwachstellen zu finden sind. Und zwar auf eine Art, die besonders authentisch ist und dem Vorgehen potenzieller Hacker entspricht. Damit ist der Pentest weniger theoretisch als vielmehr eine Offenbarung von Sicherheitsrisiken, die derzeit von Angreifern ausgenutzt werden könnten.
Durch die Vielfalt an möglichen Szenarien eines solchen Pentests und unterschiedlich umfangreich ausgeprägten Testmethoden, lassen sich viele mögliche Angriffsarten sehr genau durchspielen. Auf diese Weise wird neben möglichen Schwachstellen auch deutlich, wie sicher ein Unternehmen zurzeit bereits aufgestellt ist. Das wiederum ist wichtig, um hohe Kosten bei einem Sicherheitsvorfall zu vermeiden. Aber auch, um Kunden entsprechende Garantien geben zu können oder schlichtweg zu zeigen, dass die Sicherheit im eigenen Unternehmen entsprechend ernsthaft behandelt wird.
Der Return on Investment bei Penetrationstests ist in der Regel also deutlich höher, als die IT-Entscheider zunächst vermuten. Durch die Vielzahl an Vorteilen und der Prävention in Bezug auf Sicherheitslücken ist er sogar außerordentlich hoch und dementsprechend als überaus wertvoll zu betrachten.
Marktplatz IT-Sicherheit: weitere Angebote
Beiträge
Ratgeber
IT-Sicherheitstools
Interaktive Listen
Zertifikate IT-Sicherheit
