Penetrationstests trotz hoher interner Sicherheitsstandards?
Ein Penetrationstest ist ein umfangreicher Sicherheitstest an einem IT-System, um dessen Empfindlichkeit gegen Angriffe, also unautorisiertes Eindringen, zu ermitteln. Bei diesem empirischen Testverfahren führen Experten Aktionen durch, die nicht der eigentlichen Bestimmung der Anwendung entsprechen, und simulieren dadurch Angriffsversuche unterschiedlicher Intensität. Dabei wenden sie Methoden und Werkzeuge an, die auch Angreifer nutzen würden, um das System zu attackieren, und bilden so zahlreiche Angriffsmuster nach, die bekannten Angriffsmethoden entsprechen.
Nun haben Unternehmen, die Software-Systeme und Netzwerke betreiben, in aller Regel aus ureigenem Interesse ein sehr großes Sicherheitsbedürfnis. In den allermeisten Unternehmen ist ein ausgereiftes Sicherheits- und Berechtigungskonzept etabliert und technisch umgesetzt, fast jedes Unternehmen einer gewissen Größenordnung unterhält eine eigene IT-Abteilung mit erfahrenen Fachleuten, in deren Verantwortungsbereich auch Sicherheitsaspekte fallen.
Warum also sollten Unternehmen Penetrationstests durchführen lassen? Nicht zuletzt deshalb: Gesetze und Verordnungen diktieren solche Tests zwar nicht zwingend, im Ernstfall muss man aber nicht nur den eigenen beträchtlichen Schaden tragen, sondern hat unter Umständen wohl auch gegen geltendes Recht verstoßen, weil die Wirksamkeit der getroffenen Sicherheitsmaßnahmen nicht ausreichend getestet worden ist.
Gesetzgebung: Sicherheitssysteme müssen wirksam sein
Es gibt, wie erwähnt, in Deutschland kein Gesetz, das jedem Unternehmen explizit die regelmäßige Durchführung von Penetrationstests vorschreibt. Andererseits heißt das freilich nicht, dass sich die Gesetzgebung rein gar nicht um Belange der Datensicherheit in Unternehmen, Behörden und Organisationen kümmern würde. Tatsächlich existieren verbindliche Vorschriften bezüglich:
- Maßnahmen zur Sicherung handels- und steuerrechtlich relevanter Informationen
- Handhabung von personenbezogenen Daten
- Einrichtung von und Anforderungen an sog. Interne Kontrollsysteme
Fakt ist offenbar: Nur durch das reine Vorhandensein interner Sicherheitssysteme ist ein Unternehmen noch nicht auf der sicheren Seite. Vielmehr verlangt die Gesetzgebung, dass Betreiber sicherstellen, dass die eigenen Sicherheitssysteme auch tatsächlich wirken und somit den rechtlichen Vorschriften genügen.
Ein zentrales Stichwort lautet Internes Kontrollsystem. Hierüber und speziell über die Anforderungen an Kontrollsysteme machen Gesetzestexte und Verordnungen konkrete Aussagen, und diese Anforderungen an die Datensicherheit im Unternehmen sind hoch.
Grundsätze ordnungsgemäßer gestützter Buchführungssysteme: Internes Kontrollsystem
Laut Handelsgesetzbuch muss ein Unternehmen seine Bücher gemäß der Grundsätze ordnungsmäßiger Buchführung (GoB) und der Grundsätze ordnungsmäßiger gestützter Buchführungssysteme (GoBS) führen. Hierfür ist ein wirksames Internes Kontrollsystem zu betreiben. Die GoBS, die nach § 239 Abs. 4 HGB auch für die Führung von Handelsbüchern Bedeutung haben, gehen davon aus, dass ein
„[…] ausgeprägtes Datensicherheitskonzept […] unabdingbar [ist]“, dass „Informationen […] gegen Verlust und gegen unberechtigte Veränderung zu schützen [sind]“ und dass dieser Schutz „durch wirksame Zugriffs- bzw. Zugangskontrollen zu gewährleisten [ist]“. (Rd-Nr. 5.1, 5.3, 5.5.1 GoBS)
Aktiengesetz: Risikomanagement und Frühwarnsystem etablieren
Aktiengesellschaften haben laut Aktiengesetz ein Risikomanagementsystem zu etablieren, das konkrete Anforderungen erfüllen muss. Unternehmen haben demnach
„[…] geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“ (§ 91 Abs. 2 AktG)
Zu einem solchen Risikomanagementsystem gehören insbesondere ein Frühwarnsystem, ein Überwachungssystem und eine Revision.
Bundesdatenschutzgesetz: Sicherheit personengebundener Daten gewährleisten
Personengebundene Daten stehen im Mittelpunkt des Bundesdatenschutzgesetzes. Dabei werden auch technische und organisatorische Maßnahmen zur Sicherstellung der Datensicherheit thematisiert:
„Öffentliche und nichtöffentliche Stellen, die [...] personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes [...] zu gewährleisten.“ (§ 9 S. 1 BDSG)
Das BDSG gibt darüber hinaus eine konkrete Empfehlung:
„Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter […] ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen […]“ (§ 9a BDSG)
Telemediengesetz: Nutzer gegen Kenntnisnahme Dritter schützen
Das Telemediengesetz legt u. a. Rahmenbedingungen für Unternehmen fest, die Telemedien gewerblich anbieten – und zu den Telemedien gehören auch zahlreiche Angebote aus dem Online-Umfeld. Die Vorgaben des TMG sind zudem auch für alle Organisationen und Unternehmen verbindlich, die ihren Mitarbeitern am Arbeitsplatz einen Internet-Zugang zur Verfügung stellen – sie werden hierdurch zum sog. Diensteanbieter. Diesen schreibt das TMG vor:
„Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass [...] der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann." (§ 13 Abs. 4 Satz 1 Nr. 3 TMG)
EU-Datenschutzrichtlinie: Technische und organisatorische Sicherheitsmaßnahmen
Nicht zuletzt sollen die Vorschriften der EU-Datenschutzrichtlinie erwähnt werden. Richtlinien der EU sind allerdings (von sehr engen Ausnahmen abgesehen) für den Bürger nicht unmittelbar verbindlich, sondern richten sich lediglich an die Staaten, die diese dann umzusetzen haben. Insofern ergeben sich hieraus (noch) keine unmittelbaren Pflichten für Unternehmen. Dennoch sei zitiert:
„Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung [personenbezogener Daten] Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen durchführen muss, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang – insbesondere wenn im Rahmen der Verarbeitung Daten über ein Netz übertragen werden – und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind.“ (Art. 4 Abs. 1 Richtlinie 95/46/EG)
Fazit: Es ist sinnvoll, den Ernstfall zu testen
Man sieht: Rechtsvorschriften verzichten darauf, Testmaßnahmen vorzuschreiben, doch sie legen qualitative Messlatten hoch an. Auch deshalb sollten Unternehmen den Ernstfall proben. Und tatsächlich empfiehlt ja bspw. das BDSG sog. Datenschutz-Audits – und solche lassen sich mit Penetrationstests gut abdecken.
Freilich liegt es an jedem Unternehmen, seine Software-Systeme zu sichern. Aber selbst wenn die eigene IT alle erdenklichen Sicherheitsvorkehrungen ergriffen hat, ist sie eben doch keine externe Instanz.
Eine sehr gute Möglichkeit, die tatsächliche Absicherung gegen Angriffe zu testen, bildet deshalb ein professionell durchgeführter Penetrationstest, aus dem Erkenntnisse über konkrete Sicherheitslücken und gezielte Optimierungsvorschläge hervorgehen. Die IT-Experten von //SEIBERT/MEDIA/SYSTEMS sind Spezialisten für Penetrationstests an Web-Servern und Web-Anwendungen und unterstützen Sie mit:
- White-Box-Tests: In enger Zusammenarbeit mit Ihrer IT-Abteilung simulieren wir beispielsweise Versuche eines internen Mitarbeiters, unautorisiert Daten zu verändern oder an zugriffsbeschränkte Informationen zu gelangen.
- Black-Box-Tests: Wir simulieren Angriffsversuche aus Sicht eines externen Angreifers, ohne die betreffende Anwendung zu kennen.
Bitte sprechen Sie uns unverbindlich an: Wir beraten Sie in allen Fragen der Intranet- und Internet-Sicherheit.
Weitere Informationen
Unsere spezielle Seite zum Thema Internet-Security-Beratung
Die Website von //SEIBERT/MEDIA/SYSTEMS
Notfalldienstleistungen von //SEIBERT/MEDIA/SYSTEMS
Gesetzestexte online
Mehr über die Creative-Commons-Lizenz erfahren
Ist denn die Durchführung von Penetrationstests mit dem sogenannten Hackerparagrafen 220c StGB schwieriger geworden? Insbesondere die Verwendung von Methoden und Werkzeugen der potentiellen Angreifer stellt ja rechtlich durch diesen Paragrafen ein Risiko dar, auch wenn dieser schwammig formuliert ist und in der Praxis immer wieder zu verschiedensten Rechtsauffassungen führte. Wie gehen Sie damit um oder hat das keine Relevanz?
Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V., kurz BITKOM, hat einen hilfreichen Leitfaden zum Umgang mit dem “Hackerparagrafen” veröffentlicht:
http://www.bitkom.org/de/publikationen/38337_52342.aspx
Grundvoraussetzung ist natürlich eine schriftliche Vollmacht zur Durchführung der Penetrationstests durch den Kunden (Geschäftsleitung oder IT-Leiter), aber auch allen beteiligten, dritten Parteien wie z.B. Hostingdienstleistern. Zudem ist die Beschaffung und die Nutzung der Security-Werkzeuge sorgfältig zu dokumentieren, so dass jederzeit festgestellt werden kann, für welchen Zweck welche Werkzeuge wie eingesetzt wurden.
Diverse Selbstanzeigen haben in der Vergangenheit außerdem gezeigt, dass auch mit schwammiger Gesetztesgrundlage differenzierte und sinnvolle Rechtsurteile gefällt werden.