«Penetration Test» unter der Lupe
Medienberichte oder Vorfälle in der Branche veranlassen Entscheidungsträger, die IT-Sicherheit in ihren Unternehmen überprüfen zu lassen. Oft ziehen sie dabei einen «Penetration Test» in Betracht. Doch nicht in jedem Fall ist ein solcher zielführend. Eine Risikoanalyse schafft Klarheit.
Wenn Führungskräfte aufgrund aktueller Bedrohungen sensibilisiert sind, möchten sie wissen, wie ihre Firma bei der IT-Sicherheit aufge-stellt ist. Ein sogenannter «Penetration Test» liegt für sie deshalb auf der Hand. IT-Berater sind bei einer solchen Anfrage gefordert, denn sie stehen vor dem Dilemma: Soll direkt auf die Anfrage eingegangen, der gewünschte Test durchgeführt werden? Oder sollen zuerst Beweg-grund und Erwartungen des Kunden erfragt werden?
Die Motivation verstehen
Fragt der IT-Berater nach, wird er die eigentlichen Gründe der Anfrage erfahren. Eine Rückfrage bietet aber auch dem Kunden die Chance, seinen Wunsch zu reflektieren. Ziel ist es, einen Überblick über die Situation zu gewinnen, um den Kunden in seinem Anliegen bestmög-lich zu unterstützen. Denn ein «Penetration Test» ist nur eine mögli-che Massnahme. Sie dient dazu, Schwachstellen im Aussenperimeter zu identifizieren, also an der Grenze zwischen internen und externen Netzwerken. Ohne einen klaren Rahmen ist sie aber nicht nachhaltig, weil es sich lediglich um eine Momentaufnahme handelt.
Gesamte ICT betrachten
Es gilt deshalb, Organisation und Verantwortung innerhalb der Infor-matik sowie bestehende Regeln und Prozesse zu ergründen. Dabei stellen sich Fragen wie: Hat der Kunde eine IT-Governance? Gibt es eine ICT-Strategie? Wird darin der IT-Sicherheit das nötige Gewicht beigemessen? Existieren Weisungen und Regeln, die einen Rahmen vorgeben, der die Informatik erfüllen muss? Werden Bedrohungen systematisch erfasst und eingeschätzt? Die Antworten zeichnen ein differenziertes Bild. Es zeigt auch, ob der Kunde bei seiner Anfrage für einen «Penetration Test» ad hoc oder systematisch vorgegangen ist.
Zweck des «Penetration Tests»
Als Massnahme deckt ein «Penetration Test» Sicherheitslücken in ICT-Systemen auf. Im Mittelpunkt steht dabei der Kontakt mit externen Netzwerken und Geschäftspartnern. Die aus dem Testergebnis abge-leiteten Massnahmen sollen ein Eindringen in die ICT-Infrastruktur verhindern oder zumindest erschweren. Vorausgesetzt, die gefunde-nen Lücken sind für das Unternehmen bedrohlich.
Risikoanalyse empfohlen
Ein systematischer, risikoorientierter Ansatz hilft, mögliche Bedro-hungen aller Art auszumachen. Bei einer Risikoanalyse werden deren Auswirkungen auf das Unternehmen anhand von Szenarien einge-schätzt. Risiken werden also identifiziert, bewertet und beurteilt: wie wahrscheinlich sie eintreten und welche Kosten sie verursachen wür-den. Relevante Bedrohungen sind in einem Risikoregister festgehal-ten. So können Massnahmen mit Blick auf höher gewichtete Risiken priorisiert und effektiv umgesetzt werden.
Nach der Risikoanalyse und den Sicherheitsmassnahmen, die sich daraus ergeben, wird der Kunde einen klaren Auftrag für den «Pe-netration Test» formulieren. Denn nun sind ihm die möglichen Aus-wirkungen auf die ICT-Infrastruktur bekannt. Und er weiss, wie er mit den Ergebnissen umgehen will, in welchen Zeitabständen der Test wiederholt werden soll.
Veränderungen aktiv begegnen
Wirtschaft und Technik verändern sich heutzutage dynamisch: Glo-balisierung und Vernetzung steigern die Komplexität. Dadurch ent-stehen laufend neue Gefahren, aber auch Chancen. Die Herausforde-rung besteht darin, sich den Gefahren systematisch zu stellen und gleichzeitig die Chancen wahrzunehmen, die sich aus der Nutzung der Informations- und Kommunikationstechnologie ergeben. Dabei müssen eingeschlossene Risiken und bewusst eingegangene Restrisi-ken berücksichtigt werden. Ohne eine Governance der Risiken sind spontan ausgelöste Aktionen – wie ein unreflektierter «Penetration Test» – eher Alibiübungen ohne langfristigen Nutzen.
