Die Planung von Penetrationstest, kurz Pentests, kann mitunter sehr komplex werden. Nachfolgend geben wir Ihnen Planungstipps, die sich bei unserer Pentest-Organisation bewährt haben – basierend auf eingängigen Fragestellungen:
Was soll getestet werden?
Klären Sie zu Beginn, über welche IT-Assets (Systemlandschaften oder Applikationen) Sie verfügen. Eine Liste hilft Ihnen dabei, den Überblick über Ihre Assets zu bewahren. Basierend darauf sollten Sie dann, z.B. mit Hinblick auf den Schutzbedarf oder die Business-Continuity-Management-Relevanz der Assets, entscheiden, was mit welcher Priorität und in welcher Prüftiefe getestet werden muss. Es ist durchaus Best Practice, nach einem risikobasierten Ansatz vorzugehen und ggfs. die Testart (Pentest oder Scan) der Kritikalität des Assets anzupassen. Auf diese Weise erhalten Sie eine grobe Einschätzung der Aufwände und des Prüfumfangs.
Wie soll getestet werden?
Wenn Sie wissen, was Sie alles testen möchten, können Sie im nächsten Schritt einen geeigneten Prozess zur Durchführung definieren. Wichtig ist, dass Sie sich nicht nur Gedanken über den grundsätzlichen Ablauf machen, sondern auch Rollen und Verantwortlichkeiten festlegen: Soll es eine zentrale Stelle geben, die den Prozess initiiert? Wer muss in die Planung eingebunden werden? In welchem zeitlichen Rahmen soll alles getestet sein? Welche Eskalationsprozesse sind nötig? Wer erhält am Ende die Prüfberichte und wie geht es dann weiter? Was meinen wir überhaupt, wenn wir von Pentests, Scans oder Re-Tests sprechen? Wie sollen Findings klassifiziert werden? Wer ist für die Behebung der Findings verantwortlich? Wie behalten wir den Überblick über die identifizierten Schwachstellen und den Durchführungsstatus der Analysen? Wie findet ein Rückfluss ins Risikomanagement statt?
Diese und viele weitere organisatorische Fragen sollten Sie vorab klären und in einem Konzept zur Durchführung von technischen Sicherheitsanalysen zusammenfassen und im Unternehmen kommunizieren.
In welchen Abständen soll getestet werden?
Es ist empfehlenswert, am Ende eines Jahres einen groben Zeitplan für das kommende Jahr (oder den definierten Prüfzeitraum) festzulegen und entsprechende Puffer für Vorbereitung, Abstimmung oder Verschiebung einzuplanen. Ähnlich wie bei der Festlegung des Prüfumfangs sollten Sie auch hier noch einmal priorisieren und sich insbesondere auch mit den Asset-Verantwortlichen zu geplanten Releases, Updates, Frozen-Zones usw. abstimmen.
Von wem soll getestet werden?
Es ist mittlerweile in den meisten Unternehmen üblich, im Kontext von technischen Sicherheitsanalysen mit zwei oder drei unterschiedlichen Dienstleistern zusammenzuarbeiten – auch wenn die Expertise zur Durchführung von solchen Analysen im eigenen Haus vorhanden ist. So werden „blinde Flecken“ vermieden und die unterschiedlichen Testverfahren stellen sicher, dass möglichst viele Schwachstellen identifiziert werden. Ob Sie pro Jahr mit jeweils einem Dienstleister zusammenarbeiten oder die Aufträge auf mehrere Dienstleister verteilen, sollten Sie mit Blick auf die eigenen Anforderungen entscheiden. Egal für welche Variante Sie sich entscheiden, das Vorgehensmodell der Testdurchführung sowie die Kritikalitätseinstufung von Findings sollte bei allen Dienstleistern gleich sein. So kann die Vergleichbarkeit der Testergebnisse sichergestellt werden. Ein weiteres Werkzeug zur Entscheidungsfindung ist die Proof-of-Concept-Methode. Dabei handelt es sich um eine Art „Vorab-Test“, welcher eine bessere Vergleichbarkeit der anbietenden Dienstleister und eine fundierte Qualitätseinschätzung der jeweiligen Leistungserbringung ermöglicht.
Lesen Sie in unserem Experteninterview mehr über die Kunst, effizient technische Sicherheitsanalysen zu organisieren.
Sie benötigen Unterstützung? Kontaktieren Sie uns, wir helfen Ihnen gern.