Penetrationstests
Gliederung
¾
IT-Sicherheit und Penetrationstest
¾
Klassifikation von Penetrationstests
¾
Durchführung von Penetrationstests
¾
Rahmenbedingungen
¾
Rechtliche Überlegungen
IT-Sicherheit und Penetrationstest
Potentielle Bedrohungen der IT-Sicherheit:
¾
Angriffe über das Netzwerk
¾
Social Engineering
¾
Umgehung physischer Sicherheitsmaßnahmen Penetrationstest:
Der kontrollierte Versuch, von außen in ein bestimmtes Computersystem bzw.
Computernetzwerk einzudringen, um Schwachstellen zu identifizieren.
Penetrationstest
Black-Box White-Box
Passiv scannend Vorsichtig Abwägend Aggressiv
Fokussiert Begrenzt
Vollständig
Offensichtlich Verdeckt
Netzwerkzugang Sonstige Kommunikation
Physischer Zugang
Social Engineering Von außen Von innen
Informationsbasis
Aggressivität
Umfang
Vorgehensweise
Technik
Ausgangspunkt
Klassifikation von Penetrationstests
Quelle: BSI, Durchführungskonzepte für Penetrationstests
Ziele gemein- sam definieren
Rechtliche Aspekte berücksichtigen
Adäquaten PT klassifizieren
Module auswählen
Risiken diskutieren Vorausetzungen
beachten
Notfallmaßnahmen vereinbaren Phase 1: Vorbereitung
Erstinformationen auswerten
Schwachstellenre- cherche durchführen I-Module
ausführen I-Module ausführen I-Module ausführen Phase 2: Informationsbeschaffung
Bedrohungen bewerten
Aufwand und Erfolgs- chancen abwägen
Prioritäten definieren
Systeme bzw. Module einschränken Phase 3: Bewertung der Informationen
E-Module ausführen
E-Module ausführen
E-Module ausführen
E-Module ausführen Phase 4: Aktive Angriffsversuche
Ergebnisse sammeln
Ergebnisse bewerten
Risiken darstellen
Empfehlungen aussprechen
Aktionsplan entwickeln Phase 5: Abschlussanalyse
Durchführung von Penetrationstests
Quelle: BSI, Durchführungskonzepte für Penetrationstests
Rahmenbedingungen
Organisatorische Voraussetzungen
¾
Wer ist direkt oder indirekt vom Penetrationstest betroffen?
¾
Absicherung gegen mögliche Schadensersatzforderungen
¾
Durchführungszeitpunkt bzw. -zeitraum
¾
Überlegungen bzgl. Notfallmaßnahmen
¾
Welche Mitarbeiter des Auftraggebers sind betroffen?
¾
Aufwand für Auftraggeber und Auftragnehmer
Technische Voraussetzungen
¾
Zugang zu öffentlichen Netzen
¾
Vorhandensein der notwendigen Tools
¾
lokales Testnetzwerk
Personelle Voraussetzungen
¾
Mitarbeiter mit langjähriger Erfahrung
¾
Kenntnisse über TCP/IP
¾
Programmierkenntnisse
¾
Kreativität
Rechtliche Überlegungen
Rechtliche Vorschriften als Motivation für eine Penetrationstest
¾
Bundesdatenschutzgesetz (BDSG)
¾
Handelsgesetzbuch (HGB)
¾
weitere Verordnungen je nach Branchenzugehörigkeit Rechtliche Vorschriften für den Auftragnehmer
¾
§ 202a Abs.1 (1) StGB [Ausspähen von Daten]
¾
§ 263a StGB [Computerbetrug]
¾
§ 268 Abs. 1 StGB [Fälschung technischer Aufzeichnungen]
¾
§ 303a Abs.1 StGB [Datenveränderung]
¾
§ 303b StGB [Computersabotage]
¾
Zugangskontrolldiensteschutzgesetz (ZKDSG)
¾
Telekommunikationsgesetz (TKG)
¾
Betriebsverfassungsgesetz (BetrVG)
Rechtliche Gesichtspunkte bei der Vertragsgestaltung Dienstleistungsvertrag mit folgendem Inhalt:
¾
Zielsetzung
¾
Art
¾