Zum Inhalt springen

Support für ISO 27001:2022 und TISAX – von der Einführung bis zur Zertifizierung
Wir begleiten Ihr Unternehmen umfassend bei der Einführung und Umsetzung von ISO 27001:2022 und TISAX. Vereinbaren Sie ein unverbindliches Erstgespräch. Fordern Sie noch heute Ihr individuelles Angebot an.

Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Informationsmanagementsysteme » Penetrationstest – Kontext ISO 27001 und TISAX

Penetrationstest – Kontext ISO 27001 und TISAX

Um sich vor Cyberbedrohungen zu schützen, ist ein regelmäßiger Penetrationstest unerlässlich, um die Widerstandsfähigkeit der IT-Systeme von Unternehmen dauerhaft zu gewährleisten. Doch wie hoch sind die tatsächlichen Kosten für einen Penetrationstest und stehen diese im Verhältnis zu den potenziellen Schäden durch einen Cyberangriff?

Was ist ein Penetrationstest?

Ein Penetrationstest, oft auch kurz Pentest genannt, ist ein simulierter Angriff auf die IT-Infrastruktur eines Unternehmens, um vorhandene Schwachstellen zu identifizieren, bevor Hacker dies tun können. Diese Tests werden üblicherweise durch spezialisierte IT-Dienstleister durchgeführt, die über das notwendige Fachwissen und die geeigneten Tools verfügen. Dabei ist es wichtig, dem Dienstleister kontrollierten und sicheren Zugriff auf die IT-Systeme zu gewähren, um realistische Angriffsszenarien durchzuführen und gleichzeitig potenzielle Schäden durch den Test zu vermeiden.

Penetrationstest in der ISO 27001

Die ISO 27001 legt legt Anforderungen für die Implementierung, Überwachung, Überprüfung und Verbesserung eines ISMS fest. Pentests sind in ISO 27001 nicht explizit genannt. Im Anhang A unter A8.8 „Handhabung von technischen Schwachstellen“ steht im Wortlaut

„Es müssen Informationen über technische Schwachstellen verwendeter Informationssysteme eingeholt, die Gefährdung der Organisation durchderartige Schwachstellen bewertet und angemessene Maßnahmen ergriffen werden.“

In diesem Zusammenhang sollen Organisationen regelmäßig technische Sicherheitsüberprüfungen durchführen, um sicherzustellen, dass ihre Systeme und Anwendungen frei von bekannten Schwachstellen sind. Die Umsetzungsrichtlinie ISO 27002 empfiehlt ausdrücklich Penetrationstests und Schwachstellen-Scans als geeignete Maßnahmen, um diese Anforderungen zu erfüllen. Somit unterstützt der Penetrationstest Unternehmen nicht nur technisch, sondern auch rechtlich bei der Einhaltung wichtiger Compliance-Standards.

Penetrationstest im Kontext ISO 27001 und TISAX
Penetrationstest im Kontext ISO 27001 und TISAX

Massnahmenmanagement

Wir unterstützen bei der Begleitung bei der Umsetzung von Maßnahmen zur Schließung der identifizierten Sicherheitslücken und Aufbau eines nachhaltigen Schwachstellenmanagements.

Vorbereitung und Durchführung eines Penetrationstests

Unternehmen sollten bei der Vorbereitung und Durchführung eines Penetrationstest folgende Punkte beachten:

  • Umfang und Ziele definieren
    Vor Beginn eines Pentests sollte der Umfang und die Ziele des Tests klar definiert werden. Dies umfasst die Identifizierung der zu testenden Systeme, die Art der durchzuführenden Tests (z.B. White-Box- oder Black-Box-Tests) und die Priorisierung von Risiken.
  • Vertragliche Regelungen treffen
    Vereinbaren Sie schriftlich mit dem Dienstleister Umfang, Zeitpunkt und Methodik des Penetrationstests, um Missverständnisse zu vermeiden.
  • Auswahl von qualifizierten IT-Dienstleistern
    Die Durchführung von Penetrationstests sollte von qualifizierten und erfahrenen Sicherheitsexperten durchgeführt werden. Bei der Auswahl eines Pentesters sollten Unternehmen auf Zertifizierungen, Erfahrung und Referenzen achten, um sicherzustellen, dass der Test effektiv und professionell durchgeführt wird.
  • Kommunikation während des Tests
    Während des Pentests ist es wichtig, eine offene und transparente Kommunikation zwischen den Testern und dem Unternehmen aufrechtzuerhalten. Dies ermöglicht es, auftretende Probleme oder Bedenken schnell zu klären und die Zusammenarbeit zu erleichtern. Informieren Sie alle relevanten internen Abteilungen über den geplanten Penetrationstest, um unnötige Alarme und Unterbrechungen zu verhindern.
  • Dokumentation und Berichterstattung
    Nach Abschluss des Pentests sollten die Ergebnisse in einem detaillierten Bericht dokumentiert werden. Dieser Bericht sollte Informationen über die gefundenen Schwachstellen, deren Auswirkungen, die verwendeten Testmethoden und Empfehlungen zur Behebung der Schwachstellen enthalten.
  • Daten und Systeme sichern
    Sichern Sie vor dem Test alle kritischen Datenbestände und erstellen Sie Backups, um ungewollte Datenverluste zu verhindern.
  • Zugriffsrechte klar definieren
    Legen Sie genau fest, welche Systeme und Datenbereiche vom Dienstleister getestet werden dürfen, um sensible Informationen zu schützen.
  • Notfallplan bereitstellen
    Bereiten Sie einen Notfallplan vor, um schnell und effizient reagieren zu können, falls es während des Tests unerwartet zu Problemen kommt.
ISO 27001 Handbuch - Best Practice

Wir unterstützen kleine und mittlere Unternehmen bei der Einführung der ISO 27001 und TISAX®.

  • Keine versteckte Kosten
  • In 20 Wochen zum ISO 27001 Zertifikat
  • Inkl. der Auditvor- und Nachbereitung
  • Zertifizierungsbegleitung
  • Flexibel – Zeitnah – Kompetent

Unterschiedliche Arten von Penetrationstests

Es gibt unterschiedliche Arten von Penetrationstests, die jeweils unterschiedliche Vorgehensweisen und Zielsetzungen verfolgen:

  • BlackboxPenetrationstest
    Hier erhält der Tester keinerlei Vorabinformationen über das zu testende System. Dieser Ansatz simuliert einen Angriff durch externe Hacker, die das System ohne jegliche Insiderkenntnisse angreifen.
  • Whitebox-Penetrationstest
    Im Gegensatz zum Blackbox-Test hat der Tester vollen Zugriff auf alle relevanten Informationen über das System (z.B. Quellcodes, Netzpläne, Passwörter). Dadurch lassen sich Schwachstellen besonders tiefgehend analysieren.
  • Greybox-Penetrationstest
    Diese Tests stellen eine Kombination aus Blackbox- und Whitebox-Tests dar. Der Tester verfügt hierbei über begrenzte Informationen, etwa grundlegende Systemstrukturen, jedoch keine detaillierten Zugriffsrechte.

Typische Schwachstellen, die ein Penetrationstest identifiziert

Typische Schwachstellen, die ein Penetrationstest regelmäßig identifiziert, sind unter anderem:

  • Unsichere oder schwache Passwörter
  • Veraltete oder nicht gepatchte Software
  • Falsch konfigurierte Systeme und Sicherheitslösungen
  • Offene und unnötige Netzwerkports
  • Sicherheitslücken in Webanwendungen
  • Fehlerhafte Zugriffsrechte und ungesicherte Schnittstellen

Was sind die Risiken beim Penest?

Obwohl Penetrationstests wertvolle Informationen zur Verbesserung der IT-Sicherheit liefern, gibt es auch einige Gefahren und Risiken, die bei der Durchführung dieser Tests berücksichtigt werden müssen:

  • Betriebsunterbrechungen
    Während eines Pentest besteht die Möglichkeit, dass die getesteten Systeme oder Anwendungen beeinträchtigt werden oder sogar ausfallen. Das kann zu Betriebsunterbrechungen und Produktivitätsverlusten führen.
  • Datenverlust oder -beschädigung
    Bei einigen Pentests kann es vorkommen, dass Daten versehentlich gelöscht, beschädigt oder verändert werden. Dies kann sowohl finanzielle als auch rechtliche Folgen für das Unternehmen haben.
  • Fehlalarme (False Positives)
    Der IT-Dienstleister kann auch manchmal Schwachstellen identifizieren, die sich später als falsch herausstellen (False Positives). Dies kann dazu führen, dass Ressourcen für die Behebung von Problemen aufgewendet werden, die in Wirklichkeit nicht existieren.
  • Vertraulichkeit und Datenschutz
    Bei der Durchführung von Penetrationstests können sensible Daten verarbeitet oder analysiert werden. Daher ist es wichtig, dass sowohl das Unternehmen als auch der IT-Dienstleister geeignete Maßnahmen ergreifen, um die Vertraulichkeit und den Datenschutz während des gesamten Tests zu gewährleisten.
  • Rechtliche Haftung
    Bei der Durchführung von Penetrationstests können versehentlich Gesetze oder Vorschriften verletzt werden. Es ist wichtig, dass Unternehmen und Penetrationstester klare Vereinbarungen treffen und sich über ihre jeweiligen rechtlichen Verantwortlichkeiten im Klaren sind, um rechtliche Probleme zu vermeiden.
  • Unvollständige Ergebnisse
    Penetrationstests können nur die Schwachstellen identifizieren, die während des Tests entdeckt wurden. Es ist möglich, dass einige Schwachstellen nicht erkannt werden, was zu einem falschen Sicherheitsgefühl führen kann.

Um die mit Penetrationstests verbundenen Risiken zu minimieren, sollten Unternehmen klar definierte Testumfänge und -ziele festlegen, qualifizierte und vertrauenswürdige IT-Dienstleister auswählen, Datenschutz und Vertraulichkeit gewährleisten, und Testergebnisse sorgfältig analysieren und bewerten. Eine gute Planung und Kommunikation zwischen den Testern und dem Unternehmen sind entscheidend, um die negativen Auswirkungen eines Penetrationstests zu vermeiden und die IT-Sicherheit effektiv zu verbessern.

Aktuelle technologische Entwicklungen verändern die Durchführung von Penetrationstests grundlegend. Automatisierte Penetrationstests ermöglichen regelmäßige, umfassende Tests, die ohne großen manuellen Aufwand durchgeführt werden können. KI-gestützte Penetrationstests nutzen künstliche Intelligenz, um komplexe Angriffsmuster schneller und genauer zu erkennen, als dies bei traditionellen Methoden möglich wäre. Kontinuierliches Schwachstellen-Scanning sorgt für eine permanente Überwachung der IT-Systeme, um Schwachstellen frühzeitig und kontinuierlich zu identifizieren und damit das Sicherheitsniveau dauerhaft zu erhöhen.

Kosten von einem Penetrationstest

Die Kosten eines Penetrationstests variieren je nach Unternehmensgröße, Komplexität der IT-Landschaft und Tiefe der durchgeführten Analyse. Durchschnittlich liegen die Kosten für einen umfassenden Penetrationstest zwischen 5.000 und 25.000 Euro pro Testlauf. Diese Investition erscheint gering, insbesondere wenn man berücksichtigt, dass laut einer Studie von Accenture ein Cyberangriff Unternehmen durchschnittlich bis zu 13 Millionen US-Dollar pro Vorfall kosten kann.

Fazit

Ein regelmäßiger Penetrationstest bietet Unternehmen einen entscheidenden Vorsprung gegenüber potenziellen Angreifern. Nur durch eine kontinuierliche Überprüfung und das systematische Management identifizierter Schwachstellen können Unternehmen dauerhaft ein hohes Sicherheitsniveau aufrechterhalten und das Risiko kostspieliger Cyberangriffe erheblich reduzieren.

FAQ – Häufig gestellte Fragen zum Penetrationstest
Was genau ist ein Penetrationstest?

Ein Penetrationstest ist ein simulierter Hackerangriff, der gezielt nach Sicherheitslücken sucht, um Schwachstellen frühzeitig zu identifizieren und zu schließen.

Wie oft sollte ein Penetrationstest durchgeführt werden?

Empfohlen wird mindestens eine zweijährige Durchführung oder nach jeder wesentlichen Änderung an der IT-Infrastruktur.

Was kostet ein Penetrationstest ungefähr?

Die Kosten variieren zwischen 5.000 und 25.000 Euro pro Testlauf, abhängig von Unternehmensgröße, Komplexität und Umfang.

Welche Arten von Penetrationstests gibt es?

Blackbox: Ohne Vorwissen des IT-Dienstleisters
Whitebox: Mit vollständigen Systeminformationen (Passwörter, Netzpläne, etc.)
Greybox: Mit eingeschränkten Systeminformationen.

Welche typischen Schwachstellen deckt ein Penetrationstest auf?

Beispiele sind unsichere Passwörter, offene Netzwerkports, veraltete Software, Sicherheitslücken in Webanwendungen oder falsch konfigurierte Systeme.

Können Penetrationstests zu Schäden führen?

Wenn sorgfältig geplant und durch erfahrene Dienstleister durchgeführt, ist das Risiko minimal. Ein Notfallplan sollte dennoch stets bereitstehen.

Welche Rolle spielen Penetrationstests bei der Einhaltung von Compliance-Vorgaben?

Sie helfen Unternehmen, regulatorische Anforderungen wie ISO 27001, DSGVO oder TISAX zu erfüllen und unterstützen eine rechtssichere IT-Umgebung.

Welche technologischen Trends gibt es bei Penetrationstests?

Automatisierte Tests, KI-gestützte Analysen und kontinuierliches Schwachstellen-Scanning sind die aktuellen Entwicklungen, um Schwachstellen schneller zu erkennen und effizient zu schließen.

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel

Cookie Consent mit Real Cookie Banner