Penetrationstests in ISO 27001 und TISAX – Was zu beachten ist
Nachhaltigkeit SAQ 5.0
Bei Buchung von SAQ 5.0 Assessment Questionaire - erhalten Sie Rabatt auf unser Hinweisgebersystem
Penetrationstests sind ein wesentlicher Bestandteil der IT-Sicherheitsprüfungen in verschiedenen Sicherheitsstandards, wie der ISO 27001 und TISAX. In diesem Artikel werden wir erläutern, was ein Penetrationstest ist, wie er in den genannten Standards angewendet wird und welche Aspekte bei der Durchführung solcher Tests zu beachten sind.
Was ist ein Penetrationstest?
Ein Penetrationstest, oft auch als Pentest bezeichnet, ist eine systematische Untersuchung und Bewertung der Sicherheit eines IT-Systems oder Netzwerks. Dabei versuchen Sicherheitsexperten, die Rolle eines Angreifers einzunehmen und Schwachstellen in der Sicherheit aufzudecken, um sie anschließend zu beheben. Penetrationstests sind eine wichtige Methode, um die Effektivität von Sicherheitsmaßnahmen zu überprüfen und das Risiko von Cyberangriffen zu minimieren.
Penetrationstests in ISO 27001
Die ISO 27001 ist ein international anerkannter Standard für Informationssicherheitsmanagementsysteme (ISMS). Er legt Anforderungen für die Implementierung, Überwachung, Überprüfung und Verbesserung eines ISMS fest. Pentests sind in ISO 27001 in der Norm Anhang A, A.12.6.1 “Technische Compliance-Prüfung” angesprochen. In diesem Zusammenhang sollen Organisationen regelmäßig technische Sicherheitsüberprüfungen durchführen, um sicherzustellen, dass ihre Systeme und Anwendungen frei von bekannten Schwachstellen sind.
Penetrationstests in TISAX
TISAX steht für Trusted Information Security Assessment Exchange und ist ein Standard, der von der Automobilindustrie entwickelt wurde, um die Informationssicherheit und den Schutz von Geschäftsinformationen zu gewährleisten. TISAX beinhaltet Anforderungen, die sich an die ISO 27001 anlehnen, geht aber in einigen Bereichen, wie zum Beispiel bei Penetrationstests, noch weiter. TISAX fordert, dass Unternehmen Pentests sowohl von internen als auch von externen Experten durchführen lassen, um eine unabhängige und objektive Bewertung der Sicherheit ihrer Systeme zu erhalten.
Aspekte, die bei der Durchführung von Penetrationstests zu beachten sind:
Umfang und Ziele definieren: Vor Beginn eines Pentests sollte der Umfang und die Ziele des Tests klar definiert werden. Dies umfasst die Identifizierung der zu testenden Systeme, die Art der durchzuführenden Tests (z.B. White-Box- oder Black-Box-Tests) und die Priorisierung von Risiken.
Zustimmung der Stakeholder einholen: Es ist wichtig, die Zustimmung aller beteiligten Stakeholder einzuholen, bevor ein Pentests durchgeführt wird. Dies schützt das Unternehmen vor rechtlichen Problemen und stellt sicher, dass alle Parteien über den Test informiert sind.
Auswahl von qualifizierten Pentestern: Die Durchführung von Penetrationstests sollte von qualifizierten und erfahrenen Sicherheitsexperten durchgeführt werden. Bei der Auswahl eines Pentesters oder einer Pentest-Firma sollten Unternehmen auf Zertifizierungen, Erfahrung und Referenzen achten, um sicherzustellen, dass der Test effektiv und professionell durchgeführt wird.
Kommunikation während des Tests: Während des Pentests ist es wichtig, eine offene und transparente Kommunikation zwischen den Testern und dem Unternehmen aufrechtzuerhalten. Dies ermöglicht es, auftretende Probleme oder Bedenken schnell zu klären und die Zusammenarbeit zu erleichtern.
Dokumentation und Berichterstattung: Nach Abschluss des Pentests sollten die Ergebnisse in einem detaillierten Bericht dokumentiert werden. Dieser Bericht sollte Informationen über die gefundenen Schwachstellen, deren Auswirkungen, die verwendeten Testmethoden und Empfehlungen zur Behebung der Schwachstellen enthalten.
Behebung der Schwachstellen: Die im Pentests identifizierten Schwachstellen sollten priorisiert und umgehend behoben werden. Eine Nachverfolgung der Maßnahmen und eine erneute Überprüfung der Sicherheit können dabei helfen, die Effektivität der vorgenommenen Änderungen zu gewährleisten.
Regelmäßige Wiederholung der Tests: Pentests sollten in regelmäßigen Abständen durchgeführt werden, um die Sicherheit der IT-Systeme und -Infrastrukturen kontinuierlich zu überprüfen und aufrechtzuerhalten. Die Häufigkeit der Tests hängt von der Größe und Komplexität des Unternehmens sowie von den bestehenden Risiken ab.
Wir unterstützen kleine und mittlere Unternehmen bei der Einführung der ISO 27001 und TISAX®.
Penetrationstests sind ein wichtiger Bestandteil der IT-Sicherheit sowohl in der ISO 27001 als auch in TISAX. Sie helfen Unternehmen dabei, Schwachstellen in ihren Systemen zu identifizieren und zu beheben, um ihre Informationen besser zu schützen. Bei der Durchführung von Penetrationstests ist es wichtig, den Umfang und die Ziele des Tests klar zu definieren, qualifizierte Pentester auszuwählen, eine offene Kommunikation während des Tests aufrechtzuerhalten und die Ergebnisse sorgfältig zu dokumentieren. Regelmäßige Penetrationstests tragen dazu bei, die Sicherheit von IT-Systemen auf einem hohen Niveau zu halten und das Risiko von Cyberangriffen zu minimieren.
Was sind die Risiken beim Penest?
Obwohl Penetrationstests wertvolle Informationen zur Verbesserung der IT-Sicherheit liefern, gibt es auch einige Gefahren und Risiken, die bei der Durchführung dieser Tests berücksichtigt werden müssen:
Betriebsunterbrechungen: Während eines Pentest besteht die Möglichkeit, dass die getesteten Systeme oder Anwendungen beeinträchtigt werden oder sogar ausfallen. Das kann zu Betriebsunterbrechungen und Produktivitätsverlusten führen.
Datenverlust oder -beschädigung: Bei einigen Pentests kann es vorkommen, dass Daten versehentlich gelöscht, beschädigt oder verändert werden. Dies kann sowohl finanzielle als auch rechtliche Folgen für das Unternehmen haben.
Fehlalarme (False Positives): Penetrationstester können manchmal Schwachstellen identifizieren, die sich später als falsch herausstellen (False Positives). Dies kann dazu führen, dass Ressourcen für die Behebung von Problemen aufgewendet werden, die in Wirklichkeit nicht existieren.
Vertraulichkeit und Datenschutz: Bei der Durchführung von Penetrationstests können sensible Daten verarbeitet oder analysiert werden. Daher ist es wichtig, dass sowohl das Unternehmen als auch die Penetrationstester geeignete Maßnahmen ergreifen, um die Vertraulichkeit und den Datenschutz während des gesamten Tests zu gewährleisten.
Rechtliche Haftung: Bei der Durchführung von Penetrationstests können versehentlich Gesetze oder Vorschriften verletzt werden. Es ist wichtig, dass Unternehmen und Penetrationstester klare Vereinbarungen treffen und sich über ihre jeweiligen rechtlichen Verantwortlichkeiten im Klaren sind, um rechtliche Probleme zu vermeiden.
Unvollständige Ergebnisse: Penetrationstests können nur die Schwachstellen identifizieren, die während des Tests entdeckt wurden. Es ist möglich, dass einige Schwachstellen nicht erkannt werden, was zu einem falschen Sicherheitsgefühl führen kann.
Um die mit Penetrationstests verbundenen Risiken zu minimieren, sollten Unternehmen klar definierte Testumfänge und -ziele festlegen, qualifizierte und vertrauenswürdige Tester auswählen, Datenschutz und Vertraulichkeit gewährleisten, und Testergebnisse sorgfältig analysieren und bewerten. Eine gute Planung und Kommunikation zwischen den Testern und dem Unternehmen sind entscheidend, um die negativen Auswirkungen eines Penetrationstests zu vermeiden und die IT-Sicherheit effektiv zu verbessern.
Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB Integrations Modell Bayreuth | Mitglied DGQ - Deutsche Gesellschaft für Qualität | Lead Auditor ISO 14001 u. ISO 45001
