Pentests: BSI veröffentlicht Leitfaden und prüft selbst
Bundesbehörden und ausgewählten Unternehmen bietet das BSI Penetrationstests sowie Webchecks von Internetseiten an. Ein Praxisleitfaden soll Grundlagen erklären und beim Planen der Tests helfen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen kostenlosen Leitfaden zur Pentest-Praxis veröffentlicht. Er soll IT-Sicherheitsbeauftragten und IT-Verantwortlichen in Behörden und Unternehmen helfen, Penetrationstests zu planen sowie geeignete Tester zu beauftragen. Er erläutert Rahmenbedingungen und Ablauf eines Pentests und erläutert Fachbegriffe in allgemein verständlicher Sprache, stellt jedoch keine Handreichung für das Testen selbst dar.
Für Bundesbehörden und "Unternehmen im besonderen staatlichen Interesse" bietet das BSI an, selbst Pentests von IT-Systemen und Webchecks von Internetseiten durchzuführen. In Einzelfällen könnten laut BSI jedoch auch andere Institutionen oder Unternehmen einen Test beantragen, beispielsweise wenn ein Angriff entdeckt wurde und die kompromittierten Daten von öffentlichem Interesse seien. In diesen Fällen würden allerdings Kosten für den Test erhoben.
Eine Webseite erklärt die Grundlagen der Tests und verlinkt neben den Anträgen weitere PDF-Dateien mit Details zu den Pentests und Webchecks, die die Hintergründe und den Ablauf der Tests erläutern. Zudem findet sich dort der 35-seitige Praxis-Leitfaden sowie eine Liste mit vom BSI zertifizierten externen Sicherheitsdienstleistern, die für Tests zur Verfügung stehen. (tiw)
