Penetrationstests und das BSI: Anforderungen an Tests und zertifizierte Tester
Auftragseinbruch
Wer Mitarbeiter oder Dienstleister beauftragt, die Sicherheit eigener Anwendungen oder der IT-Infrastruktur zu überprüfen, kann unter vielen Ansätzen auswählen. Welche Maßnahme auch immer zum Einsatz kommt – sie will gut geplant sein, sowohl unter technischen als auch unter rechtlichen Gesichtspunkten.
Sicherheitsprüfungen eigener Systeme gibt es unter vielerlei Namen, zum Beispiel Schwachstellenanalyse und -bewertung oder Ethical Hacking, Tiger Teaming, Red Teaming oder eben Penetrationstest, kurz Pentest. Die unterschiedlichen Bezeichnungen haben zum Teil schlicht kulturelle Hintergründe. „Penetrationstest“ etwa ist in Europa eine gängige Bezeichnung, aber in den Vereinigten Staaten weniger beliebt. Umgekehrt hat „Ethical Hacking“ in Europa nicht Fuß gefasst.
In diesem Artikel geht es darum, Penetrationstests anhand von Kriterien des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu definieren und ihre Möglichkeiten und Grenzen aufzuzeigen. Grundsätzlich lassen sich vier Methoden unterscheiden, die Angreiferperspektive einzunehmen:
