Besondere Herausforderung für KRITIS und Industrie: „Pentesting ist meistens sehr individuell“

Pentests können die IT-Sicherheit im Unternehmen deutlich erhöhen, aber das Angebot ist groß, der richtige Anbieter nicht leicht zu finden. Will man aus einem Penetrationstest das Maximum herausholen, geht es nicht ohne Vorbereitung. Der Bereich Kritische Infrastrukturen (KRITIS) und Industrial Security haben zusätzliche Anforderungen.

Selten kennen Unternehmen alle Gefahren, denen ihre IT-Systeme ausgesetzt sind. Sicherheitsdienstleister bieten deshalb an, Schwachstellen aufzuspüren. Dabei spielen verschiedene organisatorische und ökonomische Aspekte eine Rolle, um die richtigen Entscheidungskriterien für die Auswahl des passenden Angebots zu finden.

 

Pentests sind Standard zum Aufspüren von Schwachstellen

 Ein Standardmittel für die Analyse von Schwachstellen bilden sogenannte Penetrationstests. Sicherheitsspezialisten verhalten sich dabei so, als ob sie Angreifer wären und attackieren mit deren Tools und Methoden ein Unternehmen. Es ist „ein simulierter Angriff auf die IT-Komponenten des Kunden, um deren Sicherheit zu überprüfen. Das kann eine App auf dem Handy sein oder ein Webdienst, aber auch ein ganzes Unternehmensnetz oder ein Rechenzentrum“, erklärt Pentest-Experte Timo Müller. Er führt für die TÜV Informationstechnik (TÜViT), eine Tochtergesellschaft der TÜV NORD Group, seit vielen Jahren Penetrationstests durch. „Wir sind vom BSI zugelassener und zertifizierter IT-Sicherheitsdienstleister“, ergänzt er. Das ist zugleich ein Unterscheidungsmerkmal der Anbieter, „denn längst nicht alle Anbieter haben sich zertifizieren lassen“, erläutert Müller. Zertifizierung reichen noch weiter, denn auch Mitarbeiter und Mitarbeiterinnen können sich zertifizieren lassen. Doch auch Erfahrungen und Referenzen sollten bei der Auswahl eines Anbieters berücksichtigt werden, empfiehlt Müller. „Referenzen geben Aufschluss über die Größe der zum Kundenkreis des Dienstleisters gehörenden Unternehmen und die vertretenen Branchen“, ergänzt er. Ein weiterer Faktor sei auch die Unabhängigkeit von Produktanbietern, „viele vertreiben zusätzlich auch noch Software, da fehlt dann eventuell die Neutralität“, sagt Müller und fügt hinzu: „Bei uns sind in der Regel auch Datenschutzexperten involviert und wir können auf Branchen- und Industrie-Expertise aus anderen Bereichen des TÜV NORD zurückgreifen“.

 

KRITIS und Industrial Security mit besonderen Anforderungen

Die meisten Pentester orientieren sich an internationalen Standards. Besondere Bedeutung haben diese bei der Sicherheit für Operational Technology (OT), geläufig auch unter dem Schlagwort Industrial Security. Pentesting in diesem Segment, etwa von Produktionsanlagen, beherrschen längst nicht alle Anbieter, wird jedoch immer bedeutender. „Industrial-Security bringt eigene Herausforderungen mit sich, dazu tragen auch die KRITIS-Anforderungen bei“, bestätigt Müller die Entwicklung. Viele Unternehmen seien dadurch gezwungen, sich verstärkt um die IT-Sicherheit ihrer Industrieanlagen zu kümmern. Mit der Novellierung des IT-Sicherheitsgesetzes wurde der KRITIS-Bereich unlängst erweitert. Müller berichtet: „Damit sind mehr Branchen verpflichtet, zusätzliche Sicherheitsmaßnahmen zu ergreifen, dabei werden verstärkt Pentests durchgeführt“. Betroffene Unternehmen müssten oftmals Normen erfüllen, wie die IEC 62443, die IT-Sicherheit in industriellen Kommunikationsnetzen behandelt. „Dabei geht es um die Zertifizierung vom im Industrieumfeld eingesetzten Komponenten; das ist derzeit noch freiwillig, aber eine Verpflichtung ist in der Diskussion“, berichtet Müller. Dafür würden je nach Zertifizierungsgrad auch Pentests gefordert. Daher empfiehlt er: „Im Allgemeinen sollten Penetrationstests immer integraler Bestandteil eines Produktentwicklungsprozesses, einer Systemabnahme oder eines sicheren Betriebsprozesses sein.“

 

Pentests erfordern Zeit und Geld

Die umfangreichen Tests sind aufwendig und erfordern Zeit. „Während ein herkömmliches kleines Unternehmensnetz in einer Woche getestet werden kann, dauert die Prüfung einer kompletten Produktionslinie etwa eines Chemie-Unternehmens mindestens zwei bis drei Wochen“, erklärt Müller. „Man kann aber auch für die Prüfung einen bestimmten Fokus setzen“, schränkt er ein. Dem Aufwand entsprechend gestalten sich die Kosten. Müller erläutert: „Web-Anwendungen beginnen im oberen vierstelligen Bereich, typische Unternehmensnetze oder Produktionslinien liegen hingegen im fünfstelligen Bereich“.

Damit Kunden den maximalen Nutzen aus einem Pentest ziehen können, sind gewisse Vorbereitungen notwendig. „Wir brauchen technische Ansprechpartner, denn eventuell müssen Zugänge vor Ort eingerichtet oder andere Maßnahmen getroffen werden“, weiß der Experte. Des Weiteren müssten beauftragte Security-Dienstleister ansprechbar sein. Auch würde technische Dokumentation benötigt, die sei aber nicht bei allen Kunden vorhanden. „Dann wird es ein Blackbox-Test, der erfordert detektivische Arbeit, weil beispielsweise zunächst die Komponenten im Netz ermittelt werden müssen“, sagt er. Manche Kunden würden jedoch Blackbox-Tests fordern und verlangen, dass die Pentester ohne Vorabinformationen schauen, was sich herausfinden ließe. „Pentesting ist meistens sehr individuell“, resümiert Müller.

Informationen zu Technik und Methodik des Pentesting finden Sie in einem weiteren Beitrag.

Autor: Uwe Sievers