Datenschutz der DSGVO und IT-Forensik

Datenschutz IT Forensik

Zusammenhang zwischen Datenschutz der DSGVO und IT-Forensik

Jeder kennt die Forensik aus der Kriminalistik als eine akribische, fachmännische Untersuchung des Tatorts und des Opfers, nachdem ein Verbrechen stattgefunden hat. Es geht darum, anhand kleinster Spuren Täter zu ermitteln und daraus eine lückenlose Beweiskette zu erstellen, die vor Gericht Bestand hat.

In der IT-Forensik, digitale Forensik oder auch Cyber Forensik genannt, geht es letztlich um nichts Anderes. Sie wird eingesetzt, um Kriminalität mit Schwerpunkt IT aufzudecken, aber auch, um Störungen oder Fehlfunktionen von IT-Infrastrukturen zu analysieren und aufzuklären. Dabei wird ein kompromittiertes IT-System nach einem Sicherheitsvorfall genauestens untersucht, um gerichtsverwertbare Beweise zu sichern. Ziel IT-forensischer Untersuchung ist die Antwort darauf zu finden, wann, wo, welche und auf welche Weise (personenbezogene) Informationen manipuliert werden konnten. Dazu werden sämtliche digitale Spuren – beispielsweise Downloads, verwendete Software­programme, Dateizugriffe und durchgeführte Löschungen sowie die Browsernutzung – von den IT-Forensikern gesichert. Auf die gesammelten Daten wird an­schließend ein detailliertes, methodisch ablaufendes Analyseverfahren angewandt, um verwertbare Beweise für Straftaten zu finden und sie eindeutig der verantwortlichen Person(en) zuordnen zu können. Aufgrund des kontinuierlichen Anstieges der Cyberkriminalität wird die IT-Forensik in Zukunft mehr an Bedeutung gewinnen, um Kriminellen, die das Internet als Waffe einsetzen, das Handwerk zu legen.

 

Die Analysemethoden der IT-Forensik lassen sich auch auf mobile Endgeräte – wie Laptops, Tablets oder Smartphones – übertragen. Sie helfen bei der nachträglichen Aufklärung eines Verstoßes gegen die Maßgaben der IT-Sicherheit bzw. um mögliche Straftaten von mobilen Endgeräten aus auf die Spur zu kommen.

Relevanz der IT-Forensik für die Einhaltung der EU-DSGVO

Der Zusammenhang zwischen der EU-DSGVO und der IT-Forensik liegt also bei der Gerichtsverwert­barkeit von Beweisen. Während die IT-Forensik digitale Spuren bei IT-Sicherheitsvorfällen sammelt, analysiert, sichert sowie gerichtsverwertbar aufbereitet, brauchen Unternehmen, denen ein Verstoß gegen die EU-DSGVO vorgeworfen wird, ebendiese Beweise, um sich bei einer möglichen Gerichtsverhandlung verteidigen zu können. Digitale Spuren sollen nachweisen, dass das Unter­nehmen durchgehend allen notwendigen Pflichten des Schutzes von personenbezogenen Daten im Sinne der EU-DSGVO nachgekommen ist. Dabei können nur gerichtsverwertbare Beweise als Beleg für den einwandfreien Umgang mit personenbezogenen Daten eingesetzt werden. Liegen diese vor, können Unternehmen einer Verurteilung und damit einer Strafzahlung entgehen.

Wird ein Unternehmen Opfer einer Hacking- oder Phishing-Attacke, bei denen personenbezogene Daten von Kunden, Partnern oder Mitarbeitern entwendet wurden, muss es trotzdem die Anfor­derungen der EU-DSGVO erfüllen. Laut Artikel 33 Absatz 1 EU-DSGVO bedeutet dies für Unterneh­men, dass sie alle Sicherheits­verletzungen, die perso­nen­bezogene Daten betreffen, den Behörden des Datenschutzes und den Betroffenen unverzüglich, spätestens jedoch nach 72 Stunden anzeigen müssen. Zusätzlich unterliegen sie strengen Dokumentations­pflichten. Unternehmen müssen lückenlos nachweisen können, dass sie den Schutz personenbezogener dauerhaft gewährleisten konnten. Verstreicht diese Frist ohne entsprechende Meldung, werden Bußgelder verhängt.

In der Meldung an zuständige Datenschutzbehörden müssen Antworten auf die folgenden Fragen gegeben werden:

  • Wie viele Personen sind betroffen und welche personenbezogenen Daten wurden gestohlen oder missbraucht?
  • Was ist die Ursache und mit welcher Absicht wurde der Angriff gestartet?
  • Wie haben sich die Angreifer Zugriff verschafft und wo ist der Ursprung zu finden?
  • Kann das realistische Risiko für Betroffene abgeschätzt werden?

Hier kommt die wohl wichtigste Änderung der EU-DSGVO zum Tragen – dem Wechsel der Beweislast von der geschädigten Person zum Unternehmen. Im alten Bundesdatenschutzgesetz (BDSG-alt) trugen Ge­schädigte die Beweislast für einen Verstoß gegen das Datenschutzrecht. Diese liegt nun bei beschuldigten Unternehmen und öffentlichen Stellen. Nach der geltenden EU-DSGVO müssen diese jederzeit nachweisen können, alles getan zu haben, um die Sicherheit der personenbezogenen Daten von Kunden, Partnern oder Mitarbeitern zu gewährleisten.

Um dieser Beweispflicht nachzukommen – und so ein Fremdverschulden nachzuweisen, für die sie nicht haftbar gemacht werden können – müssen die benannten digitalen Spuren für einen Angriff nachweis­bar sein. Wenn es aufgrund einer möglicher Datenschutzverletzungen zur Anklage kommt, müssen gerichtsverwertbare Spuren nachgewiesen werden können, um die Unschuld zu bekräftigen.
Einen Leitfaden für IT-Forensik des Bundesministeriums für Informationssicherheit (BSI) finden Sie hier: Leitfaden IT-Forensik des BSI

„Forensic Readiness“, um besser vorbereitet zu sein

Die Aktivität von Cyberkriminalität und Datenmissbrauch – sowohl von außen, aber immer häufiger auch innerhalb eines Unternehmens – wird zunehmen. Selbst die besten Maßnahmen zur Vermeidung von IT-Sicherheitsvorfällen, beispielsweise eine Erhöhung der Sicherheitsinvestitionen und eine Moder­nisierung der IT-Sicherheit sind nicht unfehlbar. Eine 100%ige Sicherheit wird es nie geben. Immer wieder werden Hacker Mittel und Wege finden, um IT-Infrastrukturen eines Unternehmens anzugreifen, Informationen zu manipulieren oder missbräuchlich zu verwenden.

Organisationen – besonders Unternehmen, die viel mit sensiblen personenbezogenen Daten umgehen oder bereits Opfer eines IT-Sicherheitsvorfalls geworden sind – sollten neue Sicher­heitsmaß­nahmen und -strategien entwickeln oder bereits vorhandene Maßnahmen optimiert werden. Ziel muss es sein, bei einem IT-Sicherheitsvorfall schnell reagieren und handeln zu können. Die „Forensic Readiness“ ist die Fähigkeit eines Unternehmens, das Potential der digitalen Beweismittel für sich zu nutzen, wodurch sich Kosten einer Untersuchung reduzieren lassen. Sie spielt eine vorbeugende Rolle bei der Absicherung des Unternehmens gegen Angriffe auf die IT-Infrastruktur, beispielsweise durch das klassische Hacking, aber auch durch die Unachtsamkeit der Mitarbeiter oder Sabotage. Solche IT-Sicherheits­vorfälle können zu gerichtlichen Aus­einandersetzungen oder Ansprüchen gegenüber Versicherungen führen, für die Beweise vorgelegt werden müssen. Ein Beitrag zu einem kürzlichen Vorfall zum Thema Erpressersoftware finden Sie hier: Erpressersoftware verbreitet Angst und Schrecken

Die Implementierung der „Forensic Readiness“ im Unternehmen erfolgt in zwei Stufen und sollte aufgrund der intensiven Analysetätigkeiten immer von einem Fachmann durchgeführt werden. In einer kurzen Aufstellung wird der Prozess genauer skizziert:

Phase 1 – Erstellung der Ist-Analyse

Anfänglich ist es notwendig, dass die IT-Landschaft umfassend analysiert wird. Fokus sind implementierte Richtlinien und Prozessen im Umgang mit Verlet­zungen der IT-Sicherheit. Ziel ist es, die technischen und organisatorischen Strukturen innerhalb des Unternehmens zu analysieren und abzuschätzen, wie schnell eine Reaktion auf sicherheitsrele­vante Vorfälle erfolgen könnte.

Phase 2 – Optimierung der Abläufe und Prozesse

Auf Basis der ermittelten Daten und Prozesse wird nach Optimierungspotential gesucht. Es geht darum, einen wirkungsvollen und individuellen Maßnahmenplan zu entwickeln. Ziel ist es, die bestehenden Maßnahmen zu optimieren und sinnvoll zu ergänzen. Dazu gehören sowohl technische als auch organisatorische Richtlinien, Checklisten oder Maßgaben. Sie legen fest, wie bei einem IT-Sicherheitsvorfall zu reagieren ist, um kurzfristig richtige Schritte einleiten zu können. Sinnvoll sind Sensibilisierungsmaßnahmen der Mitarbeiter für den Ernstfall.

Unternehmen, die die Prozesse zur Sicherung der „Forensic Readiness“ einsetzen, gelingt zumeist, die IT-Sicherheitsvorfälle zu verringern. Sie sind bei Angriffen optimal vorbereitet und können ihren Aktionsplan so weit optimieren, dass es ihnen gelingt, im Ernstfall besser, schneller und genauer reagieren zu können. So gehen IT-Sicherheit und IT-Forensik Hand in Hand.

Weitere Informationen zur Datenschutzfolgenabschätzung finden Sie hier: Wann muss eine Datenschutzfolgenabschätzung durchgeführt werden?

Erpressersoftware verbreitet Angst und Schrecken

securime.de

Erpressersoftware verbreitet Angst und Schrecken

Im Mai diesen Jahres kam es in der amerikanischen Stadt Baltimore in Maryland zu einem Ransomware-Angriff auf die Server der Stadtverwaltung. Die Art von Ransomware, die dort eingesetzt wurde, nennt sich RobbinHood.

Baltimore war bereits die zweite Stadt, die zum Opfer dieser Art von Angriffen wurde. Auch Greenville in North Carolina war bereits betroffen.

In diesem Artikel erfahren Sie alles Wichtige zum Ransomware-Angriff in Baltimore, was Ransomware überhaupt ist, wie man sie erkennt und was man dagegen tun kann.

Ransomware – die Erpressersoftware

Ransomware wird auch als Scareware oder Erpressersoftware bezeichnet. Das hört sich ziemlich furchterregend an – und das ist es auch. Denn mit Hilfe dieser Software können Hacker Zugriff auf fremde Computersysteme einschränken und Lösegeld für die Aufhebung dieser Einschränkungen verlangen. Die Ransomware wird von den Hackern selbst erstellt, dabei ist es natürlich unerlässlich, sich einwandfrei mit Softwareprogrammierung auszukennen. Über einen E-Mail-Anhang oder durch den Besuch einer mit Malware verseuchten Website kann sie schließlich auf Ihren Computer gelangen.

Der Angriff auf Baltimore

Die Server der Regierung der Stadt Baltimore stehen seit dem 7. Mai 2019 unter dem bösartigen Einfluss einer Erpressersoftware namens RobbinHood. Seit diesem Angriff funktionieren diverse IT-Systeme bis heute nicht, denn die Stadt weigert sich die Summe von 13 Bitcoins, dies entspricht einem aktuellen Gegenwert von 110.387,04 Euro, an die Erpresser zu zahlen. So konnten eine Zeit lang bestimmte Dokumente nicht ausgestellt werden und keine Fahrzeuge abgeschleppt werden. Immer noch ist es der Stadtverwaltung nicht möglich, Wasserabrechnungen auszustellen. Das Schlimmste an diesem Angriff war wohl, dass E-Mail-Systeme, Notruf und zentrale Informations-Hotline außer Gefecht gesetzt waren. Welche Daten und Systeme genau betroffen sind, wird aus taktischen Gründen nicht bekannt gegeben. Das FBI ermittelt, um die Täter so schnell wie möglich ausfindig zu machen.

 

Schadensprognose für die Stadt Baltimore

Die IT-Abteilung der Stadtverwaltung Baltimore rechnet bis zum Jahresende mit rund zehn Millionen Dollar, die nötig sein werden, um passende Hardware zu besorgen und externe Experten zu Rate zu ziehen. Hinzu kommen noch weitere 8,2 Millionen Dollar (7,21 Millionen Euro) an Schäden durch verspätete oder ganz entfallene Einnahmen. Dies führt also zu einer Gesamtschadensprognose von 18,2 Millionen Dollar (16,01 Millionen Euro).

Warum hat die Stadt das Lösegeld nicht gezahlt? Der finanzielle Schaden übertrifft durch den Ransomware-Angriff die Lösegeldforderung um den Faktor 145(!).Gemeinsam mit dem FBI hat sich die Stadt Baltimore dafür entschieden, das Lösegeld nicht zu bezahlen, denn letztendlich könne niemand garantieren, dass die Kriminellen nach der Zahlung die verschlüsselten Daten tatsächlich freigegeben. Zudem besteht die Möglichkeit, dass die Täter weitere Vorbereitungen für weitere Erpressungen der Stadt Baltimore planen.

 

Ransomware schnell und einfach erkennen

Wenn Ihr Computer mit Ransomware verseucht wurde, werden Sie dies vermutlich sofort bemerken. Die Erpressersoftware sperrt den Zugang auf Ihren Computer. Das heißt, Sie können im Falle einer Infizierung, vermutlich gar nicht mehr auf Ihr Gerät und die gespeicherten Informationen zugreifen.

Schutzmaßnahmen gegen Ransomware

Eine hundertprozentige Sicherheit ist nicht erstrebenswert. Es existieren eine Hand voll Maßnahmen, um Ihre Gräte angemessen vor Ransomware zu schützen.

  1. Führen Sie regelmäßige Backups durch und erstellen Sie Sicherheitskopien auf externen Speichermedien wie Festplatte, USB-Sticks, optische Medien etc.
  2. Nutzen Sie aktuelle Virenschutz-Software
  3. Halten Sie das Betriebssystem auf den aktuellen Stand durch automatische Updates
  4. Führen Sie Aktualisierungen und Updates von Software, beispielsweise Internetbrowser, Office-Anwendungen und Programme zum Lesen von PDF durch
  5. Installieren eines Anti-Ransomware-Tool gegen verschiedene Arten von Malware.

Sollten Sie tatsächlich Ransomware auf Ihrem Computer finden, sollten Sie das Ransomware-Entfernungs-Tool Ihrer Virenschutz-Software nutzen, um diese sicher zu entfernen.

Nicht nur bei Angriffen mit Ransomware, sondern auch bei anderer Malware gilt es, vorab alle wichtigen Maßnahmen zu ergreifen, um den Schaden dadurch so gering wie möglich zu halten. Denn gerade Unternehmen unterschätzen schnell die Kosten für Schäden an der Hardware und das Beauftragen von Experten, was schnell ins Unermessliche steigen kann. Wenn der Verdacht besteht, dass Computer infiziert wurden, ist die vorherige Vorbereitung essentiell für das Verteilten eines Angriffes.

Was ist ein Penetrationstest?

In diesem Artikel beantworten wir die Frage: was ist ein Penetrationstest?
IT-Systeme (oder auch Informationstechnische Systeme) spielen mittlerweile eine große Rolle in unserem täglichen Leben. Darunter versteht man gemeinhin alle Arten elektronischer datenverarbeitender Systeme. Doch gerade, weil diese für uns so wichtig geworden sind, werden sie oft zur Zielscheibe für Hacker-Angriffe. Cyber-Kriminelle versuchen Schwachstellen in Programmen und Servern aufzuspüren, um daraus letztlich Profit schlagen zu können.

Da IT-Systeme und Softwareprogramme höchst komplex aufgebaut sind, ist es gar nicht so einfach, die richtigen Schutzmaßnahmen zu ergreifen. Hier kommt der Penetrationstest ins Spiel.

Ein Penetrationstest – kurz Pentest genannt – wird angewendet, um festzustellen, wie es um die IT Security bestellt ist und inwieweit IT-Systeme oder andere Netzwerke für Hacker angreifbar sind.

  • Was passiert bei einem Penetrationstest?

Der Penetrationstest wird in der Regel von Experten der IT Sicherheit durchgeführt. Dabei bedienen sich diese selbst den Methoden, die auch von Hackern angewendet werden, um festzustellen, wo die Sicherheitslücken eines Systems liegen und inwieweit der verwendete Virenschutz den Bedrohungen standhält.

Über die Durchführung und die Ergebnisse dieser „Probe-Hacker-Angriffe“ wird sorgfältig Protokoll geführt, damit im Anschluss Wege ermittelt werden können, um die vorhandenen Schwachstellen zu beseitigen. Schließlich werden die Ergebnisse des Pentest Reports mit dem Auftraggeber besprochen und gemeinsam mit ihm über die weitere Vorgehensweise beraten.

Letztendlich ist der Auftraggeber dafür verantwortlich, dass die gefunden Sicherheitslücken auch beseitigt werden.

  • Historischer Aspekt

Laut der Sicherheitsexpertin Deborah Russell „markierten die 1960er Jahre den wahren Anfang des Zeitalters der Computersicherheit“. Und tatsächlich kamen bereits in den 60er Jahren mit den neuen Kommunikationsmöglichkeiten und Time-Sharing-Computer-Systemen Sicherheitsbedenken zum Vorschein. Dadurch, dass potenzielle Gefahren erkannt wurden, wurde auch der Penetrationstestgeboren. Er wurde erstmals 1967 vom United States Department of Defense (DoD) durchgeführt, um die Sicherheit US-amerikanischer Computer-Systeme zu erhöhen.

Der damals führende Penetrationsexperte James P. Anderson erstellte ein Grundrezept, nach dem Unternehmen beim Penetrationstest vorgehen sollten, um größtmögliche Erfolge zu erzielen und welches er mit der Zeit immer weiter verfeinerte. Auch heute arbeiten immer noch zahlreiche Sicherheitsexperten nach dem „Anderson Penetrationstest“.

  • Das Verhältnis von Penetrationstests und Datenschutz

Bevor der Pentest durchgeführt wird, muss der Auftraggeber eine Einverständniserklärung unterzeichnen. Ist dies nicht der Fall, sind die Tests illegal. Außerdem muss der Auftraggeber vorher eindeutig klarstellen, welche Objekte und Komponenten unter seiner Verantwortung stehen. Netzwerke und IT-Systeme von Drittanbietern müssen aus den Tests ausgeschlossen werden.

  • Für wen ist ein Penetrationstest sinnvoll?

Da prinzipiell jedes Unternehmen und jede Institution Opfer eines Hacker-Angriffs werden kann, sollte hier generell über entsprechende Schutzmaßnahmen nachgedacht werden, um sensible Daten vor Diebstahl zu schützen.

So kann es für Behörden fatal sein, wenn beispielsweise personenbezogene Daten gestohlen werden. Auch auf das wirtschaftliche Wissen erfolgreicher Unternehmen können es Hacker abgesehen haben. Meist kommt es dann nicht nur zu finanziellen Verlusten, sondern auch zu Imageschäden. In jedem Fall sollte also für größtmögliche Datensicherheit und Datenschutz gesorgt werden.

Ein Pentestkann hier gute Dienste leisten, indem er dafür sorgt, dass Schwachstellen rechtzeitig erkannt werden und es erst gar nicht so weit kommt.

  • Der Penetrationstest in Abgrenzung zum Vulnerability- oder Security-Scan

Penetrationstest, Vulnerability- und Security-Scan lassen sich alle unter dem Oberbegriff der Schwachstellenanalyse zusammenfassen.

Der Unterschied besteht darin, dass Vulnerability- oder Security-Scans durch automatisierte Programme durchgeführt werden, um Sicherheitslücken zu identifizieren, während ein Penetrationstest im Moment noch nicht automatisiert umsetzbar ist. Eine geeignete Methode wird individuell für das zu testende System ausgewählt und zugeschnitten, wobei auch verschiedene Pentest Tools verwendet werden. Dementsprechend sind für einen Pentest auch die Kosten höher, da er wesentlich zeitintensiver bezüglich Planung und Durchführung ist.

  • Welche Arten von Penetrationstests gibt es?

Die Art des Pentests, der angewendet wird, ist abhängig vom Unternehmen, für das er durchgeführt wird. Die einen gehen weiter in die Tiefe, andere bewegen sich eher an der Oberfläche. Auch die Komponenten, die am ehesten als Schwachstelle vermutet werden, spielen eine Rolle.

Dies sind die gängigsten Pentests:

  • DDos-Tests (Denial of Service): Dabei werden durch den „Angreifer“ bestimmte Ressourcen (z. B. der Arbeitsspeicher) stark in Anspruch genommen, mit dem Ziel, dass der Computer schließlich nicht mehr reagiert. So kann man feststellen, ob die Sicherheitssoftware einem DDos-Angriff standhalten kann und wenn ja, wie lange.
  • Out-of-Band-Angriffe: Hier werden Systeme gestört, indem durch den „Angreifer“ bewusst die Standards für IP-Header verletzt werden.
  • Tests der Anwendungssicherheit: Damit werden Anwendungen für den Datenverkehr überprüft, z. B. die Qualität der Verschlüsselung von Informationen.
  • War Dialing: Bei dieser Technik wird systematisch eine große Zahl an Telefonnummern angerufen, um so Verbindungen für die Fernwartung von Computern in Unternehmen zu ermitteln. Wird ein Zugangsgerät gefunden, wird durch verschiedene Techniken überprüft, ob es möglich ist, dadurch Zugang zum Unternehmensnetzwerk zu erhalten.
  • Penetrationstests für WLANs: Durch diese Tests wird die Netzwerksicherheit überprüft, indem Sicherheitslücken im Funknetzwerk eines Unternehmens ausfindig gemacht werden.
  • Social-Engineering-Tests: Hier wird versucht Mitarbeiter als „Schwachstellen“ aufzuspüren. Der improvisierte Angreifer versucht unter einem Vorwand durch den Mitarbeiter an sensible Daten heranzukommen. Dies ist auch durch Phishing möglich.

Dies ist nur eine Auswahl an Verfahren, die bei Penetrationstests zum Einsatz kommen können. Alle zu nennen würde den Rahmen dieses Artikels sprengen. Mehr Informationen zum Thema finden Sie auch auf der Seite des Bundesamtes für Sicherheit und Informationstechnik. Interessante Informationen hat das BSI über den Penetrationstest dort in einem „Praxis-Leitfaden für IS-Penetrationstests“ zusammengestellt. Weitere wissenswerte Informationen zu Penetrationstest finden Sie hier.

Wissenswertes zum Penetrationstest

Wissenswertes zum Penetrationstest

IT-Systeme (oder auch Informationstechnische Systeme) spielen mittlerweile eine große Rolle in unserem täglichen Leben. Darunter versteht man gemeinhin alle Arten elektronischer datenverarbeitender Systeme. Doch gerade, weil diese für uns so wichtig geworden sind, werden sie oft zur Zielscheibe für Hacker-Angriffe. Cyber-Kriminelle versuchen Schwachstellen in Programmen und Servern aufzuspüren, um daraus letztlich Profit schlagen zu können.
Da IT-Systeme und Softwareprogramme höchst komplex aufgebaut sind, ist es gar nicht so einfach, die richtigen Schutzmaßnahmen zu ergreifen. Hier kommt der Penetrationstest ins Spiel.
Ein Penetrationstest – kurz Pentest genannt – wird angewendet, um festzustellen, wie es um die IT Security bestellt ist und inwieweit IT-Systeme oder andere Netzwerke für Hacker angreifbar sind.

Was passiert bei einem Penetrationstest?

Der Penetrationstest wird in der Regel von Experten der IT Sicherheit durchgeführt. Dabei bedienen sich diese selbst den Methoden, die auch von Hackern angewendet werden, um festzustellen, wo die Sicherheitslücken eines Systems liegen und inwieweit der verwendete Virenschutz den Bedrohungen standhält.
Über die Durchführung und die Ergebnisse dieser „Probe-Hacker-Angriffe“ wird sorgfältig Protokoll geführt, damit im Anschluss Wege ermittelt werden können, um die vorhandenen Schwachstellen zu beseitigen. Schließlich werden die Ergebnisse des Pentest Reports mit dem Auftraggeber besprochen und gemeinsam mit ihm über die weitere Vorgehensweise beraten.
Letztendlich ist der Auftraggeber dafür verantwortlich, dass die gefunden Sicherheitslücken auch beseitigt werden.

Historischer Aspekt

Laut der Sicherheitsexpertin Deborah Russell „markierten die 1960er Jahre den wahren Anfang des Zeitalters der Computersicherheit“. Und tatsächlich kamen bereits in den 60er Jahren mit den neuen Kommunikationsmöglichkeiten und Time-Sharing-Computer-Systemen Sicherheitsbedenken zum Vorschein. Dadurch, dass potenzielle Gefahren erkannt wurden, wurde auch der Penetrationstest geboren. Er wurde erstmals 1967 vom United States Department of Defense (DoD) durchgeführt, um die Sicherheit US-amerikanischer Computer-Systeme zu erhöhen.
Der damals führende Penetrationsexperte James P. Anderson erstellte ein Grundrezept, nach dem Unternehmen beim Penetrationstest vorgehen sollten, um größtmögliche Erfolge zu erzielen und welches er mit der Zeit immer weiter verfeinerte. Auch heute arbeiten immer noch zahlreiche Sicherheitsexperten nach dem „Anderson Penetrationstest“.

Das Verhältnis von Penetrationstests und Datenschutz

Bevor der Pentest durchgeführt wird, muss der Auftraggeber eine Einverständniserklärung unterzeichnen. Ist dies nicht der Fall, sind die Tests illegal. Außerdem muss der Auftraggeber vorher eindeutig klarstellen, welche Objekte und Komponenten unter seiner Verantwortung stehen. Netzwerke und IT-Systeme von Drittanbietern müssen aus den Tests ausgeschlossen werden.

Für wen ist ein Penetrationstest sinnvoll?

Da prinzipiell jedes Unternehmen und jede Institution Opfer eines Hacker-Angriffs werden kann, sollte hier generell über entsprechende Schutzmaßnahmen nachgedacht werden, um sensible Daten vor Diebstahl zu schützen.
So kann es für Behörden fatal sein, wenn beispielsweise personenbezogene Daten gestohlen werden. Auch auf das wirtschaftliche Wissen erfolgreicher Unternehmen können es Hacker abgesehen haben. Meist kommt es dann nicht nur zu finanziellen Verlusten, sondern auch zu Imageschäden. In jedem Fall sollte also für größtmögliche Datensicherheit und Datenschutz gesorgt werden.
Ein Pentest kann hier gute Dienste leisten, indem er dafür sorgt, dass Schwachstellen rechtzeitig erkannt werden und es erst gar nicht so weit kommt.

Der Penetrationstest in Abgrenzung zum Vulnerability- oder Security-Scan

Penetrationstest, Vulnerability- und Security-Scan lassen sich alle unter dem Oberbegriff der Schwachstellenanalyse zusammenfassen.
Der Unterschied besteht darin, dass Vulnerability- oder Security-Scans durch automatisierte Programme durchgeführt werden, um Sicherheitslücken zu identifizieren, während ein Penetrationstest im Moment noch nicht automatisiert umsetzbar ist. Eine geeignete Methode wird individuell für das zu testende System ausgewählt und zugeschnitten, wobei auch verschiedene Pentest Tools verwendet werden. Dementsprechend sind für einen Pentest auch die Kosten höher, da er wesentlich zeitintensiver bezüglich Planung und Durchführung ist.

Welche Arten von Penetrationstests gibt es?

Die Art des Pentests, der angewendet wird, ist abhängig vom Unternehmen, für das er durchgeführt wird. Die einen gehen weiter in die Tiefe, andere bewegen sich eher an der Oberfläche. Auch die Komponenten, die am ehesten als Schwachstelle vermutet werden, spielen eine Rolle.
Dies sind die gängigsten Pentests:

* DDos-Tests (Denial of Service): Dabei werden durch den „Angreifer“ bestimmte Ressourcen (z. B. der Arbeitsspeicher) stark in Anspruch genommen, mit dem       Ziel, dass der Computer schließlich nicht mehr reagiert. So kann man feststellen, ob die Sicherheitssoftware einem DDos-Angriff standhalten kann und wenn          ja, wie lange.
*  Out-of-Band-Angriffe: Hier werden Systeme gestört, indem durch den „Angreifer“ bewusst die Standards für IP-Header verletzt werden.
*  Tests der Anwendungssicherheit: Damit werden Anwendungen für den Datenverkehr überprüft, z. B. die Qualität der Verschlüsselung von Informationen.
*  War Dialing: Bei dieser Technik wird systematisch eine große Zahl an Telefonnummern angerufen, um so Verbindungen für die Fernwartung von                             Computern  in Unternehmen zu ermitteln. Wird ein Zugangsgerät gefunden, wird durch verschiedene Techniken überprüft, ob es möglich ist, dadurch                     Zugang zum Unternehmensnetzwerk zu erhalten.
*  Penetrationstests für WLANs: Durch diese Tests wird die Netzwerksicherheit überprüft, indem Sicherheitslücken im Funknetzwerk eines Unternehmens                  ausfindig gemacht werden.
*  Social-Engineering-Tests: Hier wird versucht Mitarbeiter als „Schwachstellen“ aufzuspüren. Der improvisierte Angreifer versucht unter einem Vorwand                  durch den Mitarbeiter an sensible Daten heranzukommen. Dies ist auch durch Phishing möglich.

Dies ist nur eine Auswahl an Verfahren, die bei Penetrationstests zum Einsatz kommen können. Alle zu nennen würde den Rahmen dieses Artikels sprengen. Mehr Informationen zum Thema finden Sie auch auf der Seite des Bundesamtes für Sicherheit und Informationstechnik. Interessante Informationen hat das BSI über den Penetrationstest dort in einem „Praxis-Leitfaden für IS-Penetrationstests“ zusammengestellt.