Penetrationstest und ISO 27001
Die Maßnahme A18.2.1 der ISO 27001:2013 fordert eine unabhängige Überprüfung der Informationssicherheit. Damit ist nicht nur das interne Audit gemäß Abschnitt 9.2 der Norm gemeint, sondern auch technische Prüfungen – z.B. in Form von Penetrationstests.
Was ist ein Penetrationstest?
Penetrationstests (Pentest) haben das Ziel den aktuellen technischen Status einer Anwendung und deren Infrastruktur auf technische Schwachstellen zu untersuchen, um diese zu beheben. Grundsätzlich handelt es sich bei einem solchen Test immer um eine Momentaufnahme. Ein Pentest garantiert daher niemals die vollständige Sicherheit einer Anwendung. Im Sinne der ISO 27001 würde man bei der Behebung einer Schwachstelle von einer „Korrektur“ sprechen.
Die OPTIMAbit GmbH begleitet regelmäßig ISO 27001 Projekte und Audits sowie Projekte mit Sicherheitsrelevanz an dessen Ende oft ein Penetrationstest steht. In diesem Zusammenhang ist die „Korrektur“ ein Standardvorgehen. Aus unserer langjährigen Erfahrung konnten wir immer wieder feststellen, dass in vielen Fällen nach der „Korrektur“ Schluss ist und die notwendige „Korrekturmaßnahme“ fehlt.
Was ist eine Korrekturmaßnahme?
Eine „Korrekturmaßnahme“ hat zum Ziel die Ursache für eine Schwachstelle oder eine Fehlkonfiguration zu identifizieren und abzustellen, um somit die internen Prozesse kontinuierlich zu verbessern.
Beispiel: In einem Pentest wurde festgestellt, dass eine Webanwendung in bestimmten Fällen aussagekräftige Fehlermeldungen anzeigt. Diese Informationen kann ein Angreifer nutzen, um weitere Informationen über die verwendete Technik oder den internen Zustand der Anwendung zu erhalten und kann diese Schwachstellen ausnutzen.
Wie läuft eine Korrektur ab?
Die „Korrektur“ ist in den meisten Fällen einfach: der Webserver wird so konfiguriert, dass er eine Standardfehlermeldung erzeugt und die Detailinformationen in ein internes Fehlerlog schreibt. Solche Maßnahmen sind der Regelfall und weder mit hohen Kosten noch mit hohem Aufwand verbunden. Die Ursache für die Entstehung der Schwachstelle wird mit einer reinen „Korrektur“ allerdings nicht behoben.
Wie läuft eine Korrekturmaßnahme ab?
Nun folgt die „Korrekturmaßnahme“, um systematische Probleme abzustellen. Im Sinne der kontinuierlichen Verbesserung (Plan-Do-Check-Act) muss für die „Korrekturmaßnahme“ die Frage beantwortet werden: „Wie konnte dieser Fehler passieren und wie stellen wir sicher, dass es nicht wieder vorkommt?“
Für das o.g. Beispiel würde man folgende Fragen klären:
- Gibt es Vorgaben, welche die Aussage von Fehlermeldungen gegenüber dem Benutzer regelt?
- Wenn es keine Vorgaben gibt, müssen diese ergänzt, kommuniziert und umgesetzt werden. Die Korrekturmaßnahme „Update Richtlinie IT-Betrieb“ wäre eine Lösung.
- Wenn es Vorgaben gibt:
- Wie werden Vorgaben im IT-Betrieb und in der Software Entwicklung identifiziert?
- Warum wurden die Vorgaben für die Fehlermeldungen nicht identifiziert?
- Handelt es sich um einen Einzelfall, oder werden die Vorgaben grundsätzlich nicht beachtet?
- Hat ein Administrator/Entwickler die Vorgaben falsch verstanden bzw. wurde nur an dieser Stelle nicht richtig gearbeitet?
- Wieso ist es intern niemandem aufgefallen, dass Vorgaben nicht umgesetzt wurden?
- Wenn diese Vorgaben nicht beachtet werden, wie sieht es dann mit den anderen Vorgaben aus?
Zuletzt gilt es zu klären an welchen anderen Stellen und bei welchen anderen Anwendungen das Problem möglicherweise auch besteht.
Unser Fazit
Um das Sicherheitsniveau in Ihrem Unternehmen stetig zu steigern, muss sichergestellt werden, dass identifizierte Schwachstellen erkannt und kontinuierlich bearbeitet werden. Wir helfen Ihnen gerne bei der Definition und Umsetzung von „Korrekturen“ und „Korrekturmaßnahmen“, damit Sie in Zukunft Ihre Ressourcen zielorientierter einsetzen können.
Welche Leistungen bieten wir Ihnen an?
- Wir kümmern uns um die Definition und Umsetzung von Korrekturen und Korrekturmaßnahmen.
- Wir organisieren die Zusammenarbeit mit einem Penetrationstestanbieter.
- Wir begleiten Sie bei der Durchführung eines Penetrationstests.
Senden Sie uns Ihre Anfrage – wir freuen uns auf die Zusammenarbeit mit Ihnen!
Ihr OPTIMAbit-Experten-Team