Penetrationscheck

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) bietet seit November 2016 eine neue Dienstleistung an.

Vor dem Hintergrund der immer größer werdenden Bedrohung aus dem Internet bietet das BSI nun 2 verschiedene Checks an:

  • Webcheck
  • Penetrationstest

Bei einem Webcheck wird versucht, Schwachstellen in (Web)Anwendungen einer Internetpräsenz aufzuspüren, um so Wege aufzuzeigen, wie Sicherheitsmechanismen einer Internetpräsenz verbessert werden können. Dieser Check wird großteils automatisiert durchgeführt.

Ein Penetrationstest hingegen untersucht die Schnittstellen ins Internet eines IT-Systems. Über Schnittstellen ins Internet können Angreifer in ein IT-System eindringen, falls z.B. Schwachstellen existieren. Dieser Test wird meist vor Ort durchgeführt. Ein sog. kleiner Test prüft das IT-System stichprobenartig ab. Dabei werden Konfigurationen und eingesetzte Sicherheitsmechanismen betrachtet. Anschließend werden Empfehlungen ausgesprochen, wie Schwachstellen geschlossen werden können.

Bei einem großen Test kommen noch zusätzlich spezialisierte Sicherheitstools zum Einsatz, die ein vollständigeres Bild der Sicherheitssituation eines IT-Systems geben können. Große Penetrationstests werden grundsätzlich vor Ort und unter Aufsicht der jeweils verantwortlichen Administratoren durchgeführt. Zusätzlich hat das BSI einen Leitfaden für die Ausschreibung zur Durchführung solcher Tests veröffentlicht. Ziel ist es, Unternehmen eine Checkliste an die Hand zu geben, mit der Ausschreibungen für solche Tests standardisiert bzw. einfacher gestaltet werden können.

Die genannten Dienstleistungen des BSI werden vorrangig für Bundesbehörden angeboten. Über die Preise der Dienstleistungen ist leider nicht bekannt

Quelle: BSI

2016-12-06