Projekt Pentests: Die Kunst, effizient technische Sicherheitsanalysen für Hunderte von Systemen und Applikationen zu organisieren

26. November 2020

Ein Experteninterview über die Herausforderung jährlicher Pentests und Scans

Die meisten anerkannten IT-Sicherheitsregularien und Compliance-Standards verpflichten Unternehmen dazu, einmal jährlich technische Sicherheitsanalysen durchzuführen. Unerheblich, ob Security Scans oder Pentests – kaum ein IT-Verantwortlicher zweifelt an der Notwendigkeit dieser Analysen. Insbesondere für Unternehmen, bei denen eine Vielzahl von Systemen und Applikationen im Einsatz sind, können diese Anforderungen jedoch zu einer immensen Herausforderung werden.

Eva Willnecker, Leiterin des Pentest Service Managements der usd AG, kennt die Herausforderungen, vor der Unternehmen stehen, sehr genau. Sie hat ihre Praxiserfahrung, Tipps und Best Practices mit uns geteilt:

Eva, „Pentest Service Management“ klingt ja spannend. Was macht ihr denn den ganzen Tag?

EW (lacht): Gute Frage, einfach gesagt sorgen wir dafür, dass alles reibungslos läuft und sich jeder auf das konzentrieren kann, was für ihn wichtig ist: unsere Kunden weiter auf ihre Business-Belange und unsere Security Analysten auf ihre komplexen technischen Analysen.

Mein Team und ich übernehmen also die komplette Koordination und Organisation von technischen Sicherheitsanalysen, wie Pentests. Wir bringen die Security Analysten auf unserer Seite und die fachlichen Ansprechpartner auf Kundenseite überall dort zusammen, wo es nötig und sinnvoll ist, und bleiben im gesamten Projektverlauf der feste Ansprechpartner für jegliche Belange. Wir haben ein sehr organisations- und kommunikationsstarkes Team und standardisierte Prozesse – das ist unsere Stärke. Dadurch ebnen wir den Weg für eine gute planerische Durchführung der Pentests und erbringen so qualitativ hochwertige Ergebnisse.

Empfindest Du die Anforderungen an Unternehmen, regelmäßig technische Sicherheitsanalysen durchzuführen, als zu streng?

EW: Unternehmen sind heutzutage einer massiven Anzahl von Hackerangriffen ausgesetzt. Mithilfe technischer Sicherheitsanalysen, insbesondere Pentests, können Unternehmen Sicherheitslücken in den eigenen Systemen und Applikationen identifizieren – um sie im nächsten Schritt zu schließen. Deshalb ist meine Antwort auf die Frage ein ganz klares: Nein.

Was würdest du Unternehmen, die von der Anforderung zunächst überwältigt sind, raten? Wo fangen sie mit der Planung der technischen Sicherheitsanalysen am besten an?

EW: Ich würde Schritt für Schritt vorgehen und nicht mit allem gleichzeitig starten. Sprich, ein strukturiertes Vorgehen mit entsprechender Planung und Priorisierung erarbeiten und mich an diesem entlanghangeln. Wir agieren immer mit den einfachen Fragestellungen: Was soll wie, in welchen Abständen von wem, wann geprüft werden? Wem das zu kompliziert ist oder wem die Ressourcen fehlen: Ruft uns an, wir helfen mit unserer Erfahrung hier gern. Angefangen bei der Konzepterstellung, Implementierung und Umsetzung von technischen Sicherheitsanalysen, bis hin zur Erstellung von Jahresplänen.

Wenn die Unternehmen die Grundlagen und Rahmenbedingungen geschaffen haben – wie finde sie einen guten Dienstleister, der sie auch bei der Durchführung der Security Analysen unterstützt?

EW: Wichtig ist, dass sich Unternehmen mehrere Angebote einholen. Im Idealfall enthalten diese eine detaillierte Vorgehensbeschreibung und Informationen über die eingesetzten Security Analysten, berücksichtigte Sicherheitsstandards, sowie den Abschlussbericht. Außerdem lohnt sich hier ein Blick in Referenzen und Webauftritt des Dienstleisters. Denn je mehr Arbeit ein Dienstleister dem Unternehmen abnimmt und beispielsweise auch während der Remediation-Phase unterstützen kann, desto besser.

Wenn die Unternehmen nun einen Dienstleister gefunden haben – wie geht es dann weiter?

EW: Ein typisches Pentest-Projekt besteht in der Regel aus den folgenden Phasen:

  1. Kick-Off und Vorbereitung
  2. Durchführung der Pentests
  3. Reporting der Findings, Maßnahmenempfehlung und Abschlussbesprechung
  4. Remediation, also die Beseitigung der gefundenen Abweichungen bzw. Schwachstellen durch das Unternehmen selbst
  5. Abschluss mit Nachprüfungen, falls notwendig

In den verschiedenen Schritten fallen unterschiedliche Aufwände auf Seiten des Unternehmens an, wobei die Aufwände in der Remediation-Phase am höchsten sind.

Hast du sonst noch Tipps, die Unternehmen die Planung erleichtern können?

EW: Grundsätzlich gilt: im Vorfeld so viel wie möglich klären und organisieren. Wenn Prozesse, Vorgehensweisen und Verantwortungsbereiche bereits vor Projektstart feststehen, bilden diese einen Wegweiser. Dieser schafft einen Überblick, verleiht Kontinuität und hilft, den riesigen Berg an Aufgaben zu bewältigen. Alternativ übernehmen wir das einfach, mit unseren bewährten Methoden. Das ist unser Tagesgeschäft im Pentest Service Management.


Sie benötigen Unterstützung bei der Organisation, Durchführung und Nachbereitung von technischen Sicherheitsanalysen in Ihrem Unternehmen? Sprechen Sie uns gerne an!

Auch interessant:

PCI DSS v4.0: INFI Worksheet eingestellt

PCI DSS v4.0: INFI Worksheet eingestellt

Das Payment Card Industry Security Standards Council (PCI SSC) hat die Einstellung des Worksheets "Items Noted for Improvement" (INFI) verkündet. INFI, eine Vorlage zur Dokumentation von verbesserungswürdigen Bereichen, war mit PCI DSS v4.0 eingeführt worden. Ab...

mehr lesen

Kategorien

Kategorien