Penetrationstests …

… durchzuführen, diese Anregung kam jüngst vom Bundesamt für Sicherheit in der Informationstechnik. Ein Praxisleitfaden (Seite 261) ist eine gute Sache – nur: Wen will man damit beauftragen, ihn abzuarbeiten?

Die Idee, Systeme der IT systematisch angreifen zu lassen, um Schwachstellen herauszufinden, ist nicht neu. In den Zeiten, wo komplexe Systeme auf Großrechnern realisiert wurden, also vor der Erfindung von PC und Internet, gab es in den USA die Einrichtung von „Tiger Teams“, die systematisch nach Schwächen zu suchen hatten. Anfangs ging es darum, Hardware- und Softwareschwächen sowie Programmierfehler aufzudecken, um Systeme stabil betreiben zu können.

Der Begriff „Tiger Team“ führt zu einem Lösungsansatz: Nicht eine einzelne Person wird beauftragt, die IT zu attackieren; es muss vielmehr zu einem Expertenmix kommen. Kenntnisse über Hardwarearchitektur, Betriebssysteme, elektronische Kommunikation und Strukturen von Anwendungssystemen gehören gebündelt. Die Arbeitsweise des Teams wird vorher gründlich strukturiert und der Umgang mit den Erkenntnissen verbindlich festgelegt. Dann kann der Auftraggeber zur Jagd blasen. Allen muss klar sein: Der Ausgang ist ungewiss. Erstens ist nicht sicher, dass überhaupt nennenswerte Schwachstellen gefunden werden, zweitens ist davon auszugehen, dass nicht alle latenten Schwächen ausfindig gemacht werden können.

Wer kann eine solche Arbeit leisten? Nur Großunternehmen und bedeutende Behörden haben die personellen Kapazitäten, Tiger Teams zu unterhalten. Gute Erfahrungen haben IT-Betreiber, die nicht in diese Kategorie fallen, damit gemacht, mit dem Lehrstuhl für Informatik einer Universität zu kooperieren. Studenten im fortgeschrittenen Studium und Assistenten können – in der Regel zu bezahlbaren Gagen – die Arbeit übernehmen. Sie lernen dabei – Win-Win also.

Hans Gliss, Herausgeber DATENSCHUTZ-BERATER

PS: Anfang Januar erhalten Sie den Datenschutz-Berater in gewohnter Qualität, aber in leicht geändertem Layout mit neuen Rubriken. Die Redaktion bittet um Kritiken.

Inzwischen wünschen Redaktion und Autoren allen Lesern einen harmonischen Ausklang des Jahres und einen guten Start ins Jahr 2015!

Links/Quellenangaben – siehe.eu: Die Hinweise auf Quellen sind für die leichte Eingabe mit einem Shortlink (auch short URL, URL alias, Kurzlink) angegeben. Statt beispielsweise http://www.bfdi.bund.de/DE/Oeffentlichkeitsarbeit/Taetigkeitsberichte/Functions/TB_BfDI_table.html?nn=408924 muss künftig nur angegeben werden: www.siehe.eu/xxx. Das xxx steht für eine fortlaufende Zahl. Mit dieser Zahl kann die eigentliche URL/Adresse in unserer Datenbank ermittelt werden. Wenn Sie wissen wollen, was sich hinter dem Shortlink verbirgt, geben Sie den Shortlink mit einer Tilde (~) ein oder nutzen Sie eine Shortlink-Auflöser wie www.prevurl.com. Ob Sie auf diese Möglichkeit verzichten, obliegt Ihrer Entscheidung. Denn wir verweisen auf die Quellen, ohne diese im Detail zu prüfen.