Bundesamt für Sicherheit in der Informationstechnik

BSI-Studie "Durchführungskonzept für Penetrationstests"

In Zusammenarbeit mit den Firmen BDO und Ernst & Young wurde die vorliegende Studie ausgearbeitet, die sich mit sich mit der Organisation und Durchführung von Penetrationstests in sicherheitsrelevanten IT-Systemen befasst..

Zusätzlich werden die rechtlichen Rahmenbedingungen dargestellt, die im Umfeld von Penetrationstests zu beachten sind.

Die Sicherheit jener Systeme, die über Verbindungen zu öffentlichen Netzen verfügen, unterliegen in besonderer Weise unautorisierten, meist anonymen Zugriffsversuchen. In dieser Situation werden Testmethoden benötigt, die sich des Blickwinkels der Angreifer bedienen, um möglichst reale Testbedingungen schaffen zu können.

Die Studie richtet sich an Unternehmen und Einrichtungen, die Penetrationstests anbieten bzw. in Zukunft anbieten wollen. Vorgestellt wird eine strukturierte Vorgehensweise für Penetrationstests, die eine effiziente und zielgerichtete Durchführung der Tests erleichtert bzw. sicherstellen kann.

Eine weitere Zielgruppe sind Entscheider in Unternehmen und öffentlichen Einrichtungen, die einen Penetrationstest beauftragen möchten, um Hilfestellung für Auswahlkriterien zu erhalten.

Die Studie stellt keine Anleitung zum "Hacken" von Netzen und Systemen dar, daher wurde bewusst auf detaillierte technische Anleitungen und Beschreibung von Werkzeugen, die in Penetrationstests verwendet werden, verzichtet.