Navigation und Service

IS-Penetrationstest und IS-Webcheck

Angriffe auf IT-Systeme sind selbst für kleine Behörden und Unternehmen kein Fremdwort mehr. Um sich hiervor optimal zu schützen, ist es hilfreich, wenn man sich neben den üblichen Sicherheitsvorkehrungen zusätzlich auf die Sicht der Angreifer einlässt.

Hierfür sind Penetrationstests ein geeignetes Verfahren, um die aktuelle Sicherheit eines IT-Netzes, eines einzelnen IT-Systems oder einer (Web-)Anwendung festzustellen. Sie dienen dazu, die Erfolgsaussichten eines vorsätzlichen Angriffs einzuschätzen und dadurch die Wirksamkeit der vorhandenen Sicherheitsmaßnahmen zu überprüfen sowie weitere notwendige Sicherheitsmaßnahmen abzuleiten. Angeboten werden hierbei vom BSI zwei Testmethoden: der IS-Penetrationstest sowie der IS-Webcheck.

Beide Testmethoden konzentrieren sich auf die häufigsten und bekanntesten Schwachstellen von weitverbreiteten IT-Systemen. Durch die Prüfungen wird aufgezeigt, welche Schwachstellen zum Prüfzeitpunkt mit vertretbarem Untersuchungsaufwand und den vereinbarten Methoden gefunden werden können. Um langfristig einen guten Sicherheitseindruck über die IT-Systeme zu gewinnen, wird empfohlen, die Tests in regelmäßigen Abständen zu wiederholen.

IS-Penetrationstest

Bei IS-Penetrationstests werden vorrangig Schnittstellen nach außen untersucht, über die potenzielle Angreifer in die untersuchten IT-Systeme eindringen könnten. Hierbei werden Konfigurationsfehler sowie noch nicht behobene Schwachstellen identifiziert.

Bei einem IS-Penetrationstest durch das BSI kann auf Wunsch des Kunden in unterschiedlicher Tiefe getestet werden.

Bei einem kleinen IS-Penetrationstest werden in Form eines technischen Audits stichprobenartig sicherheitsrelevante Konfigurationen und Regelwerke der eingesetzten IT-Systeme untersucht und Empfehlungen für das Schließen möglicher Schwachstellen gegeben. Die Sichtung der IT-Systeme wird gemeinsam mit den Administratoren durchgeführt.

Bei einem umfangreichen IS-Penetrationstest des BSI werden, über das technische Audit hinaus, durch technische Untersuchungen u.a. mit Hilfe von speziellen Sicherheitstools Schwachstellen in den getesteten IT-Systemen aufgespürt. Hierbei greifen die BSI-Tester vor Ort unter Aufsicht der Fachadministratoren auf die zu untersuchenden IT-Systeme zu.

IS-Webcheck

Mit einem IS-Webcheck des BSI wird der Sicherheitsstand der Internetpräsenz einer Behörde oder einer Institution geprüft. Hierbei werden die Tests größtenteils durch den Einsatz automatisierter Methoden über das Internet durchgeführt.

Vorgehensweise

Die genaue Vorgehensweise bei den Tests ist in den nachfolgenden Kurzbroschüren dargestellt:

Zielgruppe

Das BSI bietet die IS-Penetrationstests und IS-Webchecks vorrangig für Bundesbehörden an. Für diese sind die Tests grundsätzlich kostenfrei.

In Einzelfällen bietet das BSI die Tests auch für andere Zielgruppen an, beispielsweise wenn IT-Systeme angegriffen wurden, die im besonderen öffentlichen Interesse stehen. In diesen Fällen werden Kosten erhoben, die im Einzelfall unter it-pentest@bsi.bund.de anzufragen sind.

Antrag

Wenn Sie einen IS-Penetrationstest oder IS-Webcheck beantragen wollen, füllen Sie bitte das entsprechende Formular aus:

Aus der Praxis für die Praxis

Als Hilfestellung für die Beauftragung von IS-Penetrationstestern aber auch zur Erläuterung der Abläufe bei einem IS-Penetrationstest wurden vom BSI die Leitfäden "IS-Penetrationstest - Aus der Praxis für die Praxis" und "IS-Webcheck – Aus der Praxis für die Praxis" erstellt.

Die Dokumente wenden sich vorrangig an alle Verantwortlichen in Unternehmen und Behörden, die über die gängigen Schutzmaßnahmen ihrer IT-Systeme und Daten hinaus IS-Penetrationstests und IS-Webchecks (IS-Penetrationstests über das Internet) als Testverfahren einzusetzen beabsichtigen, um Angriffsmöglichkeiten auf ihre Daten zu identifizieren.

Praxis-Leitfaden: IT-Sicherheits-Penetrationstest

Praxis-Leitfaden: IT-Sicherheits-Webcheck

Externe Penetrationstester

IS-Penetrationstests und IS-Webchecks können auch durch externe Penetrationstester durchgeführt werden. Folgende IT-Sicherheitsdienstleister wurden vom BSI zu diesem Zweck zertifiziert:

Liste IT-Sicherheitsdienstleister, die vom BSI zertifizierte Penetrationstester beschäftigen