Das BSI möchte hier zu verschiedenen Themengebieten Hilfestellungen geben und zum Beispiel durch die Veröffentlichung von Leitfäden praxisorientierte Hintergrundinformationen zu Vorgehensweisen geben, mit denen die Sicherheit in Institutionen geprüft und dadurch erhöht werden kann.

Sowohl bei der Prävention als auch nach einem akuten Sicherheitsvorfall ist gegebenenfalls die Einbindung eines externen qualifizierten Dienstleisters sinnvoll.
Das BSI möchte bei der Auswahl eines qualifizierten Dienstleisters unterstützen und veröffentlicht hier zu verschiedenen Themengebieten eine Liste von Kriterien, die bei der Auswahl eines qualifizierten Dienstleisters ggf. hilfreich sind und zur Unterstützung herangezogen werden können.

In einigen Themengebieten führt das BSI auch Zertifizierungen von Personen sowie IT-Sicherheitsdienstleistern durch.

Penetrationstests, Informationssicherheits-Beratung und Informationssicherheit-Revisionen

• Als Hilfestellung für die Beauftragung von IS-Penetrationstestern aber auch zur Erläuterung der Abläufe bei einem IS-Penetrationstest wurden vom BSI die Leitfäden:

  • Praxis-Leitfaden: IT-Sicherheits-Penetrationstest und
  • Praxis-Leitfaden: IT-Sicherheits-Webcheck erstellt.
• Der Leitfaden IS-Revision erläutert detailliert die Stellung der IS-Revision innerhalb des Sicherheitsprozesses und die damit verbundenen Aufgaben und kann auch als Grundlage für Ausschreibungen von IS-Revisionen angewendet werden.
• Das BSI führt in diesen Themengebieten eine Zertifizierung durch und veröffentlicht Listen der zertifizierten IT-Sicherheitsdienstleister, die zertifizierte Penetrationstester beschäftigen sowie der zertifizierten IS-Revisoren.

• Das BSI bietet für Behörden und Betreiber Kritischer Infrastrukturen die Durchführung eines Penetrationstests sowie die Durchführung einer IS-Revision auch selbst an.
  Weiterführende Informationen zur Vorgehensweise und zum Antragsverfahren:

  • Penetrationstests
  • IS-Revisionen

DDoS-Abwehr

Die Auswirkungen von Distributed Denial-of-Service (DDoS) Angriffen können beträchtlich sein, für die betroffenen Institutionen einen großen wirtschaftlichen Schaden auslösen und auch einen Reputationsverlust nach sich ziehen.

• Auswahlkriterien für qualifizierte DDoS-Mitigation-Dienstleister
• Das BSI hat eine Themenseite zum Thema DDoS-Angriffe veröffentlicht.

IT-Forensik

• Leitfaden IT-Forensik (Praxisorientierte Vorgehensweise zur forensischen Bearbeitung von Sicherheitsvorfällen)

APT-Response-Dienstleister

Aufgrund zunehmender, massiver Cyber-Angriffe auf Unternehmen und staatliche Institutionen besteht neben der Prävention auch ein steigender Bedarf zur Abwehr laufender oder erfolgter Angriffe. Besonders bei gezielten Angriffen starker Gegner (Advanced Persistent Threat, APT) stellen diese Tätigkeiten spezielle Anforderungen an die dabei eingesetzten Dienstleister.

Auswahlkriterien für qualifizierte APT-Response-Dienstleister

Liste der qualifizierten APT-Response-Dienstleister; Stand: 28.03.2025

Für eine erste schnelle Hilfe bei einem APT-Vorfall finden sich Informationen auch unter:

Erste Hilfe Papier der Allianz für Cybersicherheit