Open Source im professionellen Einsatz

BSI will Institutionen mit Penetrationstests helfen

14.11.2016

Das BSI will den IT-Sicherheitsbeauftragten von Institutionen mit Penetrations-Tests und anschließender Beratung dabei helfen, die Sicherheit ihrer Webanwendungen und IT-Infrastruktur zu erhöhen.

226

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Praxisleitfaden zum Thema "Informationssicherheits-Webchecks" veröffentlicht. Im wesentlichen schildert das Amt darin, wie es Webanwendungen (Webcheck) oder die komplette IT-Infrastruktur einer Institution auf Sicherheitslücken hin abklappert.

Einschränkungen für Institutionen, solche Tests zu beantragen, gibt es auf den ersten Blick nicht, allerdings lässt sich eine Präferenz von Fällen ablesen. Handelt es sich um eine Sicherheitsbehörde, ist der Schutzbedarf der vorhandenen Daten hoch oder sehr hoch oder liegt ein Sicherheitsvorfall vor, sieht der Pentest-Antrag offenbar eine gewisse Dringlichkeit.

Dabei bietet das BSI zwei Arten von Tests an. Beim IS-Webcheck (IS steht in diesem Fall für Internetsicherheit) prüft es die Webauftritte- und -Dienste der Institutionen aus der Ferne, beim "IS-Penetrationstest" schickt das Amt einen Prüfer ins Haus, der nicht nur die Sicherheit der Mobilverbindungen checkt, sondern auch intern schaut, ob Dienste ungewollt zugänglich sind. Auf Basis der Fundstücke empfiehlt es dann Gegenmaßnahmen.

Ein "Praxisleitfaden für IS-Penetrationstests" breitet auf rund 30 Seiten aus, wie solche Tests organisatorisch funktionieren und was Prüfer und Prüflinge beachten sollten. Das hilft auch Institutionen und Unternehmen, die den Service des BSI nicht in Anspruch nehmen wollen. Für sie bietet das BSI auch eine Liste mit Pentest-Unternehmen an, die das Amt zertifiziert hat.

Ähnliche Artikel

  • Gemischtwarenladen

    Zum Testen der Netz- und Systemsicherheit finden Admins viele Tools im Netz. Alle zu suchen, herunterzuladen und zu konfigurieren ist mühsam. Glücklicherweise kommt die Spezialdistribution Backtrack zu Hilfe. Kürzlich ist Version 4 R1 erschienen, die auch auf der DELUG-DVD dieses Heftes zu finden ist.

  • Amazon veröffentlicht Open-Source-Kryptomodul

    Amazon hat eine Neuimplementierung des Verschlüsselungsprotokolls Transport Layer Security (TLS) veröffentlicht.

  • Ziel erfasst!

    Schützen Sie sich selbst, dann schützen Sie andere - diese Regel ist im Internet mehr als eine Floskel. Unser Security-Schwerpunkt zeigt, wie Sie dieses Ziel erreichen.

  • Blackarch Linux mit erweitertem Toolset

    Das auf Tester und IT-Profis zielende Blackarch Linux bringt in der neuen Version rund 80 neue Tools für Penetrationstests und Security-Auditing mit.

  • Kali Linux 2.0 kommt im August

    Die Macher von Kali Linux, einer Distribution, die diverse Werkzeuge für Sicherheits- und Penetrationstests mitbringt, wollen am 11. August ihr nächstes Major-Release veröffentlichen.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.