Das BSI will den IT-Sicherheitsbeauftragten von Institutionen mit Penetrations-Tests und anschließender Beratung dabei helfen, die Sicherheit ihrer Webanwendungen und IT-Infrastruktur zu erhöhen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Praxisleitfaden zum Thema “Informationssicherheits-Webchecks” veröffentlicht. Im wesentlichen schildert das Amt darin, wie es Webanwendungen (Webcheck) oder die komplette IT-Infrastruktur einer Institution auf Sicherheitslücken hin abklappert.
Einschränkungen für Institutionen, solche Tests zu beantragen, gibt es auf den ersten Blick nicht, allerdings lässt sich eine Präferenz von Fällen ablesen. Handelt es sich um eine Sicherheitsbehörde, ist der Schutzbedarf der vorhandenen Daten hoch oder sehr hoch oder liegt ein Sicherheitsvorfall vor, sieht der Pentest-Antrag offenbar eine gewisse Dringlichkeit.
Dabei bietet das BSI zwei Arten von Tests an. Beim IS-Webcheck (IS steht in diesem Fall für Internetsicherheit) prüft es die Webauftritte- und -Dienste der Institutionen aus der Ferne, beim “IS-Penetrationstest” schickt das Amt einen Prüfer ins Haus, der nicht nur die Sicherheit der Mobilverbindungen checkt, sondern auch intern schaut, ob Dienste ungewollt zugänglich sind. Auf Basis der Fundstücke empfiehlt es dann Gegenmaßnahmen.
Ein “Praxisleitfaden für IS-Penetrationstests” breitet auf rund 30 Seiten aus, wie solche Tests organisatorisch funktionieren und was Prüfer und Prüflinge beachten sollten. Das hilft auch Institutionen und Unternehmen, die den Service des BSI nicht in Anspruch nehmen wollen. Für sie bietet das BSI auch eine Liste mit Pentest-Unternehmen an, die das Amt zertifiziert hat.
