Penetrationstests müssen den Datenschutz wahren

Penetrationstests helfen bei der Optimierung der Datensicherheit. Die simulierten Angriffe können aber auch zum Risiko für den Datenschutz werden.

Für 17 Prozent der Unternehmen in Deutschland hat das Thema IT-Sicherheit in diesem Jahr höchste Priorität, weitere 69 Prozent halten laut einer von Dell Software beauftragten Studie IT-Sicherheit in jedem Jahr für wichtig. Gleichzeitig ergab eine andere Dell-Studie, dass sich nur 55 Prozent der Unternehmen in Deutschland mit langfristigen Strategien gegen künftige Bedrohungen gewappnet sehen. Trotz der hohen Priorität fehlen somit die richtigen Konzepte für die IT-Sicherheit.

Ein wesentlicher Grund für die fehlenden Konzepte liegt darin, dass die Unternehmen ihre bestehenden Risiken, den aktuellen Schutzbedarf und die vorhandenen Schwachstellen ihrer IT nicht gut genug kennen. So ergab zum Beispiel eine aktuelle Ponemon-Studie, dass 85 Prozent der befragten IT-Experten sich nicht in der Lage sehen, alle Schwachstellen bei mobilen Endgeräten zu ermitteln. Grund genug, externe Sicherheitsauditoren ins Boot zu holen, die Schwachstellen aufspüren, indem sie Penetrationstests, also simulierte Angriffe durchführen.

Penetrationstests finden Schwachstellen

Die Idee hinter Pen-Tests ist bestechend: Beauftragte Hacker sollen die Sicherheitslücken finden, bevor es echte Angreifer tun. Zum Einsatz kommen dabei möglichst realitätsnahe Methoden. Die simulierten Attacken nutzen Wege zu den vertraulichen Informationen und IT-Ressourcen, die die Angreifer auch nutzen würden. Je nach Variante der Penetrationstests erhalten die Auftragshacker Insiderinformationen zu den Netzwerken, Konfigurationen und Sicherheitseinstellungen, oder die Pen-Tests laufen ohne interne Kenntnisse ab. In jedem Fall aber sollten sie nicht ohne Datenschutzkontrolle durchgeführt werden.

Für Pen-Tests gibt es keine Ausnahmen vom Datenschutz

Die Simulation eines Angriffs auf die IT-Systeme darf nicht so realitätsnah sein, dass sich die Auftragshacker über den Datenschutz hinwegsetzen, wie es die echten Angreifer natürlich tun. Die deutschen Aufsichtsbehörden für den Datenschutz haben klar gestellt, dass personenbezogene Daten immer einen gleich hohen Schutz erfahren müssen, gleich ob es sich um Test-, Projekt- oder Produktivphasen des IT-Betriebs handelt. Ein Penetrationstest unterliegt dem Datenschutz und darf personenbezogene Daten nicht unnötig gefährden.

Penetrationstests als Auftragsdatenverarbeitung

Es mag ungewohnt klingen, aber die beauftragten White-Hat-Hacker oder Ethical Hacker werden zu Auftragsdatenverarbeitern, wenn sie im Zuge des simulierten Angriffs personenbezogene Daten verarbeiten, also zum Beispiel auf diese zugreifen, um den Zugangsschutz zu überprüfen. Die rechtlichen Vorgaben aus dem Bundesdatenschutzgesetz (§ 11 BDSG) sind auch bei dem Auftrag für Penetrationstests zu beachten, wenn es nicht ausgeschlossen werden kann, dass personenbezogene Daten davon betroffen sind. Unternehmen tun aber auch dann gut daran, das Vorgehen der Penetrationstester genau zu hinterfragen, wenn andere Arten vertraulicher Daten bei der Angriffssimulation zugänglich werden.

Genauer Auftrag und genaue Dokumentation erforderlich

Unternehmen, die ihre IT-Schwachstellen kennen wollen, sollten bei dem Auftrag für einen Penetrationstest genau festlegen,

  • welches Ziel und welche Dauer der simulierte Angriff haben soll,
  • welche Daten davon betroffen sein können,
  • welche Schutzmaßnahmen für die betroffenen Daten ergriffen werden müssen,
  • welche Datenschutzauflagen für die Dienstleister und ihre möglichen Subauftragnehmer gelten,
  • welche Kontrollrechte definierte interne Mitarbeiter wie der eigene Datenschutzbeauftragte haben,
  • wer in welcher Form bei möglichen Problemen mit dem Datenschutz zu informieren ist
  • und was mit den unter Umständen „erbeuteten“ Daten nach dem Penetrationstest zu geschehen hat.

Qualifikation und Datenschutzunterweisung dürfen nicht fehlen

Bei einem simulierten Angriff könnte einiges schief gehen: Daten könnten verloren gehen oder ungewollt über das Internet für Dritte zugänglich werden. Deshalb ist es wichtig, dass die beauftragenden Unternehmen einen Testplan für den Auftragsangriff haben, selbst wenn dieser für die interne IT überraschend erfolgen soll. Es muss informierte Stellen im Unternehmen geben, die bei Problemen in Verbindung mit dem Penetrationstest zeitnah reagieren können. Zudem muss es interne Stellen geben, die die Qualifikation der Auftragshacker beurteilen können. Nicht zuletzt sollte intern geprüft werden, ob die Penetrationstester auch nach dem deutschen Datenschutz unterwiesen sind, also zum Beispiel auf das Datengeheimnis verpflichtet werden.

Ergebnisse des Pen-Tests schützen und nutzen

Penetrationstests können die Datensicherheit nur erhöhen, wenn sie nicht selbst zum Datenrisiko werden, Daten dadurch also gelöscht oder Dritten unerlaubt zugänglich gemacht werden. Die simulierten Angriffe helfen aber auch dann nur, wenn die Ergebnisse und damit die Schwachstellen nicht Unbefugten zugänglich werden. Außerdem sind die entdeckten Sicherheitslücken auch so weit wie irgend möglich zu beseitigen.

Artikel wurde zuletzt im April 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerk-Security-Monitoring

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close