Test Center Hessen im Fokus: der Security-Test-Service

Als eines der Standbeine des Test Center Hessen deckt der SecurityTest Service (STS) das komplette Themenfeld IT-Security-Testing ab. Über die weithin bekannten Penetrationstests (kurz: Pentests) hinaus bietet der STS eine ganze Reihe unterschiedlicher Services – angefangen bei der Planung und Projektierung von Testmaßnahmen über die Organisation bis hin zur operativen Umsetzung. Einige dieser Services sind für spezielle Anforderungen optimiert und erfordern daher für einen zielführenden Einsatz ganz konkrete Voraussetzungen.

Sicherheitstests nach System

Zentrale Maßnahme beim IT-Security-Testing ist der vielfach bewährte Standard-Pentest der HZD, der den höchsten Aufwand erfordert, dafür aber auch die besten Ergebnisse erzielt. Er wird für alle im Internet verfügbaren Systeme und Verfahren verwendet und sollte auch bei allen neu eingeführten Anwendungen mit höherem oder hohem Schutzbedarf durchgeführt werden.

Wurde bereits ein Standard-Pentest durchgeführt und es hat sich seitdem nichts Gravierendes an der betreffenden Applikation bzw. dem Aufbau und der Struktur des Verfahrens geändert, kommt der sogenannte periodische Pentest zum Einsatz. Da eine Änderung des Pentest-Konzepts nicht erforderlich ist, entfällt der Einsatz einer Pentest-Projektleitung, und der Test kann ausschließlich durch den Pentest-Spezialisten umgesetzt werden. Das spart Ressourcen, ist kurzfristiger planbar und einfacher zu organisieren. Im Vergleich mit einem Standard-Pentest wird bei dem periodischen Pentest die Hälfte bis zwei Drittel der Kosten eingespart.

Unter gewissen Bedingungen (wenn beispielsweise nur ein sehr begrenzter Aspekt einer Anwendung getestet werden soll) kann statt des Standard-Pentests auch ein sogenannter Kurz-Pentest durchgeführt werden. Hierbei ist der Gesamtprozess maximal verkürzt, so dass bis zur Aufnahme des ersten Tests höchstens sechs Wochen vergehen. Ob die Bedingungen im jeweiligen Fall gegeben sind, muss in einer Einzelfallbetrachtung entschieden werden. Mit dem agilen Pentest bietet der STS einen DevSecOps-Ansatz für die Begleitung von Entwicklungsprojekten. Dazu wird initial ein Master-Pentest-Konzept aufgesetzt, das einmalig den hausinternen Genehmigungsprozess durchläuft. Danach ist für einen langen Zeitraum keine Pentest-Projektleitung mehr erforderlich. Tests können agil in einer vorproduktiven Entwicklungs-Pipeline direkt durch die Pentest-Verantwortlichen durchgeführt werden. Das ist für Entwicklungsprojekte deutlich kostengünstiger und bei der Häufigkeit neuer Sprints deutlich besser organisierbar als die Durchführung herkömmlicher Pentests.

Das Kunstwort „DevSecOps“ setzt sich aus den Begriffen Development (Entwicklung), Security (Sicherheit) und Operations (Betrieb) zusammen. Gemeint ist damit ein ganzheitlicher Ansatz, der den Aspekt Sicherheit in alle Phasen des Lebenszyklus einer Software integriert.

Um Schwachstellen zu mindern, hat der STS Wiederholungstests im Portfolio. Diese so genannten Re-Tests können von dem STS-Team direkt vorgenommen werden und bieten somit den Vorteil, dass Schwachstellen ohne Pentest-Projektleitung schnell behoben werden können. Schwachstellenscans sind eine Möglichkeit, kurzfristig und kostengünstig Sicherheit für Web-Services und -Applikationen sowie Server-Systeme zu schaffen. Als automatisiertes Verfahren bietet der Schwachstellenscan zwar nicht dieselbe Untersuchungstiefe und Detailliertheit wie ein Pentest, aber als erste Maßnahme z.B. vor einem GoLive ist der Schwachstellenscan durchaus eine probate erste Härtungsmaßnahme.

Balkengrafik, die das Angebot des Security Test Service der HZD visualisiert: periodischer Pentest, Kurz-Pentest, agiler Pentest, Re-Test und Schwachstellenscan — © HZD

Gesetzlich geregeltes Testen

Testmaßnahmen und insbesondere Pentests werden von vielen IT-Schaffenden immer noch als notwendiges Übel und nicht als wichtiges Instrument zur Qualitätssicherung angesehen. In diesem Zusammenhang wird häufig die Frage nach der gesetzlichen Verpflichtung zur Durchführung entsprechender Maßnahmen an den STS herangetragen.

Prinzipiell sollten alle im Internet stehenden Anwendungen auf Schwachstellen hin getestet werden, um die Verfügbarkeit von Verfahren zu gewährleisten und die Integrität und Vertraulichkeit von Daten zu schützen. Mit gezielt durchgeführten Tests lassen sich mögliche Sicherheitslücken frühzeitig erkennen, so dass es gar nicht erst zu Sicherheitsvorfällen kommt. Damit IT-Security-Testing aber nicht nur der Eigeninitiative überlassen bleibt, gibt es inzwischen gesetzliche Regelungen, die insbesondere Akteure im Umfeld kritischer Infrastrukturen zur Durchführung entsprechender Maßnahmen verpflichten.

Kritische Infrastrukturen (KRITIS) sind Einrichtungen, die eine zentrale Bedeutung für unsere Gesellschaft haben – wie beispielsweise Finanzbehörden oder Energieversorger. Weil deren Beeinträchtigung dramatische Folgen haben könnte, besteht hier besonderer Schutzbedarf. Allgemeine Informationen und aktuelle Meldungen zum Thema KRITIS bündelt das Bundesamt für Informationssicherheit (BSI).

zu den KRITIS Informationen des BSI

Durch die seit Januar 2023 gültige EU-Richtlinie NIS2 ist unter anderem auch die HZD gefordert, für ihre eigenen Anwendungen und Verfahren kontinuierlich Pentests durchzuführen. Des Weiteren schreibt die 2022 verabschiedete IT-Sicherheitsverordnung Portalverbund (ITSiV-PV) regelmäßige Maßnahmen wie IS-Webchecks (Schwachstellen- Scans) und Pentests für alle IT-Verfahren vor, die an Portalverbünde angeschlossen sind oder Daten an solche Verbünde liefern.

Artikel 32 der Datenschutzgrundverordnung (DSGVO) enthält einen Passus, der IT-Verantwortliche in die Pflicht nimmt, „alle notwendigen technischen und organisatorischen Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Handelt es sich hierbei um Webanwendungen und –Services, die über das Internet erreichbar sind, besteht ein hohes Risiko. Stand der Technik zur Minderung dieses Risikos ist die Prüfung der Härtung des IT-Verfahrens durch einen geeigneten IT-Sicherheitstest. Und last, but not least, können sich verpflichtende Pentests oder IS-Webchecks aus dem Maßnahmenkatalog eines IT-Sicherheitskonzeptes nach BSI-Grundschutz ergeben. Sie gelten laut BSI als Wirksamkeitsnachweis für die Umsetzung der verordneten Maßnahmen.

Regelmäßigkeit als Erfolgsfaktor

Wie häufig Pentests durchgeführt werden sollten, hängt von vielen unterschiedlichen Faktoren ab. Zu berücksichtigende Parameter sind unter anderem die Platzierung im Netz (Internet oder internes Netz), der definierte Schutzbedarf, die Statik der Architektur und Reifegrad eines Verfahrens (unter Berücksichtigung von Release- und Innovations-Zyklen) sowie Veränderungen in den Angriffsstrategien und neue potenzielle Schwachstellen.

Generell gesprochen sollten Anwendungen im Internet und Anwendungen mit hohem oder höherem Schutzbedarf jährlich oder nach Einspielung von „Major Releases“ untersucht werden. Bei relativ statischen IT-Verfahren kann aus Kostengründen im jährlichen Wechsel jeweils abwechselnd ein Pentest und ein Schwachstellenscan durchgeführt werden. Im Zweifelsfall ist dies individuell zu untersuchen und zu entscheiden. Bei internen Anwendungen mit normalem Schutzbedarf hat sich ein Zwei-Jahres-Zyklus bewährt.