2023 / Offensive Services / Strategie

Penetrationstests und Compliance

Ein eigenes Information Security Management System (ISMS) aufzubauen, kann mitunter kompliziert und vor allem auch schwierig sein. In der Regel geht es dabei um die ISO 27001 Zertifizierung, die von vielen Auftraggebern verlangt wird, bevor überhaupt ein gemeinsames Geschäft infrage kommt oder ein Auftrag vergeben wird. Dementsprechend wichtig ist es, bestimmte Compliance-Standards einzuhalten und zertifizieren zu lassen.

Penetrationstests helfen dabei, diese Standards regelmäßig zu überprüfen und die eigenen Compliance-Regeln auf lange Sicht hin zu optimieren. Das ist notwendig, da die IT-Sicherheit kein einmaliger Prozess ist. Compliance-Anforderungen wollen dauerhaft und nicht nur zeitweise erfüllt und eingehalten werden. Der Penetrationstests hilft klassischerweise dabei, dies zu gewährleisten und die Informationssicherheit auf lange Sicht garantieren zu können. Auch und vor allem gegenüber den Kunden.

In unserem Artikel möchten wir heute darauf eingehen, was Compliance genau bedeutet, welche Standards es derzeit gibt und warum Penetrationstests in Verbindung mit regelmäßigen Compliance-Prüfungen so wichtig sind.

Was genau meint Compliance überhaupt?

Compliance meint im Grunde nichts anderes, als eine Art Rechtskonformität im Unternehmen zu erreichen. Die Compliance-Regeln sorgen also dafür, dass gesetzliche Vorgaben erfüllt und Standards entsprechend eingehalten werden. Das wiederum ist in vielen Bereichen wichtig, um seinen Kunden und Geschäftspartnern eine hohe Sicherheit der Daten und Prozesse gewährleisten zu können.

Im Grunde legt die Compliance im Unternehmen also eine Art von Geschäftsethik fest und stellt gleichzeitig klar, dass Sicherheitsmaßnahmen eingehalten und eingeleitet wurden. Dabei geht es um Regeln und Richtlinien im Unternehmen, die dann von den Mitarbeitern entsprechend umgesetzt und eingehalten werden sollen.

Um all das zu realisieren, kommt in der Regel ein Compliance-Management System zum Einsatz. Dieses bringt Regeln, Normen, Standards und entsprechende Zertifizierungen mit sich. Wie umfangreich solch ein Compliance-Management System am Ende ausfällt, hängt immer auch von der jeweiligen Branche ab, in dem das Unternehmen tätig ist.

Compliance setzt also bestimmte Regeln und Richtlinien um, die eine rechtskonforme Arbeit unterstützen und am Ende auch belegen. Letzteres spielt durchaus eine Rolle, da es je nach Branche üblich ist, dass Auftraggeber einen Nachweis verlangen, der nicht nur das Compliance Management System aufzeigt, sondern eben auch die Einhaltung der verschiedenen Standards verlangt.

Welche Compliance-Standards gibt es?

Compliance-Programme sind in erster Linie dazu gedacht, die entsprechenden Vorschriften umzusetzen und auch die eigenen Regeln im Unternehmen besonders ernst zu nehmen. Doch was intern stattfindet, lässt sich nach außen hin nur schwer kommunizieren. Daher gibt es verschiedene Standards, die nicht nur die Sicherheit in einem bestimmten Bereich beweisen, sondern auch dafür sorgen, dass die Umsetzungen kommuniziert und angegeben werden können. Derartige Zertifizierungen helfen also auch aktiv dabei, die eigenen Anstrengungen bezüglich der IT-Sicherheit werblich zu nutzen. Wir haben die wichtigsten Compliance-Standards für Sie herausgesucht und zusammengefasst.

PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) umfasst in erster Linie Regeln für die Eindämmung von Kreditkartenbetrug. Gesetzlich vorgeschrieben ist der globale Standard nicht, gilt aber als üblich, da die meisten Regelungen hier inbegriffen sind. Wer PCI DSS also nicht erfüllt, riskiert für gewöhnlich auch hohe Geldstrafen. PCI DSS meint dabei in erster Linie, dass die entsprechenden Zahlungsdaten bestmöglich geschützt werden. Wer externe Anbieter und Services einsetzt, sollte auf diese Zertifizierung achten.

HIPAA

Die HIPAA (U.S. Health Insurance Portability and Accountability Act) ist immer dann notwendig und wichtig, wenn Sie mit Ihrem Unternehmen Geschäfte in den USA vollziehen möchten. Genauer gesagt geht es bei der HIPAA darum, dass Sie entsprechende Sicherheitsmaßnahmen durchgeführt haben, sollten Sie mit geschützten Gesundheitsinformationen arbeiten. In den USA muss jedes Unternehmen (ebenso wie übrigens dessen Partner, die Zugriff auf etwaige Daten haben) die HIPAA-Compliance-Regeln erfüllen. Kontrolliert werden die Regulierungsstandards durch das Department of Health and Human Services (HHS). Geprüft und durchgesetzt hingegen wird die HIPAA Zertifizierung vom Office for Civil Rights (OCR).

ISO 27001

Mit der internationalen Norm ISO 27001 wird die Einrichtung, Umsetzung, Aufrechterhaltung und Instandhaltung des Informationssicherheits-Managementsystems beschrieben. Die Norm beinhaltet Standards und Richtlinien für die Einrichtung, aber auch für den Betrieb und die Implementierung von notwendigen Sicherheitsmechanismen. Die Norm selbst dient dazu, die eigenen Sicherheitsstandards im Unternehmen entsprechend zertifizieren zu lassen. Mit einer ISO 27001 Zertifizierung können Unternehmen also nach außen hin beweisen, dass sie entsprechende Maßnahmen für die Informationssicherheit umgesetzt haben. Das ist für viele Kunden enorm wichtig und eine Voraussetzung für die Auftragsvergabe.

Was hat Compliance mit Pentesting zu tun?

Regelmäßige Prüfungen sind wichtig, da Sie mit Ihrem Unternehmen beständig das herrschende Sicherheitsniveau nachweisen müssen. Sei es nun gegenüber Kunden, der Öffentlichkeit oder aufgrund von Richtlinien und der angestrebten Rechtskonformität. Eine Compliance-Prüfung kann und sollte dabei so umfangreich wie möglich stattfinden. Dazu gehört es auch, dass der Penetrationstests bei der Einhaltung von Compliance-Anforderungen behilflich sein kann. Penetrationstests sind sogar ein integraler und wichtiger Bestandteil von Compliance-Prüfungen.

Auch wenn es um das ISMS geht, hilft der Penetrationstest dabei, die jeweiligen Gefahren deutlich zu beschreiben und Verfahren hinzuzufügen, die als Gegenmaßnahmen oder Prävention eingeleitet werden können. Am Ende dient der Penetrationstest schließlich immer auch dazu, die bestehenden Sicherheitslücken frühzeitig zu erkennen und genau die könnten für die Compliance und Zertifizierung ein Problem darstellen. Compliance und Pentesting gehen daher meist Hand in Hand.

Durch die Compliance-Anforderungen und das ISMS sind Unternehmen zudem verantwortlich, wenn es zu erfolgreichen Hackerangriffen kommt. Penetrationstest schaffen Prävention, indem sie ethische Hacker in die Systeme eindringen lassen, um darauf aufbauend alle Schwachstellen und Sicherheitslücken erkennen zu können. Genau wie Compliance zeigt Pentesting daher ein hohes IT-Sicherheitsniveau auf und verdeutlicht die Anstrengungen des jeweiligen Unternehmens in diesem Bereich.

Für Unternehmen sind Pentests unverzichtbar

Es ist gleich, ob es nun um die DSGVO, die Informationssicherheit oder die Sicherheit der IT-Systeme im Allgemeinen geht. Kein Unternehmen kann es sich heutzutage noch erlauben, auf entsprechende Überprüfungen und Zertifizierungen zu verzichten. Nicht nur, um besonders rechtskonform aufzutreten und die gesetzlichen Anforderungen und Richtlinien zu erfüllen, sondern auch, um sich selbst und gegenüber Kunden entsprechend absichern zu präsentieren zu können.

Wir von der AWARE7 GmbH bieten Ihnen beides an. Wir führen zum einen die oft komplizierte und für viele Unternehmen schwierige ISO 27001 Zertifizierung durch. Dabei unterstützen wir Sie als Unternehmen bei allen notwendigen Schritten und Maßnahmen, die notwendig sind, um den ISO 27001 Standard erfüllen und einhalten können. Außerdem führen wir Penetrationstests durch, die IT-Sicherheitslücken aufdecken und dabei helfen, ihr ISMS entscheidend zu verbessern.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.