Kürzlich führte ich ein Erstgespräch mit einem Interessenten – ein größerer Mittelständler aus dem produzierenden Gewerbe. Der CIO berichtete, man habe bereits verschiedene Maßnahmen zur IT-Sicherheit umgesetzt und erachte es nun als an der Zeit, diese mal von unabhängiger Stelle auf ihre Effektivität hin überprüfen zu lassen. Konkreter Trigger sei ein kürzlich durchgeführtes ISO 27001 Audit gewesen, aus dem es als Empfehlung den Hinweis mitgab, doch mal einen Penetration Test zu machen.
Wir sprachen also über verschiedene Möglichkeiten, über den Unterschied zwischen einem Vulnerability Scan und einem Penetration Test – und auch darüber, welche Ziele man mit welcher Art von Test erreichen kann. Aus dem Gesprächsverlauf war dann schnell klar, dass das, was der Kunde in Gestalt des CIO wollte – und auch bereit war an Budget bereitzustellen – ein Vulnerability Scan ist. Es fiel dann noch der Satz “ich brauche was, wo Pentest draufsteht”, verbunden mit dem Wunsch, wir mögen uns mal mit der IT des Interessenten auseinander setzen.
Dazu kam es dann nicht. Ein paar Tage später höre ich aus der Organisation, dass eine Tochtergesellschaft von <hier den Namen einer großen Zertifizierungsstelle einsetzen> ein Angebot über einen “Pentest” abgegeben habe, welches aber lediglich das automatisiertes Scannen von öffentlich zugreifbaren Diensten umfasst. Und was soll ich sagen: der Kunde hat den Auftrag erteilt. Es wird nun ein “Pentest” durchgeführt, der keiner ist – für eine Stange Geld, für die man mit Sicherheit auch einen risikogerechten und vernünftig zugeschnittenen “echten” Pentest hätte machen können.
Ob das jetzt aus Unwissenheit, Budgetzwang, Desinteresse oder einem sonstigen Grund so kam ist ja eigentlich egal. Fakt ist: hier wird einmal mehr Pseudo-IT-Sicherheit betrieben. Die Organisation und ihre Stakeholder wiegen sich im trügerischen Glauben, es würde ein detaillierter Pentest durchgeführt – die Untersuchung besteht jedoch nur aus automatisierten Vulnerability Scans.
Noch etwas finde ich interessant: anscheinend war der CIO sehr fokussiert darauf, dem ISO 27001 Auditor zu “gefallen” und seine Empfehlung umzusetzen. Dabei sind Empfehlungen genau das, was das Wort sagt: etwas, das man machen kann, aber nicht muss. Merke: In der ISO 27001 kommt das Wort Penetration Test an keiner Stelle vor. Leider argumentieren immer noch viele Auditoren, dass man einen solchen machen müsse. Im vorliegenden Fall war es “nur” eine Empfehlung – über ein weiteres Praxisbeispiel, wo ein solcher Test als angeblich erforderlich bezeichnet wurde, berichte ich in einem der folgenden Artikel.
Wir sich zielgerichtete IT-Sicherheitsuntersuchungen ohne Dogma, risikobasiert und mit sinnvoller Budgetallokation durchführen lassen, zeige ich Ihnen gerne – einfach einen Termin vereinbaren!
Tags
Beitrag teilen
