Penetrationstests: So testen Sie Ihre Cyberabwehr

Auswahl eines geeigneten Dienstleisters:

Ein wichtiges Kriterium für den passenden Dienstleister ist eine durchgängige Transparenz. Lassen Sie sich vor Beginn des Pentests eine Detailbeschreibung zur Vorgehensweise, den eingesetzten Tools und beabsichtigten Prüfmethoden vorlegen und fordern sie Abschluss einen individuellen Ergebnisbericht für Ihr Unternehmen.
Entscheidend für die Auswahl des richtigen Dienstleisters sollten aber die Qualifikationen der eingesetzten Spezialisten sein. Neben Erfahrungen und Fähigkeiten im Bereich Pentest, sollte auch ein fundiertes IT-Wissen für die Bewertung und Auslegungen der Ergebnisse vorhanden sein.

Wichtige Bestandteile der Planung:

Die Dauer großer Pentests ist nicht immer vorhersehbar, da viele Einflüsse hineinspielen. Deshalb sollten zuerst die Rahmenbedingungen genau festgelegt und dokumentiert werden.
Es ist ratsam, kommende IT-Projekte miteinzubeziehen, damit erneute Pentests bei geplanten Hard- oder Softwareänderungen vermieden werden.

Alle Verantwortlichen mit einbinden:

Es ist ratsam, einen internen IT-Mitarbeiter für das Monitoring der betroffenen Systeme einzubinden. Ebenso sollte Ihr Notfallkonzept aktuell und griffbereit sein, um einem ungeplanten Ausfall entgegenzuwirken und den kurzfristigen Wiederanlauf der Systeme zu garantieren.
Werden im Zuge des Pentests Social-Engineering-Angriffe durchgeführt, ist es ratsam den Betriebsrat einzubinden. Steht eine Überprüfung externer Webdienst an, sind Sie in der Pflicht die externen Dienstleister zu informieren.
Bedenken Sie auch, dass der Pentest zur Einhaltung gesetzlicher Grundlagen gemäß
Art. 32 Abs. 1 Satz 2 lit. d DS-GVO verpflichtend ist!

To be continued…

Zurück zu Teil 1

Weiter zu Teil 3