Wie man laut TÜV seine IT-Security testen soll

Cybercrime. TÜV Trust IT hat für simulierte Cyber-Angriffe gegen Unternehmen eine Liste von Erfolgsfaktoren zusammengestellt. Diese umfasst 10 Aspekte.

Laut TÜV Trust IT, eine Tochtergesellschaft der TÜV Austria Group, kommt es bei der Prüfung auf mögliche Schwachstellen in der IT von Unternehmen gegen Cyber-Angriffe (sogenannte „Red Teaming Assessements“) auf 10 Aspekte an:

1. Management Commitment: Alle relevanten Entscheidungsträger (z.B. CEO/GF, CIO, CISO, DSB, Betriebsrat) sollen hinter dem Projekt stehen, aber keine weiteren Mitarbeiter dürfen über das geplante Vorhaben informiert werden.
2. Vertrauen in den Dienstleister: Je größer das Vertrauen in das „Red Team“ ist, umso wertvoller sei der Erkenntnisgewinn der Tests.
3. Know-how des Dienstleisters: Ein Red Teaming Assessment-Dienstleister müsse über Fachwissen, Branchenkenntnisse und Erfahrung verfügen.
4. Flexibel operieren: Red Teaming Assessments werden ohne festen Zeitpunkt durchgeführt. Werden Schwachstellen bekannt, kann das Test-Team dies für die Prüfung nützen.
5. Alle Instrumente des Red Teamings nutzen: Um ein möglichst genaues Bild der Sicherheitssituation zu erhalten, sollen möglichst viele Instrumente des Red Teamings angewendet werden, darunter auch Social Engineering.
6. Einschränkungen von Produktivsystemen: Red Teaming Assessments testen vor allem Produktivsysteme. Ein Restrisiko systemseitiger Einschränkungen sei unvermeidbar, sodass der Auftraggeber entsprechende Vorkehrungen treffen muss.
7. Unbekannte Prüfer für Social Engineering Maßnahmen einsetzen: Um das Ergebnis nicht zu verfälschen, sollen vor allem bei Social-Engineering-Einsätzen im Rahmen von Red Teaming Assessments unbekannte Prüfer eingesetzt werden.
8. Effektive Fehlerkultur: Unternehmen sollen für ermittelte Defizite keinen Sündenbock suchen, sondern konstruktiv mit den Schwachstellen umgehen.
9. Spielregeln festlegen: Es gibt Fälle, in denen Systeme und Anwendungen von der Prüfung ausgenommen werden sollten. Diese müssen zu Beginn klar festgelegt
   werden.
10. Lessons Learned & Coaching: Erkenntnisse sollen in eine nachgelagerte „Lessons Learned Phase“ einfließen, inklusive Dokumentation der einzelnen Testschritte.

Laut TÜV Trust IT zahlen sich bei Beachtung der genannten 10 Faktoren simulierte Cyber-Angriffe gegen unternehmerische Infrastrukturen auch betriebswirtschaftlich nachhaltig aus. Es sei dadurch in der Regel eine Erhöhung des Sicherheitsniveaus „weit über die Verbesserung rein technischer Sicherheitsmaßnahmen“ möglich, heißt es.