Home | Kontakt | Newsletter | Presse | Jobs

Geschäftsbereiche / Zertifikatslisten / Referenzen / Über uns /

Prüfstelle IT-Sicherheit

 

Zertifizierungsstelle

 

Zertifizierter Penetrationstest

 

Zertifizierung von Penetrationstests zur praktischen Überprüfung der IT-Sicherheit

 

 

 

Ein Penetrationstest stellt eine gute Möglichkeit dar, die Sicherheit eines IT-Systems praktisch zu überprüfen - beispielsweise durch Angriffe oder den Versuch der Kompromittierung von Mail- und Web-Servern oder von Firewallsystemen. Gleichwohl stellt sich die Frage nach der Güte und Qualität eines solchen Penetrationstests.

Die datenschutz zertifiziert Penetrationstests und erteilt entsprechende Zertifikate für durchgeführte Penetrationstests. Damit wird durch eine unabhängige Instanz sichergestellt,

  • dass der durchgeführte Test den Anforderungen des Kunden entspricht und
  • nachvollziehbar, strukturiert und plausibel erfolgt ist, und
  • dass der Tester hinreichend fachkundig ist.

Der zertifizierte Penetrationstests richtet sich zum einen an Unternehmen, die ihre Systeme durch einen Penetrationstest testen lassen und eine weitere unabhängige Instanz die Testergebnisse validieren lassen möchten. Zum anderen ist das Zertifikat interessant für Unternehmen, die selbst Penetrationstests im Kundenauftrag durchführen, jedoch selbst nicht als Zertifizierungsstelle akkreditiert sind.

Gegenstand der Zertifizierung

Penetrationstests werden bei der Überprüfung der IT-Sicherheit eingesetzt, um die tatsächliche, aktuell gegebene Sicherheit eines Systems, eines Netzes oder einer Anwendung gegen Angriffe zu testen. Dabei wird durch den Penetrationstester ein Angriff durchgeführt und - je nach definiertem Umfang - die Kompromittierung des Systems angestrebt.

Bedingt durch die Vielzahl möglicher Vorgehensweisen für einen Penetrationstest und der uneinheitlichen Dokumentation des Vorgehens ist es für einen Kunden oftmals schwer, die Qualität eines durchgeführten Tests zu bewerten und die Ergebnisse unterschiedlicher Tests zu vergleichen.

Ziel der Zertifizierung eines Penetrationstest durch die datenschutz cert GmbH ist die Feststellung, ob der durchgeführte Test den dokumentierten Anforderungen des Kunden entspricht und die Einzeltests nachvollziehbar, strukturiert und plausibel begründet sind. Es wird explizit nicht die Sicherheit des getesteten Systems zertifiziert.

Die Ergebnisse der Zertifizierung werden in Form eines Kurzgutachtens veröffentlicht. Die Identität der getesteten Institution kann dabei auf Wunsch anonymisiert werden, allerdings muss aus der Veröffentlichung die Identität des Penetrationstesters sowie die Art des Tests hervorgehen. Damit ist für Dritte nachvollziehbar, für welche Tests der Penetrationstester bereits eine Zertifizierung erhalten und damit einen Qualitätsnachweis erbracht hat.

Ablauf der Zertifizierung

 

Umfang der Zertifizierung

Für die Begutachtung ist die Vorlage des Testreports und des Testprotokolls sowie der vorausgehenden Prüfvereinbarung zwingend erforderlich. Art und Umfang der Dokumente müssen geeignet sein, die Bewertung der Prüfpunkte zu ermöglichen. Die Daten über die Systeme des Kunden in den Dokumenten können pseudonymisiert vorgelegt werden. Weiterhin muss ein Fachkundenachweis des ausführenden Testers vorliegen.

Die Auditierung der vorgelegten Dokumente umfasst folgende Punkte:

  • Der Prüfgegenstand und das Prüfziels müssen gemeinsam mit dem Kunden definiert worden sein;
  • die operativen und strukturellen Risiken müssen gegenüber dem Kunden deutlich gemacht und von diesem akzeptiert worden sein;
  • ein Auflistung der rechtlichen Grundlagen und zu beachtenden gesetzlichen Regelungen muss vorliegen, die notwendigen Exkulpationen durch den Kunden sowie evtl. betroffene Dritte muss vorliegen;
  • Art, Umfang und Ziel des Penetrationstests müssen definiert sein;
  • die Auswahl der durchgeführten Tests muss begründet sein und es muss dargestellt werden, dass die Zielsetzung des Penetrationstests vollständig und sinnvoll erfüllt ist;
  • die aufeinander aufbauende Abfolge der einzelnen Tests muss schlüssig begründet sein;
  • für jeden Test müssen die Art des Tests, der Zeitpunkt, die Dauer, die Durchführung, der durchführende Tester und das Ergebnis nachvollziehbar sein;
  • auf dem Test basierende Schlussfolgerungen, Bewertungen und Einschätzungen müssen begründet sein;
  • die Ergebnisse des Penetrationstests müssen sich aus den einzelnen Prüfschritten herleiten lassen und eindeutig dokumentiert sein.

Zu einzelnen Tests kann der Auditor oder die Zertifizierungsstelle eine detaillierte Darlegung des Testvorgangs fordern, um sich von der Korrektheit der gemachten Angaben zu überzeugen.

Durchführung der Zertifizierung

Die Zertifizierung des Penetrationstests erfolgt im Anschluss an die Testdurchführung. Der Penetrationstester führt daher unter Beachtung der geforderten Dokumentationspflichten den Penetrationstest in gewohnter Weise durch.

Im Anschluss an den Penetrationstest wird ein Antrag auf Zertifizierung der Tests bei der datenschutz cert GmbH gestellt. Die Zertifizierungsstelle benennt einen Auditor, welcher vom Penetrationstester die benötigten Unterlagen (Prüfvereinbahrung, Testprotokoll und Testreport) erhält. Auf der Basis dieser Unterlagen und evtl. Rückfragen wird der Auditbericht erstellt. Nach einer Prüfung des Auditberichts durch die datenschutz cert GmbH wird der Penetrationstest zertifiziert.

Der Penetrationstester kann dann durch Vorlage des Zertifikates gegenüber seinem Kunden die Qualität und die sachgerechte Ausführung des Tests nachweisen.

Zertifikatsliste

Eine Liste unserer Zertifizierungen können Sie hier abrufen: Zertifikatslisten

Kosten/Gebühren

Die Kosten für den zertifizierten Penetrationstest sind stark abhängig vom konkreten Test. Für ein konkretes Angebot sprechen Sie uns bitte einfach an!

Das Zertifikat zum Penetrationstest beinhaltet selbstverständlich:

  • Prüfung und Bewertung durch einen Auditor;
  • Erstellung eines ausführlichen und aussagekräftigen Auditreports;
  • Zertifizierung mit Ausstellung des Zertifikats;
  • Listung des Zertifikats (i.d. R. 3 Jahre).

Akkreditierung

Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) gemäß ISO 27006 akkreditierte Zertifizierungsstelle für ISO 27001-konforme Informationssicherheits-Managementsysteme.