Information Technology Reference
In-Depth Information
Vergangenheit sehr schlechte Arbeit gemacht hat. Will man im Anschluss an den
Test nicht in ein Konflikt-Chaos stürzen, sollte man sich Gedanken über das Worst
Case Szenario machen, durch das sich viele vor den Kopf gestoßen fühlen könnten.
Angefangen bei Geschäfts- und Behördenleitung, über das IT-Personal, bis hin zu
den Security-Experten: Für jeden kann ein Pen-Test ein Experiment mit offenem
Ausgang sein.
Die größten Schwierigkeiten können entstehen, wenn sich die Chefs falschen
Hoffnungen hingegeben haben. Sie müssen sich auf ihre Fachleute verlassen. Auch
wenn sie ihnen nicht die nötige Unterstützung gegeben haben, werden sie die
Schuld für ein schlechtes Abschneiden wohl kaum bei sich selbst, sondern bei den
Sicherheitsexperten suchen. Dieser Eindruck muss natürlich unter allen
Umständen verhindert werden, sonst stehen IT-Sicherheitsbeauftragte,
Datenschützer und Co. nach dem Test schlechter da wie vorher. Ebenso wenig
sinnvoll ist es, vom schlimmsten Fall auszugehen, und dann passiert nichts. Wenn
der Chef am Ende sagt,
„ist ja dann doch nicht alles so schlimm wie Sie immer sagen“
,
haben Sie sich einen Bärendienst erwiesen. Das gute Ergebnis des Tests steht ihnen
dann selbst im Weg. Was also ist der richtige Weg?
Den Chefs muss von Anfang an klar werden, dass es sich beim Testergebnis um
eine Momentaufnahme eines kleinen Bereichs der gesamten Sicherheit handelt. Es
werden nie alle möglichen Angriffsvektoren geprüft und es werden auch nie alle
möglichen Bereiche des Unternehmens geprüft. Weder ein gutes, noch ein
schlechtes Ergebnis lassen also eine Aussage zur Gesamtsicherheit zu - das muss
den Beteiligten zuvor klar sein und in der Planungsphase berücksichtigt werden.
Wenn das IT-Personal durch ein schlechtes Ergebnis aus dem Tiefschlaf gerissen
wird, hat es sich die Suppe meist selbst eingebrockt - das ist einfacher. Trotzdem
bleiben Frustration und das Gefühl, von den Initiatoren des Pen-Tests ans Messer
geliefert worden zu sein.
Am besten ist es, wenn keiner der Beteiligten zu dem Test überredet werden
musste, sondern ihn von sich aus gewollt hat. Dafür ist es wichtig, bei diesen
vorher auf Tuchfühlung zu gehen und nicht gleich mit der Tür ins Haus zu fallen.
Dass ein Pen-Test für die IT-Administratoren sonst wie die Aufkündigung des
gegenseitigen Vertrauens aussieht, liegt auf der Hand. Eine gute Vorbereitung sind
die im vorigen Abschnitt besprochenen Vorführungen, die das Eis brechen
können. Hat der Administrator die Gefahr erst live vor Augen, ist er leichter bereit,
auch eigene Fehler zu vermuten und ihnen auf den Grund zu gehen.
