Nina Wagner, CEO von unserem Mitglied MindBytes GmbH, ist Co-Herausgeberin eines wichtigen Buchs zum Pentesting.
Von Matthias Kampmann
Wer nicht in der IT-Sicherheitsbubble unterwegs ist, hält das Wörtchen vielleicht für eine Vokabel, mit der man das Testen von Kugelschreibern bezeichnet: Pentesting. Allerdings handelt es sich um einen Kernbegriff der gegenwärtigen Informationssicherheit. Es ist eine Abkürzung, wie so vieles in der IT. Ausgeschrieben wird vielleicht klar, was damit gemeint ist: Penetration Testing. Also der Check, wie man eindringt: in Systeme, in Organisationen. Damit ist längst nicht alles geklärt. Daher ist es von Vorteil, sich bei den richtigen Leuten Rat zu holen, um das Instrument sinnvoll und bewusst in seiner Organisation einsetzen zu können. Also hat sich Nina Wagner, Geschäftsführerin unseres Mitglieds MindBytes GmbH, mit einem Autorenteam daran gemacht, Licht ins Dunkel des rechtsgerechten Einbruchs zu werfen. Mit ihrem Buch „Penetrationstests erfolgreich einsetzen. Praxisleitfaden, Regulatorik, KI-Einflüsse“, das sie zusammen mit Horst Speichert, Stephen Fedtke und Bernhard C. Witt herausgegeben hat, entfaltet sie auf 273 Seiten ein enormes Wissensspektrum rund um das Thema „Sicherheit durch aktive Schwachstellenanalyse“.
Pentest-Buch, Springer, Nina Wagner
Es gibt gute Gründe, sich mit dem Pentesting zu beschäftigen. Einer davon ist die negative Kreativität von Verbrechern: „Die Motivationsgründe zur Ausnutzung von Schwachstellen sind vielfältig und der Kreativität sind kaum Grenzen gesetzt.“ Das beziffern die Jahres- und Lageberichte von BSI und Bitkom mit Verlusten in dreistelliger Milliardenhöhe. Daher ist es sinnvoll, dass Lücken wie Techniken und Tools im Buch zur Sprache kommen. Für die Projektplanung wichtig: Jede Art des Pentestings wird mit einer ungefähren Dauer greifbar. Kund:innen wissen dann, was sie erwartet, potenzielle Pentester:innen lernen, wie lange ein Job braucht. Welche Einflussfaktoren eine Rolle spielen, kommt auch ans Licht. Das inkludiert übrigens Mainframes, Cloud, OT-Umgebungen und Gebäude und Co., was den panoramatischen Blick des Buchs unterstreicht.
In bester Praxis startet Nina Wagner das Werk mit einem Kapitel zur begrifflichen Schärfe. Sie problematisiert: „Was Pentests sind, ist – im juristischen Jargon gesprochen – nicht legaldefiniert. Das bedeutet, dass der Begriff von verschiedenen Personen und Organisationen verschieden ausgelegt werden kann – und wird.“ Das kann, muss aber kein Dilemma erzeugen. Sie fährt fort mit einer klaren, abstrakten Definition: „In einem Pentest decken beauftragte Expert:innen Schwachstellen und Sicherheitsdefizite in einem festgelegten Testgegenstand innerhalb eines festgelegten Zeitfensters auf, um proaktiv Sicherheitsrisiken zu identifizieren, zu bewerten und nachfolgend beheben zu können.“ Damit wird die Richtung klar. Bevor eine Organisation überhaupt Maßnahmen zur Absicherung ihrer Assets ergreifen kann, muss es Erkenntnisse um den Zustand geben. Diesen herauszufinden ist nicht einfach. Die Lektüre hilft, die richtigen Fragen zu stellen, die richtigen Hebel ansetzen, um das zu schaffen. Und dann geht es ins Geschehen selbst: Wie läuft ein Projekt ab? Wie sieht das Vorgehen aus? Was ist erlaubt? Wie geht man mit Störungen um? Wer ist beteiligt? Wie läuft der Pentest ab? Wie werden Ergebnisse dokumentiert und bewertet?
Das Buch bietet den Vorteil, dass man das Wissen umgehend einsetzen kann. Denn es bringt den Leser:innen nicht nur die Komplexität, sondern auch das Umfeld des Pentestens näher, seien es nun Schlüsselwörter wie Designentscheidungen, die dem Vorgang eine Gestalt geben und das Testen grundordnen, sei es, Pentesting als Instrument zur Erfüllung rechtlicher Anforderungen zu verstehen. Abstecher in die NIS-2-Richtlinie begründen Kontexte der Vorgehensweisen und liefern Ansätze, aus dem Pentesten heraus die neue Regulatorik zu verstehen. Aber nicht nur dort rücken potenzielle Leistungsnehmer:innen in den Blick. Ein gesamtes Kapitel beschreibt, wie Dienstleistungen sachgerecht beurteilt werden können. Ein gesamter Abschnitt widmet sich den Regulatoriken um KRITIS, BSIG, NIS2, DORA, TLTP und dem weniger bekannten Rahmenwerk TIBER-DE „für bedrohungsgeleitete ethische Hacking-Übrungen“.
Es gibt auch einen Abschnitt, der sich mit dem rechtlichen Rahmen auseinandersetzt, in dem die Pentests selbst stattfinden. Denn eine Organisation liefert sich, grob vereinfachend gesprochen, zu Teilen aus. Das muss auf rechtlich sicherem Grund geschehen. Denn solch ein Eingriff gibt gegebenenfalls Zugriff auf personenbezogene Daten. Daher muss auch ein Blick auf die DSGVO gerichtet werden. Der berühmt-berüchtigte „Hackerparagraf“ 202c Strafgesetzbuch, kommt natürlich auch ins Spiel. Sein Zugreifen muss ausgeschlossen werden. Das alles hat Einfluss auf die Verträge zwischen Dienstleistenden und Kund:innen. Der Blick auf Verfahren der KI rundet die Praxis um das Pentesting sinnvoll ab. Auch hier wird rundum geschaut: KI als Ziel, KI als Tool.
Niemand mag es, wenn einem nachgewiesen wird, dass etwas so ist, wie es nicht sein sollte. Jetzt kommt ein bisschen Organisationsklima ins Spiel: Auch das ist auf dem Schirm von Nina Wagner und dem Autor:innenteam, das ganzheitlich zur Sprache bringt, dass Unternehmens- und Fehlerkultur im Zusammenhang mit Pentesting eine große Rolle spielen. Und die Lektüre verdeutlicht: Alles Tun rund ums Pentesting beginnt und endet mit uns Menschen.
Nina Wagner, Horst Speichert, Stephen Fedtke, Bernhard C. Witt (Herausgeber): Penetrationstests erfolgreich einsetzen: Praxisleitfaden – Regulatorik – KI-Einflüsse. Springer Vieweg, Wiesbaden 2025, ISBN: 978-3-658-47261-0, 49,98 (Broschur), 36,99 (eBook)