Printed Monday, September 6, 2010
Pen-Tester sollten – auch vor dem Hintergrund der aktuellen Diskussionen um die Verschärfung der gesetzlichen Regelungen des Hacking – einige Punkte beachten, wenn sie den eigentlichen Pen-Test mit dem Kunden vereinbaren.
Wichtig ist auf jeden Fall, den genauen Zweck und die Legitimation detailliert zu beschreiben.
Die folgende (nicht abschließende oder vollständige) Liste soll hier weitere Aspekte liefern, die der Vollständigkeit und Sicherheit halber geregelt werden sollten.
1. Name der Firma, die einem Test unterzogen werden soll und vor allem auch die Name der Personen, die den Test durchführen sollen. Ist hierbei gewünscht, dass die Tester vor Beginn oder während des Testes zunächst unbekannt bleiben, so ist das Dokument seitens des Auftraggebers als streng vertraulich einzustufen. Ggf. kann über die Erstellung einer Anlage nachgedacht werden, die nur der Geschäftsleitung oder erst nach Abschluss des Tests zugänglich gemacht wird.
2. Regeln Sie genau den Zeitraum des Tests. Hier sollten der Beginn sowie der definitiv letzte Tag der geplanten Zugriffe benannt sein. Im Falle eines Schadens in den Zielsystemen außerhalb dieses Zeitraumes wollen Sie nicht verantwortlich sein!
3. Definieren Sie Zugriffstechniken und –methoden, die keinesfalls angewandt werden sollen. Dies gilt sowohl für technische Verfahren als auch für Verfahren aus dem Bereich des Social Engineering.
4. Je nachdem, ob das Team/der Tester Zugang zum Gelände haben soll, sollte vorher geklärt werden, in welchem Umfang
- der Zugang regulär erfolgen soll.
- Teile des Betriebsgeländes vom Zutritt ausgeschlossen werden sollen.
- die Möglichkeit des nicht-autorisierten Zutritts getestet werden soll.
5. Regeln Sie, in welchem Umfang die relevanten Systeme angegriffen werden sollen. Der „Abschuss“ von Systemen oder erhebliche Eingriffe in die Betriebsbereitschaft sollten unterlassen werden. Dies ist dann auch in der Vereinbarung festzuhalten.
6.Wenn War-Dialing Teil des Angriffes sein soll, regeln Sie vorher:
- welche Nummern vorher bekannt gegeben werden sollen.
- wer Zugriff auf diese Liste der Nummern haben soll (oder ist gewünscht, dass der/die Tester ein eingenes Discovery durchführen?).
- welche Telefonnummern auf keinen Fall angegriffen/angerufen werden sollen (z.B. Notfallnummern, Sammelnummern, virtuelle Nummern etc.)
7. Notfallnummern! Notfallansprechpartner! Wenn der Test nicht wie gewünscht verläuft oder technische Probleme auftreten, dann sollten Sie direkt in der Lage sein, eine verantwortliche Person zu verständigen.
Diese Liste ist sicher nicht vollständig. Weitere Vorschläge werden gerne aufgenommen.