Die Maßnahme A18.2.1 der ISO 27001:2013 fordert eine unabhängige Überprüfung der Informationssicherheit. Damit ist nicht nur das interne Audit gemäß Abschnitt 9.2 der Norm gemeint, sondern auch technische Prüfungen – z.B. in Form von Penetrationstests.
Penetrationstests (Pentest) haben das Ziel den aktuellen technischen Status einer Anwendung und deren Infrastruktur auf technische Schwachstellen zu untersuchen, um diese zu beheben. Grundsätzlich handelt es sich bei einem solchen Test immer um eine Momentaufnahme. Ein Pentest garantiert daher niemals die vollständige Sicherheit einer Anwendung. Im Sinne der ISO 27001 würde man bei der Behebung einer Schwachstelle von einer „Korrektur“ sprechen.
Die ALPS GmbH begleitet regelmäßig ISO 27001 Projekte und Audits sowie Projekte mit Sicherheitsrelevanz an dessen Ende oft ein Penetrationstest steht. In diesem Zusammenhang ist die „Korrektur“ ein Standardvorgehen. Aus unserer langjährigen Erfahrung konnten wir immer wieder feststellen, dass in vielen Fällen nach der „Korrektur“ Schluss ist und die notwendige „Korrekturmaßnahme“ fehlt.
Eine „Korrekturmaßnahme“ hat zum Ziel die Ursache für eine Schwachstelle oder eine Fehlkonfiguration zu identifizieren und abzustellen, um somit die internen Prozesse kontinuierlich zu verbessern.
Beispiel: In einem Pentest wurde festgestellt, dass eine Webanwendung in bestimmten Fällen aussagekräftige Fehlermeldungen anzeigt. Diese Informationen kann ein Angreifer nutzen, um weitere Informationen über die verwendete Technik oder den internen Zustand der Anwendung zu erhalten und kann diese Schwachstellen ausnutzen.
Die „Korrektur“ ist in den meisten Fällen einfach: der Webserver wird so konfiguriert, dass er eine Standardfehlermeldung erzeugt und die Detailinformationen in ein internes Fehlerlog schreibt. Solche Maßnahmen sind der Regelfall und weder mit hohen Kosten noch mit hohem Aufwand verbunden. Die Ursache für die Entstehung der Schwachstelle wird mit einer reinen „Korrektur“ allerdings nicht behoben.
Nun folgt die „Korrekturmaßnahme“, um systematische Probleme abzustellen. Im Sinne der kontinuierlichen Verbesserung (Plan-Do-Check-Act) muss für die „Korrekturmaßnahme“ die Frage beantwortet werden: „Wie konnte dieser Fehler passieren und wie stellen wir sicher, dass es nicht wieder vorkommt?“
Für das o.g. Beispiel würde man folgende Fragen klären:
Zuletzt gilt es zu klären an welchen anderen Stellen und bei welchen anderen Anwendungen das Problem möglicherweise auch besteht.
Um das Sicherheitsniveau in Ihrem Unternehmen stetig zu steigern, muss sichergestellt werden, dass identifizierte Schwachstellen erkannt und kontinuierlich bearbeitet werden. Wir helfen Ihnen gerne bei der Definition und Umsetzung von „Korrekturen“ und „Korrekturmaßnahmen“, damit Sie in Zukunft Ihre Ressourcen zielorientierter einsetzen können.
Senden Sie uns Ihre Anfrage – wir freuen uns auf die Zusammenarbeit mit Ihnen!
Ihr ALPS-Experten-Team