NIS2 und Penetrationstests – Pflicht oder Kür?

Die neue NIS2-Richtlinie der EU ist seit Anfang 2023 in Kraft. Sie betrifft nicht mehr nur klassische KRITIS-Betreiber, sondern auch eine breite Palette „wichtiger Einrichtungen“, darunter: Die NIS2 schreibt Penetrationstests nicht explizit vor, verlangt aber Maßnahmen, deren Umsetzung ohne Penetrationstests kaum sinnvoll und prüfbar ist. Artikel 21 der Richtlinie definiert eine zentrale Pflicht: Die Mitgliedstaaten … [Read more…]

Datenschutz beim Pentest: Was an personenbezogenen Daten wirklich anfällt

Was genau an personenbezogenen Daten bei einem Penetrationstest verarbeitet wird, hängt stark vom Testgegenstand ab. Grundsätzlich kann man aber die folgenden Kategorien unterscheiden. 1. Ansprechpartner beim Kunden Ohne geht’s nicht: Der Pentester braucht Ansprechpersonen. Typischerweise werden hier Name, Position, dienstliche Mailadresse und Telefonnummer verarbeitet – in Mails, im Kalender, im Bericht. Diese Informationen sind meist … [Read more…]

Anforderungen an Penetrationstests nach ISO IEC 81001-5-1

Die IEC 81001-5-1 definiert Anforderungen an den Lebenszyklus für die Entwicklung und Wartung von Gesundheitsanwendungen und die Informationstechnik innerhalb von Medizingeräten. Um dies zu erreichen stellt die Norm Anforderungen an verschiedene Prozesse im Lebenszyklus eines Medizingeräts und gliedert sich primär in folgende Anforderungskategorien. Innerhalb vom Software Development Process gibt es die Anforderung an das Software … [Read more…]

Penetrationstest nach MDR (Medizinprodukteverordnung)

Die MDR verlangt im Anhang I bei „Produkte, zu deren Bestandteilen programmierbare Elektroniksysteme gehören, und Produkte in Form einer Software“ unter Punkt 17.2 die Verifzierung und Validierung, dass das Produkt bzw die Software nach dem Stand der Technik entwickelt wurde – aus der Perspektive der IT-Sicherheit: 17.2 Bei Produkten, zu deren Bestandteilen Software gehört, oder … [Read more…]

Penetrationstest-Anforderungen des Microsoft 365-App-Compliance-Programms

Die Teilnahme am Compliance-Programm für Microsoft 365-Zertifizierungs von Apps für Teams-Anwendungen, SharePoint-Apps/Add-Ins, Office-Add-Ins und WebApps erfordert die Durchführung eines Penetrationstests. Bei der Erstdokumenteneinreichung muss ein Unternehmen Unterlagen und Nachweise einreichen. Neben anderen Doikumenten ist ein Bericht von einem Penetrationstest erforderlich, der innerhalb der letzten 12 Monate abgeschlossen wurde. Der Pentest muss der Live-Umgebung prüfen, die … [Read more…]

Better Pentesting – No Bullshit

Eigentlich hätte es eher schon BETTER PENTESTING – NO BULLSHIT heißen müssen, wenn man die Werbe- und Verkaufsversprechen vieler Anbieter für Pentesting sieht. Etwas abgeschwächt ist es dann BETTER PENTESTING – NO NONSENSE als neuer Werbe-Slogan für Pentesting der binsec GmbH geworden. Wie man auf den ganzen Bullshit – sorry Nonsense – vieler anderer Pentesting … [Read more…]

Enterprise Security Magazine Europe: binsec als einer der Top Cyber Security Solution Provider anerkannt

Heute habe ich eine sehr nette Mail von Gloria vom Enterprise Security Magazine Europe erhalten, in der mir mitgeteilt wird, dass binsec einer der Top Cyber Security Solution Provider ist. Hi Patrick, I am Gloria Lam with Enterprise Security Magazine Europe. I am excited to inform you that our magazine’s evaluation panel has shortlisted binsec … [Read more…]

Lohnen sich VPN Dienste – Sinnvoll oder Abzocke?

Anbieter von VPN Diensten werben mit dem Versprechen das Surfen im Internet sicherer zu machen und die Privatsphäre zu schützen. Auch ermöglichen sie es Streaming Dienste aus anderen Ländern zu nutzen. Aber das ist nicht genug, sie sollen sogar bares Geld beim Online-Shopping sparen. Beeindruckend. Aber stimmt es – sind VPN Dienste sinnvoll? Ich wurde … [Read more…]

Wie Kali Linux lernen?

Ich lese das im Netz oft: Ich arbeite mich in Kali Linux ein! Ich will Kali Linux lernen! Ich habe mir schon Kali installiert  – was jetzt? Aber was ist überhaupt Kali Linux? Wie lernt man Kali Linux? Und steht es wirklich zurecht so stark im Fokus? Was ist Kali Linux? Kali Linux ist eine … [Read more…]

Die österreichische Sicherheits-ÖNORM A 7700 für Webapplikationen

Manche Normen können überraschen, sogar positiv. Die österreichische ÖNORM A7700 stellt Sicherheitsanforderungen an Webapplikationen. Obwohl die A7700 in Deutschland weitestgehend unbekannt ist, lohnt es sich dennoch einen Blick auf die Norm der Republik Österreich zu werfen. Die Vorversion der ÖNORM A7700 wurde als ONR 17700 zwischen 2004 und 2005 entwickelt. Seit 2008 ist sie als ÖNORM der definierte … [Read more…]