• Über uns
    • Dominik Sauer
    • Patrick Sauer
  • Kategorien
    • binsec
    • Datenschutz
    • Informationssicherheit
    • IT-Forensik
    • IT-Sicherheit
    • Netzpolitik
    • PCI DSS
    • Pentest
    • Presse
    • Studium
    • Unkategorisiert
    • Vorlesung
      • HDA
      • THB
    • Vorträge
    • Zertifizierung
  • Lehrveranstaltungen
    • Hochschule Darmstadt (HDA)
      • Internet-Sicherheit
      • IT-Sicherheitsmanagement & Compliance
      • Penetration Testing
      • Security of Web Applications
    • Technische Hochschule Brandenburg (THB)
      • PCI DSS
    • Technische Hochschule Mittelhessen (THM)
      • WK_2620 Secure Coding
      • WK_2621 Penetration Testing
      • WK_2622 Digitale Forensik
  • Impressum / Datenschutzerklärung
InfoSec Blog | Patrick Sauer & Dominik Sauer

Blog - IT Security - Pentest - Fun

IT-Grundschutz

i-Kfz: Anforderungen an Penetrationstests vom Kraftfahrt-Bundesamt (KBA)

7. Juni 2022 by Patrick Sauer Leave a Comment

Die „Mindestsicherheitsanforderungen an dezentrale Portale und Zulassungsbehörden“ zur „internetbasierten Fahrzeugzulassung (i-Kfz)“ vom Kraftfahrt-Bundesamt (KBA) sind außerordentlich umfangreich. Sie beinhalten neben der Architektur des i-Kfz-Systems, seiner Schnittstellen und daraus abgeleiteten Sicherheitsanfordeurngen unter anderem auch Anforderungen an die Durchführung eines Penetrationstests.

Zur Prüfung der Wirksamkeit der implementierten Sicherheitsmaßnahmen verlangt das KBA als Penetrationstest die Durchführung von:

  • IS-Kurzrevision (wenn keine ISO 27001/IT-Grundschutz-Zertifizierung vorhanden)
  • IS-Webcheck
  • IS-Penetrationstest

Alle o.g. Tests sind dabei als White-Box-Test durchzuführen und es darf nur fachlich qualifiziertes und unabhängiges Personal eingestetzt werden.

Als IS-Wecheck ist dabei ein nicht invasiver Schwachstellenscan (definierte Prüftiefe) mit manueller Validierung der Schwachstellen vorgesehen. Hierbei soll auf die OWASP Top 10 geprüft werden sowie die entsprechenden Module vom IS-Webcheck durchgeführt werden: „Modul 1 – Schwachstellensuche“, „Modul 2 – Schwachstellentest“, „Modul 3 – Logische Fehler/Konfigurationsfeher“ sowie „Modul 4 – Exploits (optional)“. Der Test ist dabei über das Internet durchzuführen und die Filterung eines vorgeschalteten Sicherheitsgateways ist dabei zu deaktivieren.

Im IS-Penetrationstest wird primär die technische Angriffsoberfläche einer Institution nach außen hin untersucht. Als Prüftiefe ist hier ein technischer Sicherheitsaudit in Kombination mit einem nicht-invasiven Schwachstellen-Scan definiert. Im Scope sind dabei mindestens alle Netzwerkelemente, Sicherheitsgateways, Server, Webanwendungen, relevante Clients und Infrastruktureinrichtungen zu prüfen, sofern technisch möglich und sinnvoll. Dabei sind folgende Module durchzuführen: „Modul 1 – konzeptionelle Schwächen“, „Modul 2 – Umsetzung Härtungsmaßnahme“, „Modul 3 – Bekannte Schwachstelle“ und „Modul 4 – Exploits (optional)“.

Hierbei ist zu erwähnen, dass die geforderte Prüftiefe erfahrungsgemäß eher als nicht-invasiver Penetrationstest ausgelegt werden sollte. Der Einsatz eines typischen automatisierten Schwachstellen-Scanners ist zur Analyse der gestellten Anforderungen technisch nicht ausreichend.

Posted in: Regulatorik Tagged: iKfz, IS-Kurzrevision, IS-Penetrationstest, IS-Webcheck, IT-Grundschutz, KBA, OWASP Top 10

Sprachen

  • Deutsch
    • English

Search

Categories

  • binsec
  • blackhole pentesting
  • Datenschutz
  • Fragen und Antworten (Q & A)
  • Informationssicherheit
  • ISO27001
  • IT-Forensik
  • IT-Sicherheit
  • Netzpolitik
  • PCI DSS
  • Pentest
  • Presse
  • Regulatorik
  • Studium
  • Unkategorisiert
  • Vorlesung
    • HDA
    • THB
    • THM
  • Vorträge
  • Zertifizierung

Copyright © 2023 InfoSec Blog | Patrick Sauer & Dominik Sauer.

Omega WordPress Theme by ThemeHall

  • Deutsch
  • English (Englisch)