Penetrationstests sind f\u00fcr Betreiber kritischer Infrastrukturen verpflichtend. Im BSI-Gesetz unter dem Paragraph „8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen“ werden Unternehmen verpflichtet, angemessene organisatorische und technische Ma\u00dfnahmen zum Schutz ihrer kritischen Infrastruktur zu treffen:<\/p>\n\n\n\n
Gesetz \u00fcber das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG)
\u00a7 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen<\/p>(1) Betreiber Kritischer Infrastrukturen sind verpflichtet, sp\u00e4testens bis zum ersten Werktag, der darauf folgt, dass diese erstmalig oder erneut als Betreiber einer Kritischen Infrastruktur nach der Rechtsverordnung nach \u00a7 10 Absatz 1 gelten, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von St\u00f6rungen der Verf\u00fcgbarkeit, Integrit\u00e4t, Authentizit\u00e4t und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die f\u00fcr die Funktionsf\u00e4higkeit der von ihnen betriebenen Kritischen Infrastrukturen ma\u00dfgeblich sind. Dabei soll der Stand der Technik eingehalten werden.<\/p>Quelle: https:\/\/www.gesetze-im-internet.de\/bsig_2009\/__8a.html<\/cite><\/blockquote>\n\n\n\n
Die Ausf\u00fchrungen im eigentlichen Gesetz sind typisch allgemein und abstrahiert gehalten. Auch wenn im Wortlaut des \u00a78a keine Penetrationstests f\u00fcr KRITIS-Unternehmen vorgesehen werden, werden Pentests in der BSI-Ver\u00f6ffentlichung der umzusetzenden Ma\u00dfnahmen gefordert.<\/p>\n\n\n\n
Konkretisierung der Anforderungen an die gem\u00e4\u00df \u00a7 8a Absatz 1 BSIG umzusetzenden Ma\u00dfnahmen
Der KRITIS-Betreiber l\u00e4sst mindestens j\u00e4hrlich Penetrationstests durch qualifiziertes internes Personal oder externe Dienstleister durchf\u00fchren. Die Penetrationstests erfolgen nach einer dokumentierten Testmethodik und umfassen die f\u00fcr den sicheren Betrieb der kritischen Dienstleistung als kritisch definierte Infrastruktur-Komponenten, die im Rahmen einer Risiko-Analyse als solche identifiziert wurden. Art, Umfang Zeitpunkt\/Zeitraum und Ergebnisse werden f\u00fcr einen sachverst\u00e4ndigen Dritten nachvollziehbar dokumentiert. Feststellungen aus den Penetrationstests werden bewertet und mindestens bei mittlerer bis sehr hoher Kritikalit\u00e4t in Bezug auf die Vertraulichkeit, Integrit\u00e4t oder Verf\u00fcgbarkeit der kritischen Dienstleistung nachverfolgt und behoben. Die Einsch\u00e4tzung der Kritikalit\u00e4t und der mitigierenden Ma\u00dfnahmen zu den einzelnen Feststellungen werden dokumentiert.<\/p>Quelle: https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/KRITIS\/Konkretisierung_Anforderungen_Massnahmen_KRITIS.html<\/cite><\/blockquote>\n\n\n\nSomit sind f\u00fcr KRITIS-Betreiber j\u00e4hrliche Penetrationstests zwingend notwendig. Erfahrungsgem\u00e4\u00df haben die wenigsten KRITIS-Betreiber qualifiziertes internes Personal zur Durchf\u00fchrung von professionellen Penetrationstests und m\u00fcssen den Pentest von einem externen Unternehmen bzw. Dienstleister durchf\u00fchren lassen.<\/p>\n","protected":false},"excerpt":{"rendered":"
Penetrationstests sind f\u00fcr Betreiber kritischer Infrastrukturen verpflichtend. Im BSI-Gesetz unter dem Paragraph „8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen“ werden Unternehmen verpflichtet, angemessene organisatorische und technische Ma\u00dfnahmen zum Schutz ihrer kritischen Infrastruktur zu treffen: Gesetz \u00fcber das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG)\u00a7 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen (1) Betreiber … [Read more…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[250],"tags":[151,278],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-3403","6":"format-standard","7":"category-regulatorik","8":"post_tag-bsi","9":"post_tag-kritis"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3403","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=3403"}],"version-history":[{"count":15,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3403\/revisions"}],"predecessor-version":[{"id":3418,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3403\/revisions\/3418"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=3403"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=3403"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=3403"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}