Dieser Artikel wurde von der Penetrationstestfirma Software Secured verfasst und beigetragen, einem stolzen Partner von Secureframe.

ISO 27001 ist eines der beliebtesten Compliance-Frameworks weltweit. Doch zwischen der Einstellung von Beratern, der Einbeziehung von Prüfern, der Einrichtung neuer Prozesse und Tools und der Sicherstellung Ihres Sicherheitsstatus summieren sich die Gesamtkosten für die Compliance schnell. Zweifellos fragen Sie sich jetzt, was wirklich erforderlich ist und wie Sie den Nutzen jedes Dienstes maximieren können.

Welche Anforderungen stellt ISO 27001 in Bezug auf Penetrationstests und ähnliche Dienstleistungen? Und wie kann die Wahl von Penetrationstests tatsächlich den Return on Investment (ROI) Ihrer ISO 27001-Compliance steigern? Im Folgenden werden wir die Anforderungen aufschlüsseln und die Vorteile von Penetrationstests erklären.

Was ist ISO 27001-Compliance?

ISO 27001 ist ein internationales Compliance-Framework, das die Fähigkeit eines Unternehmens nachweist, die sensiblen Daten seiner Kunden zu schützen und sicher zu verwalten. Das ISO 27001-Framework wurde von der International Organization for Standardization (ISO) in Zusammenarbeit mit der International Electrotechnical Commission (IEC) erstellt. Es bietet Richtlinien für den Aufbau, die Aufrechterhaltung und die Verbesserung eines Informationssicherheitsmanagementsystems (ISMS), das sensible Daten schützen kann.

Durch die ISO 27001-Zertifizierung können wachsende Organisationen kostspielige Datenschutzverletzungen vermeiden, wettbewerbsfähige Differenzierung schaffen, die Geschäftsstruktur und -prozesse verbessern und Glaubwürdigkeit auf globalen Märkten nachweisen.

Die zuletzt überarbeitete Version von ISO 27001 wurde 2022 eingeführt, was bedeutet, dass alle Unternehmen, die für die vorherige Version (ISO 27001:2013) zertifiziert wurden, eine dreijährige Übergangsfrist auf das neueste Framework haben. Die neue Version umfasst 11 neue Kontrollmaßnahmen für Organisationen, Menschen, materielle Vermögenswerte und Technologien.

Was ist Penetration Testing?

Penetration Testing ist ein manueller, umfassender Sicherheitstestansatz. Dabei werden ethische Hacker (auch bekannt als „White-Hat-Hacker“) eingesetzt, die versuchen, in eine Anwendung oder ein System einzudringen, Schwachstellen zu finden und diese Sicherheitslücken zu melden – alles, um Unternehmen zu helfen, Probleme zu verstehen und zu beheben, bevor echte Hacker dies tun.

Während Penetrationstests in der Regel als einmalige Bewertung durchgeführt werden, können Unternehmen auch Penetration Testing as a Service (PTaaS) wählen, bei dem mehrmals im Jahr Pentests durchgeführt und ergänzende Dienstleistungen angeboten werden.

Wie Penetrationstests Organisationen helfen, die ISO 27001-Zertifizierung zu erlangen und ihre Sicherheitslage zu verbessern

Penetrationstests können Ihrer Organisation nicht nur dabei helfen, mehrere ISO 27001-Anforderungen zu erfüllen - sie können auch Ihre gesamte Sicherheitslage verbessern. Werfen wir unten einen Blick darauf.

1. Erfüllen Sie die Anforderungen der Anlage A-Kontrollen

Im Rahmen der Erlangung Ihrer ISO 27001-Konformität sind Sie verpflichtet, Risiken und Schwachstellen innerhalb aller Assets und Informationssysteme zu identifizieren, die in Ihren Konformitätsbereich fallen.

Einige der Kontrollen, die Ihnen Penetrationstests dabei helfen können, für ISO 27001 zu erfüllen, umfassen:

• Kontrollsatz A.11, der sich mit der physischen Perimetersicherheit befasst
• Kontrolle A.12.2.1, die sich mit Malware und bösartigem Code befasst
• Kontrolle A.12.6.1, die Sie auffordert, einen Prozess für die schnelle Handhabung technischer Schwachstellen zu entwickeln, sobald sie auftreten.
• Kontrolle A.13.2.3, bezüglich des Schutzes von Informationen, die digital übertragen werden (in internen Netzwerken und elektronischen Nachrichtensystemen)
• Kontrollsatz A.14.1, der erfordert, dass Informationen, die über öffentliche Netzwerke und in Servicetransaktionen übertragen werden, gesichert werden.
• Kontrolle A.14.2.3, die von Unternehmen verlangt, Systeme nach jeder signifikanten Änderung zu testen, um sicherzustellen, dass das System nicht negativ beeinträchtigt wird
• Kontrolle A.16.1.3, die sich mit der systematischen Meldung beobachteter oder vermuteter Systemschwachstellen befasst
• Kontrolle A.18.2.1, die eine unabhängige Überprüfung Ihrer Sicherheitskontrollen erfordert
• Kontrolle A.18.2.3, die von Unternehmen verlangt, ihre Praktiken und Kontrollen regelmäßig zu überprüfen, um sicherzustellen, dass sie den ISO 27001-Richtlinien entsprechen

2. Verstehen Sie Ihre gesamte Angriffsfläche

Alle Penetrationstest-Bemühungen beginnen mit einer Bedrohungsmodellierungssimulation, die die gesamte Angriffsfläche Ihrer Anwendung kartiert und mögliche Eintrittspunkte für einen Angriff identifiziert. Das Bedrohungsmodell kann vor jedem Penetrationstest neu durchgeführt werden, wenn Sie größere Änderungen vorgenommen haben, was mit Kontrolle A.14.2.3 übereinstimmt.

Andere Sicherheitstests wie automatisierte Schwachstellenscans berücksichtigen nicht unbedingt die Geschäftsdlogik Ihrer Anwendung. Das bedeutet, dass sie möglicherweise Schwachstellen in wichtigen Anwendungsfällen übersehen. Im Durchschnitt haben automatisierte Scanner 16 Schwachstellen pro getestetem Container nicht gefunden. Wenn Sie mit einem Penetrationstester arbeiten, kann dieser auch seine Gründe erläutern, warum er einen bestimmten Testansatz gewählt hat, was bei automatisierten Tools nicht der Fall ist.

3. Finden und beheben Sie Schwachstellen, bevor sie ausgenutzt werden

Es dauert im Durchschnitt 256 Tage, um eine kritische Schwachstelle zu beheben. Das sind fast neun Monate, in denen ein Hacker auf ein Problem stößt, das wahrscheinlich gefunden wird und extreme Konsequenzen für Ihr Unternehmen hat. Für 66% der kleinen Unternehmen führte ein Sicherheitsvorfall dazu, dass sie innerhalb von 6 Monaten nach dem Vorfall schließen mussten.

Im Gegensatz dazu dauert ein Penetrationstest einige Wochen. Innerhalb jedes Penetrationstests findet Software Secured durchschnittlich 26 Schwachstellen. Diese Schwachstellen früher zu finden bedeutet auch, dass Ihr Team schneller mit der Behebung beginnen kann.

Sobald Sie Ihre Sicherheitslücken behoben haben, wird ein erneuter Test bestätigen, ob Ihre Lösung ausreichend war. Dann erhalten Sie ein aktualisiertes Zertifikat, um Ihrem Prüfer und Ihren Anbietern zu zeigen, wie sicher Sie sind. Dies hilft Ihnen, Kontrolle A.16.1.3 zu erfüllen.

4. Vermeiden Sie Sicherheitstheater und falsche Positivmeldungen

Das Sicherheitstheater beschreibt Sicherheitsmaßnahmen, die uns das Gefühl geben, mehr für unsere Anwendung zu tun, als wir tatsächlich tun. Ein gutes und leider häufiges Beispiel für Sicherheitstheater ist, wenn automatisierte Schwachstellenscanner Schwachstellen als kritisch oder hoch einstufen, obwohl das nicht der Fall ist. Tatsächlich sind nur 82 % der von automatisierten Schwachstellenscannern bereitgestellten Ergebnisse relevant.

Andererseits erhalten Kunden von Penetrationstests einen Bericht, der Details zur Replikation und Empfehlungen zur Behebung aller gefundenen Schwachstellen enthält. Mit diesen Informationen besteht keine Möglichkeit, dass falsche Positivmeldungen in den endgültigen Penetrationstestbericht gelangen.

Für zusätzliche Sicherheit durchlaufen alle Software Secured Berichte einen Qualitätssicherungsprozess, bei dem mindestens ein anderer Pen-Tester versucht, jede identifizierte Schwachstelle erneut zu erstellen, um zu bestätigen, dass der Fund wahr ist und dass die Replikationsschritte sinnvoll sind.

5. Reduzieren Sie die Kosten für die Behebung um bis zu das 100-fache

Die Kosten für das Patchen einer Sicherheitslücke in der Entwurfsphase betragen ungefähr 500 $ pro Problem. Schwachstellen, die in der Testphase gefunden werden, sind 15 mal teurer als die, die in der frühesten Phase des Softwareentwicklungslebenszyklus (SDLC) gefunden werden. Noch schlimmer ist, dass Schwachstellen, die in der Wartungsphase gefunden werden, 100-mal teurer sind als die, die in der Entwurfsphase gefunden werden.

Das bedeutet, dass die durchschnittliche Schwachstelle in einem alten Softwareprodukt Ihrem Team bis zu 50.000 $ pro Schwachstelle kosten könnte, um sie korrekt zu beheben. Da Systeme wachsen und altern, wird es teurer und schwieriger, Sicherheitsprobleme zu beheben, insbesondere wenn Sicherheitslücken auf unsicheren Konstruktionsfehlern beruhen, die beim ursprünglichen Aufbau der Anwendung gemacht wurden.

Es versteht sich von selbst, dass je früher Sie testen, desto niedriger die Kosten für die Behebung sein werden. Mit Serviceoptionen wie Penetration Testing as a Service (PTaaS) können Sie Ihre Anwendung bis zu 4 Mal pro Jahr testen. Dies führt nicht nur zu erheblichen Kosteneinsparungen bei den Behebungsmaßnahmen und dem Nachweis Ihrer Sicherheitsreife gegenüber Kunden, sondern hilft Ihnen auch, Control A.18.2.3 zu erfüllen – die umfassende Kontrolle, die sich auf die regelmäßige Überprüfung Ihrer Systeme zur Gewährleistung der Sicherheit und Compliance bezieht.

6. Beweisen Sie Ihre Sicherheitslage gegenüber Ihrem Prüfer

Offensichtlich benötigen Sie eine Möglichkeit, Ihre Sicherheitslage gegenüber Ihrem Prüfer nachzuweisen, um Control A.16.1.3 zu erfüllen, das von Ihnen verlangt, eine unabhängige Überprüfung Ihrer Sicherheitskontrollen durchzuführen. Sie müssen auch eine Möglichkeit haben, jede Sicherheitslücke gemäß Control A.14.2.3 zu melden.

Mit Penetrationstests erhalten Sie eine systematische Möglichkeit, Schwachstellen zu finden, zu dokumentieren (mit Beweisen und Replikationsschritten) und dies alles nachzuweisen. Es gibt mehrere Arten von Dokumenten, die Sie von Ihrem Penetrationstest-Anbieter erhalten können, darunter:

• Ein Penetrationstestbericht, der alle Details zu jeder Schwachstelle enthält. Dies ist hauptsächlich für Ihre internen Teams nützlich.
• Ein Penetrationstestzertifikat, das einen umfassenderen Überblick über Ihre Sicherheitslage bietet und keine spezifischen Details zu jeder Schwachstelle enthält. Dies ist hervorragend geeignet, um es mit Ihrem Prüfer oder Unternehmensanbietern zu teilen.
• Ein Engagementschreiben, das bestätigt, dass Ihr Unternehmen plant, in naher Zukunft einen Penetrationstest durchzuführen.

7. Reduzieren Sie Ihre Cyberversicherungsprämien

Cyber-Versicherung (auch bekannt als Cyber-Haftpflichtversicherung) wird von vielen Anbietern gefordert, die sicherstellen möchten, dass sie im Falle eines Angriffs oder einer Verletzung bezahlt werden. Der aktuelle Tarif für Cyberversicherungen beträgt etwa 1.500 $ pro Jahr für 1 Million $ Deckung mit einem Selbstbehalt von 10.000 $.

Beachten Sie, dass der durchschnittliche Kosten einer zerstörerischen Attacke im Jahr 2022 5,12M US-Dollar betrug, was bedeutet, dass Sie eine viel höhere Rate oder ein Konto voller Geld benötigen, um Anwälte, Strafen und zusätzliche Betriebskosten im Falle eines Verstoßes zu bezahlen (vorausgesetzt, die Hacker haben nicht auch Ihr Geld gestohlen).

Penetrationstests können Ihr Angriffsrisiko erheblich reduzieren, was wiederum Cyber-Versicherungen dazu veranlasst, Ihnen einen niedrigeren Tarif anzubieten. Ihrem Versicherungsunternehmen nachzuweisen, dass Sie Ihre Dienstgütevereinbarungen (SLAs) einhalten und keine kritischen Schwachstellen aufweisen, ist ein guter Anfang.

8. Verbessern Sie die Effizienz Ihres Entwicklungsteams

Das erste Mal, dass Sie mit einem Penetrationstest-Anbieter zusammenarbeiten, wird möglicherweise nicht reibungslos verlaufen. Am Anfang könnte Ihr Entwicklungsteam Schwierigkeiten haben zu verstehen, wie Schwachstellen in die Anwendung eingebaut werden und warum es wichtig ist, diese zu beheben (anstatt neuen Code zu produzieren, um das Unternehmenswachstum voranzutreiben).

Mit der Zeit werden die Entwickler Einblicke in das „Warum“ und „Wie“ von Schwachstellen gewinnen. Beim Schreiben neuen Codes können sie dieses neue Wissen anwenden und somit die Anzahl der Schwachstellen in den Phasen Entwurf, Test und Wartung des SDLC verringern.

Wenn ein Entwicklungsteam weiß, dass ihre Bemühungen zur Behebung von Sicherheitsproblemen dem Unternehmen bei einer wichtigen Geschäftsinitiative wie der Erreichung der ISO 27001-Zertifizierung helfen, fördert dies Sicherheits-Champions und zeigt allen Teammitgliedern, wie ihre Arbeit das gesamte Unternehmenswachstum direkt beeinflusst.

Wie Secureframe + Software Secured helfen können

Wenn Sie sich konformitätsbemühen, gibt es gleichzeitig viel zu tun. Und die damit verbundenen Kosten sind schwer zu verschmerzen, besonders für ein kleines Unternehmen, das gerade versucht, seine Liste von Firmenkunden zu erweitern.

Penetrationstests können Ihnen helfen, den ROI Ihrer ISO 27001-Konformität zu steigern, indem sie Ihnen ermöglichen, mindestens 9 erforderliche Kontrollen zu erfüllen, die Effizienz Ihres Teams insgesamt zu verbessern und Ihnen die Informationen zu geben, die Sie benötigen, um Ihre App sicher zu machen. Erfahren Sie mehr über die Pentest 360-Option von Software Secured, die bei Anbietern, die zum ersten Mal die ISO 27001-Konformität erreichen, am beliebtesten ist.

Automatisierung der Konformität kann die anderen mit der ISO 27001-Konformität verbundenen Kosten erheblich reduzieren, indem sie den gesamten Prozess effizienter gestaltet.

Die Sicherheits- und Datenschutzkonformitätsplattform von Secureframe rationalisiert den Aufbau eines konformen ISMS, das Schreiben von Richtlinien, das Sammeln von Nachweisen und das Risikomanagement, sodass sich Ihr Team auf Projekte mit hoher Priorität konzentrieren kann. Und unser Team von internen Konformitätsexperten spart unseren Kunden Tausende von Dollar an Beratergebühren und Bereitschaftsbewertungen. Fordern Sie noch heute eine Demo an.