5. August 2013 - Kontrolle der Datensicherheit

Sicherheitstest: So können Hacker dem Datenschutz helfen

Ethical Hacking kann dabei helfen, unbekannte Schwachstellen in der eigenen IT aufzuspüren. Damit das Hacking dem Datenschutz wirklich nützt und keine Daten in Gefahr bringt, muss allerdings einiges beachtet werden.

so-konnen-hacker-dem-datenschutz-helfen.jpeg
Vorsicht beim Datenschutz: Ein simulierter Hacker-Angriff könnte beim Überprüfen der IT-Sicherheit hilfreich sein. (Bild: Thinkstock)

Hacking auf Bestellung

Aufgeregt kommt der Systemadministrator in das Büro des Chefs. „Wir werden angegriffen“, so die Meldung an den Geschäftsführer. Die Antwort erstaunt den Administrator. „Prima, mein Bester, dann haben Sie es ja bemerkt.“ Ob wirklich alles prima ist, ist allerdings die Frage.

Der Geschäftsführer hatte den Hacker-Angriff bestellt, als Test der internen IT-Sicherheit. Damit der Sicherheitstest realistisch ist, wurde die Systemadministration nicht vorab informiert. Ein echter Hacker würde dies schließlich auch nicht tun. Doch was ist mit Ihnen als Datenschutzbeauftragten? Wären Sie ebenfalls überrascht von dem simulierten Angriff oder hätte die Geschäftsleitung Sie im Vorfeld einbezogen?

Ein Test für die Datensicherheit, nicht für den DSB

Vielleicht glauben Sie nun, auch Ihnen sollte man im Vorfeld nichts mitteilen, wenn ein guter Hacker, auch White-Hat-Hacker oder Ethical Hacker genannt, beauftragt wird. Das ist aber ein Irrtum. Ihre Aufgabe ist es nicht, selbst bei Angriffen Alarm zu schlagen, sondern Ihre Aufgabe ist es, die technisch-organisatorischen Maßnahmen der Datensicherheit zu prüfen, ob diese geeignet sind, den Datenschutz zu gewährleisten. Ein simulierter Hacking-Angriff gehört aber zu den Sicherheitsmaßnahmen und stellt einen sogenannten Penetrationstest dar, also einen versuchten Systemeinbruch.

Auch Sicherheitstests können Datenrisiken darstellen

Wie jede Sicherheitsmaßnahme und jeder Sicherheitstest kann auch beauftragtes Hacking fehlschlagen und selbst zum Datenrisiko werden. Wenn sensible Daten von dem Auftrags-Hacking betroffen sein könnten, müssen Sie vorab prüfen, ob und wie dies sicher ausgeschlossen werden kann.

Mögliche Risiken bei White-Hat-Hacking sind Datenverlust, auch wenn der Angriff nur simuliert wird, ungewollter Datenabfluss, wenn eine Schwachstelle außer Kontrolle gerät oder die Simulation einfach zu weit geht, aber auch Datenmissbrauch, wenn der beauftragte Hacker nicht so vertrauenswürdig ist, wie es scheint. Werden Hacking-Tests geplant, müssen Sie somit die Datensicherheit während des Tests hinterfragen, denn zu keinem Zeitpunkt dürfen die personenbezogenen Daten einer Gefahr ausgesetzt werden.

So prüfen Sie Hacker-Tests

Sprechen Sie deshalb mit Ihrer Geschäftsleitung und klären Sie, ob simulierte Attacken geplant sind. Sagen Sie direkt und ungefragt Ihre absolute Verschwiegenheit zu, auch für den Fall, dass Sie den Administrator am liebsten warnen würden, denn letztlich werden seine Sicherheitsmaßnahmen hinterfragt.

Denken Sie daran, dass es immer um den Datenschutz geht und die Ergebnisse des Ethical Hackers dabei helfen sollen, die Datensicherheit weiter zu verbessern. Der IT-Leitung und der Administration sollte es daran gelegen sein, mögliche Schwachstellen sichtbar zu machen, damit diese behoben werden.

Für Ihre eigene Bewertung des geplanten Hackings sollten Sie insbesondere klären: Welches Ziel soll der simulierte Angriff  haben und welche Zielsysteme? Was also soll angegriffen werden? Welche Datenkategorien können davon betroffen sein? Wie wird der Auftrags-Hacker ausgewählt? Wird der Hacker vertraglich auf das Datengeheimnis verpflichtet? Wie wird er überwacht? Wer wird die gefundenen Schwachstellen umgehend beheben?

Tipp: Auch auf die Qualifikation kommt es an

Ähnlich wie bei einer Auftragsdatenverarbeitung sollte der Anbieter der Sicherheitsdienstleistung genau überprüft werden. Ein wichtiger Punkt ist die Qualifikation, denn nicht jeder, der sich Hacker nennt, hat auch die Fähigkeit, Sicherheitslücken zu entdecken, ohne selbst Schaden anzurichten. Hilfreich ist es, wenn Sie auf bekannte Zertifizierungen achten wie zum Beispiel Certified Ethical Hacking (CEH).

Weitere Hinweise finden Sie in der Checkliste „Hacking als Sicherheitstest“:


Download:


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln