Skip to main content

Der Penetrationstest als Instrument der Internen Revision

  • Chapter
IT-Revision, IT-Audit und IT-Compliance

Zusammenfassung

Der Penetrationstest ist ein mächtiges Instrument, um die Unternehmens-IT gegen alltägliche Angriffe vorausschauend abzusichern. Das vorliegende Kapitel stellt den Penetrationstest in seiner Funktion als Qualitätssicherungsmaßnahme auch für Nicht-IT-Experten eingängig und mit praktischem Bezug vor. Dabei wird unter anderem aufgezeigt, welche qualitativen Mehrwerte eine Integration von Penetrationstests in Prüfpläne generiert.

Der erste Schwerpunkt liegt auf der Art und Weise, wie ein Revisor ein Angriffsszenario spezifiziert. Die wichtigsten Spezifika sind dabei: Angriffsursprung, Angriffsziel, Testtiefe, Testmittel, Wissensstand und Motivation des Täters. Ferner ist vom Revisor zu entscheiden, ob es sich um angekündigte oder unangekündigte Tests handelt, ein offensichtliches oder verdecktes Vorgehen eingesetzt wird und wie hoch die Aggressivität des Täters ist. Auch wie die Testszenarien geschickt gebündelt werden können (Clustering), wird erläutert, da hier Potenziale zur Kosten- und Zeitersparnis liegen.

Um die Integration von Penetrationstests in Revisionsprüfpläne zu erleichtern, werden praktische Beispiele und Auswahlkriterien zur Entscheidungshilfe aufgeführt. So werden etwa Möglichkeiten aufgezeigt, wie Kosten minimiert und Budgets optimal eingeteilt werden können. Darüber hinaus wird auch den relevanten Fragen bezüglich der bestehenden Rechtslage sowie realen Risiken und dem Umgang derselben in der Praxis nachgegangen.

Mit der zunehmenden Professionalisierung und dem Branchenboom stieg in den vergangenen Jahren auch die Anzahl der Penetrationstest-Dienstleister. Aus diesem Grund wird ebenfalls eine Reihe von Kriterien aufgelistet, die es erleichtern soll, den richtigen Anbieter für eine langfristige partnerschaftliche Zusammenarbeit zu finden.

This is a preview of subscription content, log in via an institution to check access.

Access this chapter

Subscribe and save

Springer+ Basic
EUR 32.99 /Month
  • Get 10 units per month
  • Download Article/Chapter or eBook
  • 1 Unit = 1 Article or 1 Chapter
  • Cancel anytime
Subscribe now

Buy Now

Chapter
USD 29.95
Price excludes VAT (USA)
  • Available as PDF
  • Read on any device
  • Instant download
  • Own it forever
eBook
USD 39.99
Price excludes VAT (USA)
  • Available as EPUB and PDF
  • Read on any device
  • Instant download
  • Own it forever

Tax calculation will be finalised at checkout

Purchases are for personal use only

Institutional subscriptions

Similar content being viewed by others

Notes

  1. 1.

    Es handelt sich dabei um ein durch eine oder zwei Firewalls abgeschottetes Netzwerk, das weder direkt im Internet noch im Corporate Network steht.

  2. 2.

    Für diese Vergleichsberechnung wird angenommen, dass ein Auto im Jahre 1980 ca. 100 Stundenkilometer fuhr und die Technologieentwicklung der Prozessoren (CPUs) im Zeitraum 1980 bis 2015 betrachtet. Das Maß stellt dabei die Transistoranzahl pro CPU dar.

  3. 3.

    Intrusion Detection System (IDS)/Intrusion Prevention System (IPS).

Literatur

  1. Microsoft Corporation. (2012). Microsoft Security Development Lifecycle (SDL) – Process Guidance. http://msdn.microsoft.com/en-us/library/windows/desktop/84aed186-1d75-4366-8e61-8d258746bopq.aspx. Zugegriffen am 15.01.2015.

  2. Heinrich K. (2014). Penetrationstester als Unterstützung der internen Revision. DuD-Datenschutz und Datensicherheit 8, S. 519–522.

    Google Scholar 

  3. Open Web Application Security Project. (2013). OWASP Top Ten Project. https://www.owasp.org/index.php/Top10. Zugegriffen am 15.01.2015.

Download references

Author information

Authors and Affiliations

Authors

Rights and permissions

Reprints and permissions

Copyright information

© 2015 Springer Fachmedien Wiesbaden

About this chapter

Cite this chapter

Schreiber, S. (2015). Der Penetrationstest als Instrument der Internen Revision. In: IT-Revision, IT-Audit und IT-Compliance. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-02808-4_7

Download citation

Publish with us

Policies and ethics