Betreiber kritischer Infrastrukturen (KRITIS) müssen Informationssicherheit strukturiert umsetzen. Wir wurden von einem führenden Lebensmittelversorger, der als kritische Infrastruktur gilt, beauftragt, die Implementierung der KRITIS-Anforderungen zu begleiten.
Diese Case Study beleuchtet den Weg des Unternehmens von den ersten Schritten bis zur finalen Umsetzung der KRITIS-Anforderungen.
Ausgangsituationen und Ziele
Unser Kunde stand vor der Herausforderung, ein Informationssicherheits-Managementsystem (ISMS) von Grund auf neu aufzubauen. Dies sollte in einem Zeitrahmen von weniger als zwei Jahren geschehen. Aus Sicht unserer Consultants Till Bormann und Dennis Miara war der angewählte Zeitraum ambitioniert.
Deshalb legten sie den Fokus zunächst auf die Erfüllung des KRITIS-Anforderungskatalogs und dem Nachweis der KRITIS-Fähigkeit. Eine mögliche Zertifizierung nach ISO 27001 wurde für die Zukunft aber nicht ausgeschlossen. Ein Vorteil von KRITIS: Die Anforderungen sind im Vergleich zu anderen IT Security Frameworks wie die ISO 27001 oder der BSI IT-Grundschutz weniger umfangreich und können daher schneller umgesetzt werden. Gleichzeitig stellt die KRITIS-Fähigkeit einen wesentlichen Schritt in Richtung einer ISO 27001-Zertifizierung dar.
Die Herausforderung
Unsere Kollegen stellten sich dabei zwei großen Herausforderungen:
- Die Erstellung und Dokumentation der für das ISMS notwendigen Unterlagen
- Die Definition und Umsetzung von notwendigen Prozessen
Die Mitarbeitenden unseres Kunden hatten häufig wenig Zeit und kein ausreichendes Gesamtverständnis für die Beschreibung und Umsetzung der Prozesse. Dies betraf neben der im Fokus stehenden IT-Abteilung auch verschiedene andere Organisationsbereiche wie z.B. das Facility Management, Personal und den Einkauf.
Zudem gibt es im Unternehmen einen kritischen Fachkräftemangel, der den Projektfortschritt beeinträchtigen konnte. Unsere Kollegen, die zunächst nur beratend tätig sein sollten, wurden daher mit konkreten Aufgaben in das Projekt eingebunden, um das Unternehmen auch operativ zu unterstützen.
So haben wir die KRITIS-Anforderungen umgesetzt
Aufbau des ISMS und Dokumentation:
Unsere Berater haben gemeinsam mit dem Unternehmen ein ISMS aufgebaut und alle notwendigen Dokumentationen erstellt, abgestimmt und nach Freigabe für die Kommunikation im Unternehmen gesorgt. Dabei definierten wir die notwendigen Leitlinien und Richtlinien, um die Anforderungen des KRITIS-Katalogs zu erfüllen.
Beratung und Prozessimplementierung:
Till Bormann übernahm als kommissarischer Informationssicherheitsbeauftragter (ISB) und Projektleiter für die KRITIS-Nachweisführung die Verantwortung für die Umsetzung des ISMS. Er bereitete das Unternehmen auf das anstehende Assessment vor und führte simulierte Prüfungen durch, um die Mitarbeitenden zu schulen und Unsicherheiten auszuräumen.
Dokumentation und Unterstützung der IT-Mitarbeitenden:
Dennis Miara verantwortete die Dokumentation der Prozesse. Er half den IT-Mitarbeitenden, den Kontext der Anforderungen besser zu verstehen, Pain Points zu identifizieren und die notwendigen Anpassungen vorzunehmen. Zudem haben unsere Kollegen das IT-Betriebshandbuch (BHB) von Grund auf neu gestaltet und umfassend ergänzt. Insbesondere wurden wesentliche Verbesserungspotenziale der Informationstechnik identifiziert und für die anstehende Prüfung vorbereitet.
Aktive Einbindung und Wissenstransfer:
Ein wesentlicher Bestandteil unserer Arbeit war die aktive Einbindung der Mitarbeitenden in den Umsetzungsprozess. Durch kontinuierliche Beratung und Schulung konnten wir das Verständnis für die Relevanz der einzelnen Aktivitäten und Anforderungen verbessern. Zudem führten unsere Kollegen Workshops zu übergreifenden Themen wie beispielsweise Risikomanagement oder Incident Management durch.
Erfolge und Ausblick
Durch die enge Zusammenarbeit und unsere operative Unterstützung konnten wir unseren Kunden erfolgreich zur KRITIS-Fähigkeit führen. Die Einführung des ISMS und die Erfüllung des KRITIS-Anforderungskatalogs bilden nun eine solide Grundlage für die spätere ISO 27001-Zertifizierung oder die Umsetzung weiterer regulatorische Vorgaben wie NIS-2, das KRITIS-Dachgesetz oder andere Resilienz-Anforderungen.
Lessons Learned
Zeitmanagement:
Die Einführung eines ISMS benötigt Zeit und Ressourcen. Die frühzeitige Einbindung, das Coaching sowie die konsequente Zielausrichtung mit der notwendigen Priorisierung der Mitarbeitenden sind entscheidend für den Erfolg.
Fachkräftemangel:
Der Einsatz von externen Expert:innen kann kritische Engpässe überbrücken und den Wissenstransfer sicherstellen. Mittelfristig ist es für Unternehmen sinnvoll, mit Hilfe unserer Consultants interne Ansprechpartner:innen zu schulen und aufzubauen.
Prozesse und Dokumentation:
Zur Erfüllung der KRITIS-Anforderungen sind klar definierte Prozesse und eine umfassende Dokumentation unerlässlich. Dieser Punkt stellt häufig eine besondere Herausforderung dar, da im Unternehmen neben der Zeit auch nicht selten auch das Verständnis für die Prozessbeschreibung fehlt.
Fazit
Der Weg von „Zero to Hero“ in der IT-Sicherheit erfordert von Unternehmen eine sorgfältige Planung, umfassende Dokumentation, kontinuierliche Projektunterstützung und konsequente Arbeit an der Umsetzung sowie die aktive Einbindung der Mitarbeiter. Unser Ansatz, die KRITIS-Anforderungen als Vorstufe zur ISO 27001-Zertifizierung zu nutzen, hat sich bewährt und bietet eine praktikable Lösung für Unternehmen, die ihre IT-Sicherheitsmaßnahmen effizient und zielgerichtet umsetzen wollen.
Suchst du Informationen zur Umsetzung von KRITIS oder dem Aufbau eines ISMS in deinem Unternehmen?
Hier findest du eine Übersicht über unsere Leistungen im Bereich IT-GRC
Unser Team besteht aus vielen unterschiedlichen Charakteren mit spannenden Karrierewegen. Heute stellen wir Euch unsere Kollegin Stefanie Koß vor. Im Interview sprachen wir mit dem Multitalent über ihren Karriereweg, den Wechsel aus der Wissenschaft in die Beratung und fragten, was sie antreibt.
Hallo Stefanie. Zunächst würden wir gerne wissen: Was treibt dich an?
Ich bin ein Mensch, der sich schnell für viele Dinge begeistern kann. Besonders interessieren mich alle Sportarten, die mit einem Ball zu tun haben. Ich habe zum Beispiel schon früh mit Tischtennis angefangen und war auch Trainerin im Verein und im Hochschulsport.
Generell interessierte ich mich dafür, wie Dinge funktionieren. In letzter Zeit habe ich mich mehr mit dem Küchenbau beschäftigt. Ich hatte immer mehr Ideen, wie die Küche besser nach meinen Wünschen gebaut werden könnte und wollte diese auch selbst umsetzen können. Ähnlich verhält es sich mit meinem Fahrrad, das ich gerne als Fortbewegungsmittel benutze und gelegentlich reparieren muss. Außerdem spiele ich sehr gerne Gesellschaftsspiele mit meinen Freund:innen und singe gerne im Chor.
Wie bist du zur IT-Sicherheit gekommen?
Eigentlich durch einen Zufall. Ich habe mein Informatikstudium in Aachen mit einem Master abgeschlossen. Während des Studiums habe ich mich hauptsächlich mit Themen der theoretischen Informatik beschäftigt. Meinen ersten Kontakt zur IT-Sicherheit hatte ich während eines Auslandssemesters in Edinburgh. Dort belegte ich das Fach Computer Security. Besonders begeisterten mich die vielen praktischen Übungen. Nach dem Studium nahm ich zunächst eine Stelle am Fraunhofer-Institut für Sichere Informationstechnologie an. Dort arbeitete ich unter anderem an der Weiterentwicklung und Optimierung eines Schwachstellenscanners, der mittels statischer Analyse Sicherheitslücken in Android-Apps und Java-Anwendungen findet – mein Interesse an der IT-Security war geweckt.
Was hat dich dazu bewogen in die Industrie zu gehen?
Ich wollte neue Erfahrungen sammeln, vor allem eigene Projekte entwickeln und mit unterschiedlichen Menschen zusammenarbeiten. Am Anfang wusste ich nicht genau, in welche Richtung ich gehen wollte. Ich konnte mir mehrere Möglichkeiten vorstellen: Softwareentwicklerin, etwas explizit mit IT-Sicherheit oder sogar eine Lehrtätigkeit.
Wie hast du deine Entscheidung schlussendlich getroffen?
Ich habe mich im Internet informiert und bin auf den Beruf des Consultant gestoßen. Das hat mir sofort gefallen, weil ich an verschiedenen Kundenprojekten arbeiten und unterschiedliche Branchen kennenlernen kann. Außerdem suchte ich einen Job, den ich mit meinem Interesse für IT-Sicherheit und Projektmanagement verbinden konnte.
Wieso hast du dich für die carmasec entschieden?
Bei carmasec kann ich mich nach meinen Wünschen weiterentwickeln und an verschiedenen Themen arbeiten. Als Beraterin finde ich es wichtig, dass man nicht einfach irgendeinen Kunden oder irgendein Projekt zugeteilt bekommt, sondern dass es zu einem passt und einen interessiert. Genau das bekomme ich hier geboten.
Weißt du schon, was die Zukunft für dich bereithält?
Aktuell habe ich noch keine langfristigen Pläne. Im Moment konzentriere ich mich weiterhin auf das Projektmanagement. Ich kann mir aber auch vorstellen, Abschlussarbeiten zu betreuen und möchte mich auch noch tiefer in das Informationssicherheitsmanagement einarbeiten. Generell möchte ich noch viel lernen und sehen.
Wir beschäftigen uns viel mit dem Thema Diversität und wir wissen bereits, dass Frauen in technischen Berufen unterrepräsentiert sind. Gibt es negative Erfahrungen die du machen musstest?
Bisher habe ich keine großen negativen Erfahrungen gemacht. Ich finde es aber schade, wenn veraltete Phrasen wie “die Jungs aus der IT” verwendet werden. Damit werden definitiv nicht alle Menschen angesprochen und das vermittelt ein falsches Bild. Ich habe auch schon erlebt, dass manche Leute ihren normalen Sprachgebrauch ändern, nur weil ich im Raum bin. Mein Tipp: Wenn Ihr wollt, dass sich die Personen in Eurem Umfeld mit Euch wohlfühlen, reflektiert gelegentlich Euren eigenen Sprachgebrauch.
Danke für das Interview!
Wachsen, wo Sicherheit mehr als ein Job ist.
Wir denken Cybersicherheit weiter. Aus Begeisterung, aus Neugier, aus Überzeugung. Bei carmasec hat jede:r die Möglichkeit, sich auszuprobieren, Verantwortung zu übernehmen und dabei ein Team im Rücken zu haben. Wir begegnen uns auf Augenhöhe, mit Vertrauen, Transparenz und dem gemeinsamen Ziel, wirklich etwas zu bewegen.
Wann der IT-Grundschutz Pflicht ist, wann er sich freiwillig lohnt und warum Unternehmen, die ihn kennen, bei NIS-2 und DORA einen entscheidenden Vorsprung haben.
Wer sich in Deutschland ernsthaft mit IT-Sicherheit befasst, kommt am BSI IT-Grundschutz nicht vorbei. Das Bundesamt für Sicherheit in der Informationstechnik entwickelt dieses Framework seit den 1990er-Jahren weiter und hat damit ein Werk geschaffen, das in seiner Tiefe und Praxisorientierung international seinesgleichen sucht.
Dennoch hält sich hartnäckig das Missverständnis, der Grundschutz sei ein reines Behördenthema. In unserer täglichen Projektarbeit begegnet uns dieses Missverständnis regelmäßig, und es ist fast immer teuer: Unternehmen, die den Grundschutz ignoriert haben, stehen bei NIS-2-Audits, DORA-Harmonisierungen oder Cyberversicherungsverhandlungen ohne tragfähige Basis da.
Dieser Artikel erklärt, was der IT-Grundschutz wirklich leistet, für wen er verbindlich ist und wann sich die Umsetzung auch ohne regulatorischen Druck unmittelbar rechnet.
Was der BSI IT-Grundschutz wirklich ist
Der IT-Grundschutz ist keine Checkliste, die man einmal abarbeitet. Er ist eine vollständige Methodik zur Informationssicherheit, aufgebaut auf vier Kernstandards und einem umfangreichen Kompendium konkreter Sicherheitsbausteine.
- BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS) – die konzeptionelle Grundlage
- BSI-Standard 200-2: IT-Grundschutz-Methodik – die eigentliche Umsetzungsanleitung mit drei Vorgehensweisen
- BSI-Standard 200-3: Risikoanalyse auf Basis IT-Grundschutz – für erhöhten Schutzbedarf
- BSI-Standard 200-4: Business Continuity Management (BCM) – Resilienz über den Normalbetrieb hinaus
Dazu kommt das IT-Grundschutz-Kompendium, das in regelmäßig aktualisierten Editionen konkrete Bausteine für nahezu jeden denkbaren IT-Bereich liefert: von Serverräumen über Cloud-Infrastrukturen bis zu industriellen Steuerungssystemen. Es deckt technische, organisatorische, infrastrukturelle und personelle Aspekte ab und betrachtet Informationssicherheit konsequent ganzheitlich.
Das unterscheidet den IT-Grundschutz von vielen anderen Frameworks: Er liefert nicht nur Anforderungen, sondern sagt explizit, wie diese umgesetzt werden.
Pflicht oder Kür? Die differenzierte Antwort.
Die kurze Antwort: Für Bundesbehörden ist der IT-Grundschutz verbindlich. Für Unternehmen hängt es von ihrer Situation ab. Die lange Antwort ist komplexer und für strategische Entscheidungen deutlich relevanter.
Bundesbehörden: keine Diskussion
Das BSI-Gesetz verpflichtet alle Einrichtungen des Bundes zur Einhaltung der BSI-Mindeststandards. Diese basieren direkt auf dem IT-Grundschutz. Hier gibt es keinen Interpretationsspielraum und keine Alternativen.
KRITIS-Betreiber: anerkannt, aber nicht exklusiv
Unternehmen in kritischen Infrastrukturen wie Energie, Gesundheit, Wasser oder Transport müssen nach dem IT-Sicherheitsgesetz 2.0 geeignete Maßnahmen zur Cybersicherheit nachweisen. Der IT-Grundschutz ist eine anerkannte Methode hierfür, aber nicht die einzig zulässige. ISO 27001 oder branchenspezifische Standards wie B3S (Branchenspezifische Sicherheitsstandards) funktionieren ebenfalls. In der Praxis wählen viele KRITIS-Betreiber den IT-Grundschutz, weil er die konkreteste Umsetzungshilfe bietet.
Vertraglich verpflichtete Unternehmen
Öffentliche Auftraggeber und eine wachsende Zahl privater Großunternehmen verlangen von ihren Dienstleistern und Lieferanten nachweisbare IT-Sicherheit auf Basis anerkannter Standards. Der IT-Grundschutz wird dabei häufig explizit gefordert oder als gleichwertig zur ISO 27001 akzeptiert.
Alle anderen: freiwillig, aber strategisch klug
Für Unternehmen ohne gesetzliche Verpflichtung gilt: Der IT-Grundschutz ist die effizienteste Methode, ein nachweisbares Sicherheitsniveau aufzubauen. Wer ihn ernsthaft umsetzt, hat eine Basis, die Audits übersteht, Versicherungen überzeugt und Angriffsflächen systematisch reduziert.
Aus der Praxis:
Mittelstand ohne Pflicht, aber mit Konsequenzen
Ein mittelständisches Logistikunternehmen mit rund 800 Mitarbeitern wandte sich an uns, nachdem ein potenzieller Großkunde aus dem Automobilsektor eine Sicherheitszertifizierung als Vertragsvoraussetzung forderte. Das Unternehmen hatte keine strukturierte Sicherheitsdokumentation, keine Schutzbedarfsfeststellung, keine definierten Verantwortlichkeiten. Wir haben gemeinsam mit einer Basis-Absicherung begonnen, die innerhalb von vier Monaten die wesentlichen Anforderungen erfüllte und den Vertrag ermöglichte. Heute arbeitet das Unternehmen an der Standard-Absicherung in Richtung ISO 27001-Zertifizierung.
Drei Vorgehensweisen, eine Methodik
Der BSI-Standard 200-2 definiert drei Umsetzungswege. Die Wahl hängt von Unternehmensgröße, Risikoexposition und verfügbaren Ressourcen ab.
Basis-Absicherung
Der strukturierte Einstieg für Organisationen, die zunächst ein Mindestniveau erreichen wollen. Die Basis-Absicherung adressiert die häufigsten und gefährlichsten Angriffsvektoren mit überschaubarem Aufwand. Sie ist kein Zielzustand, sondern ein Fundament. In unseren Projekten empfehlen wir sie als erste Phase, wenn Zeit und Budget limitiert sind oder ein schneller Nachweis gegenüber externen Stellen erforderlich ist.
Standard-Absicherung
Der empfohlene Weg für die meisten Unternehmen. Vollständige Strukturanalyse, Schutzbedarfsfeststellung und systematische Umsetzung aller relevanten Grundschutz-Bausteine. Wer eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz anstrebt, geht diesen Weg. Die Standard-Absicherung liefert eine lückenlose Dokumentation, die Audits und Behördenprüfungen standhält.
Kern-Absicherung
Fokus auf die wirklich kritischen Assets, die sogenannten Kronjuwelen. Unternehmen mit klar definierten hochsensiblen Bereichen, zum Beispiel Forschungs- und Entwicklungsdaten, Produktionssteuerungen oder Kernbankensysteme, schützen diese zunächst mit maximaler Tiefe. Ein pragmatischer Ansatz mit hohem Return on Investment in der Anfangsphase, besonders wenn eine vollständige Standard-Absicherung mittel- bis langfristig geplant ist.
Aus der Praxis:
Kern-Absicherung im Produktionsumfeld
Ein Hersteller von Präzisionskomponenten für die Luft- und Raumfahrt hatte eine klare Priorität: Die Fertigungssteuerung und die CAD-Daten durften unter keinen Umständen kompromittiert werden. Ein Ransomware-Vorfall bei einem Wettbewerber hatte die Geschäftsführung sensibilisiert. Wir haben eine Kern-Absicherung für genau diese Assets entwickelt, inklusive Netzwerksegmentierung, Zugriffskontrollen und einem definierten Incident-Response-Prozess. Der Rest der IT-Infrastruktur wurde parallel in einem separaten Projekt auf Basis-Absicherungsniveau gebracht. Gesamtlaufzeit: sechs Monate.
Das Verhältnis zu ISO 27001: komplementär, nicht konkurrierend
ISO 27001 und IT-Grundschutz werden häufig als Alternativen behandelt. Das ist ein Fehler, der aus einem grundlegenden Missverständnis ihrer jeweiligen Stärken entsteht.
ISO 27001 definiert, was ein funktionierendes ISMS leisten muss: Risikobehandlung, Steuerung, kontinuierliche Verbesserung. Die Norm ist bewusst prinzipienbasiert und lässt Unternehmen Spielraum bei der konkreten Umsetzung. Das ist eine Stärke, die gleichzeitig zur größten Herausforderung wird: Viele Unternehmen wissen nach einer ISO 27001-Zertifizierung, was sie tun sollen, aber nicht präzise genug, wie.
Genau hier ist der IT-Grundschutz unverzichtbar. Er ist maßnahmenbasiert und liefert zu nahezu jedem Risiko konkrete, erprobte Gegenmaßnahmen aus dem Kompendium. Die Kombination aus ISO 27001-Zertifizierung auf Basis von IT-Grundschutz ist vom BSI als offizieller Zertifizierungsweg anerkannt und in Deutschland weitverbreitet. In unseren Projekten ist das der Standard für Unternehmen, die sowohl ein solides Sicherheitsniveau als auch internationale Anschlussfähigkeit anstreben.
Häufige Fragen zum BSI IT-Grundschutz
Ist der BSI IT-Grundschutz für mein Unternehmen verpflichtend?
Verbindlich ist er für alle Bundesbehörden. Für KRITIS-Betreiber ist er eine anerkannte Methode zum Nachweis geeigneter Sicherheitsmaßnahmen nach IT-SiG 2.0, aber nicht exklusiv vorgeschrieben. Für alle anderen Unternehmen besteht keine gesetzliche Pflicht, sofern keine vertraglichen Vereinbarungen oder branchenspezifischen Anforderungen existieren.
Was kostet eine IT-Grundschutz-Implementierung?
Das hängt maßgeblich von der gewählten Vorgehensweise, der Unternehmensgröße und dem Ausgangsniveau ab. Eine Basis-Absicherung für ein mittelständisches Unternehmen kann in wenigen Monaten umgesetzt werden. Eine vollständige Standard-Absicherung in Richtung ISO 27001-Zertifizierung dauert typischerweise 12 bis 24 Monate und bindet erhebliche interne Ressourcen. Wir empfehlen immer eine initiale Gap-Analyse, um den tatsächlichen Aufwand realistisch einschätzen zu können.
Wie verhält sich der IT-Grundschutz zur ISO 27001?
Die beiden Standards sind komplementär. ISO 27001 definiert die Anforderungen an ein funktionierendes ISMS. Der IT-Grundschutz liefert die konkreten Umsetzungsmaßnahmen. Eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz ist vom BSI offiziell anerkannt und in Deutschland der häufigste Zertifizierungsweg.
Hilft der IT-Grundschutz bei NIS-2 und DORA?
Ja, erheblich. Die inhaltlichen Überschneidungen mit NIS-2 und DORA sind substanziell. Unternehmen und Finanzinstitute, die den IT-Grundschutz bereits umgesetzt haben, haben bei der Erfüllung dieser Regularien einen strukturellen Vorsprung gegenüber Organisationen ohne diese Basis.
Kann ich den IT-Grundschutz ohne externen Berater umsetzen?
Theoretisch ja. Das BSI stellt alle Standards und das Kompendium kostenlos zur Verfügung. In der Praxis scheitern interne Umsetzungsversuche häufig an der Strukturanalyse, an der korrekten Bausteinauswahl und an der Objektivität bei der Bewertung des eigenen Sicherheitsniveaus. Ein externer Blick ist kein Luxus, sondern eine Qualitätssicherungsmaßnahme.
Fazit: Grundschutz ist keine Pflichtübung. Er ist Architektur.
Wer den IT-Grundschutz als lästige Compliance-Übung behandelt, hat ihn nicht verstanden. Wer ihn als Architektur-Framework begreift, das systematisch Risiken identifiziert, priorisiert und adressiert, hat ein Instrument, das weit über reine Compliance hinausgeht.
Der entscheidende Faktor ist dabei nicht das Framework selbst, sondern die konsequente Umsetzung. Dokumente, die im Ordner verstauben, schützen keine Server. Maßnahmen, die implementiert, gepflegt und regelmäßig überprüft werden, tun es.
Die Unternehmen, mit denen wir arbeiten, die den IT-Grundschutz ernstnehmen, sind dieselben, die bei einem Sicherheitsvorfall handlungsfähig bleiben, bei Audits ruhig schlafen und bei neuen regulatorischen Anforderungen nicht bei null anfangen.
Wo steht euer Unternehmen beim IT-Grundschutz?
Wir analysieren eure Ausgangslage, identifizieren Lücken und zeigen euch den effizientesten Weg zu nachweisbarer IT-Sicherheit. Unverbindlich, konkret und auf den Punkt.
Das carmasec-Redaktionsteam erläutert in diesem Beitrag, warum es sinnvoll sein kann, gezielt Ausnahmen für Sicherheitssysteme wie IPS und WAFs mittels Allow Listing zu definieren und wie diese Methode Pentester:innen ermöglicht, effizient und störungsfrei zu arbeiten.
Wann ist der Einsatz von Allow Lists bei Pentests sinnvoll?
Wenn ein Penetrationstest ansteht, taucht schnell die Frage auf: Soll die IP-Adresse der Pentester auf eine „Allow List“ gesetzt werden, um Systeme wie Intrusion Prevention Systeme (IPS) oder Web Application Firewalls (WAFs) zu umgehen? Meine Erfahrung zeigt: Das kann die Testergebnisse nicht nur präziser, sondern auch wertvoller machen.
In diesem Beitrag zeigen wir dir, wann es sinnvoll ist, Pentester:innen die üblichen Sicherheitsbarrieren gezielt überspringen zu lassen.
Eine Einordnung: Welche Aufgabe haben IPS und WAFs und warum können sie einen Pentest verzögern?
IPS-Systeme und WAFs sollen Angriffe erkennen und blockieren – etwa durch die Erkennung von Port-Scans, SQL-Injections oder massenhaften automatisierten Anfragen. Wenn diese Systeme eine als „verdächtig“ eingestufte Aktivität aufspüren, reagieren sie oft mit einer Drosselung des Datenverkehrs oder der Sperrung der Quell-IP-Adresse, manchmal für eine gewisse Zeit – manchmal sogar komplett. Im Alltag ist dies ein erwünschtes Verhalten. Im Falle eines Pentests können diese Sicherheitsmaßnahmen jedoch das eigentliche Testziel stark beeinträchtigen.
Zeit ist der entscheidende Faktor
IPS und WAFs sind darauf ausgelegt, Angreifer abzuwehren und dir Zeit zu verschaffen, bei einem Angriff angemessen zu reagieren. Doch bei einem Penetrationstest können diese Schutzmaßnahmen den Ablauf erheblich stören. Ein Security Assessment ist auf ein festes Zeitfenster begrenzt. Erkennen die Security-Systeme Pentester fälschlicherweise als Angreifer, könnten beispielsweise ihre IP-Adressen blockiert werden. Das führt zu Verzögerungen im Testablauf, wodurch Schwachstellen übersehen werden und die Effizienz des Tests sinkt.
Am Ende zahlst du als Kunde für ein Assessment, das nicht sein volles Potenzial entfalten konnte.
Bei realen Angriffen hingegen haben die Hacker alle Zeit der Welt. Sie können ihre Aktionen verlangsamen und ein paar Anfragen über Tage oder Wochen hinweg senden, um unentdeckt zu bleiben.
Eine Allow List ermöglicht es den Pentestern, ohne Unterbrechung zu arbeiten und Schwachstellen direkt und effizient zu analysieren. So bleibt der Fokus auf der eigentlichen Aufgabe: Deine Systeme auf Herz und Nieren zu prüfen.
Der Testfokus liegt auf deinen Systemen, nicht auf der Sicherheitsperipherie
In den meisten Fällen hat ein Pentest zum Ziel, die Sicherheit deiner Applikationen oder Infrastruktur zu überprüfen – nicht die vorgelagerten IPS- oder WAFs-Systeme. Diese Schutzmaßnahmen erschweren es Angreifern, in dein System einzudringen.
Pentester, die direkten Zugriff haben, können deine tatsächlichen Assets auf Schwachstellen testen – und nicht nur die Security-Systeme davor.
Natürlich kann das Testen von IPS oder WAFs selbst sinnvoll sein, aber das ist ein gesondertes Ziel, das separat beauftragt und im Scope entsprechend festgehalten werden sollte.
Sind Allow Lists auch für interne Pentests sinnvoll?
Allow Lists sind nicht nur für externe Pentests nützlich. Auch bei internen Tests kann es sinnvoll sein, einzelne Ordner oder Systeme für Antivirenprogramme (AV) und für die Endpoint Detection and Response Systeme (EDR) gezielt auszuschließen. Das hängt vom Testziel ab: Wenn du beispielsweise Deine SIEM-Erkennungsmechanismen oder die Reaktion auf Sicherheitsvorfälle evaluieren möchtest, kannst du mit Allow Lists wertvolle Zeit sparen, da sich deine Pentester auf die wesentlichen Aufgaben konzentrieren können.
Du hast Fragen zu unseren Pentest-Angeboten?
Sicherheit validieren, bevor Angreifende den ersten Schritt setzen. Penetration Testing, Red Teaming und Angriffssimulationen von Senior-Expert:innen, die wissen, wie Hacker denken.