BSI rechnet mit hoher Akzeptanz für kontrollierten Security-Hack

“IT-Sicherheit spielt überall dort eine Rolle, wo IT eingesetzt wird. Betroffen ist jeder. Risiken und Schutzmaßnahmen müssen daher so bekannt sein wie die Anschnallpflicht im Auto”, schreibt Udo Helmbrecht, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), im jüngsten Jahresbericht für 2004. Und damit auch alle betroffenen – Firmen wie Privatpersonen – ihre Security auf Vordermann bringen können, bemüht sich das BSI, Wissen zu vermitteln und den amtseigenen Hackern neue Aufträge zu besorgen.

Dafür hat der Sicherheitsdienstleister des Bundes sein Aufgabenspektrum bereits seit 2004 um den Service ‘BSI Quick Check’ erweitert. Der Dienst, der nicht mit dem gleichnamigen Service der Firma Check Point zu verwechseln ist, wird für Wirtschaft und öffentliche Hand angeboten. Außerdem können große Organisationen einen umfangreichen Penetrationstest des BSI durchführen lassen, bei dem Security-Experten des Amtes mit echten Techniken und Verfahren die Angreifbarkeit von Systemen testen.

Mehr Zuspruch erwarten sich Helmbrecht und Mitarbeiter aber von der kleinen Variante. BSI Quick Check wird für spezielle IT-Bereiche angeboten, Kostenfragen sind mit dem BSI abzusprechen. Ein Web-Test untersucht beispielsweise die Site eines Unternehmens, sämtliche dort angebotenen Dienste und Schnittstellen sowie die Web-Anwendungen. Der schnelle Test sollte dem Jahresbereicht zufolge nicht länger als einen Arbeitstag dauern und umfasst auch Ratschläge, was bei der Entwicklung von Internetanwendungen zu beachten ist.

Die professionellen BSI-Hacker prüfen ausgewählte Fehlerquellen basierend auf einer dem BSI vorliegenden Liste der häufigsten Schwachstellen. Dabei wenden sie Techniken an, die auch ein krimineller Hacker anwenden würde. Nur eines dürfen sie nicht, die Netze durch Attacken wie Denial of Service dauerhaft schädigen oder irreparabel zum Absturz bringen. Um das zu gewährleisten, bedient sich das BSI manuell durchgeführter Angriffe, die eine maximale Kontrolle bei großer Aussagekraft gewährleisten sollen. Die Ergebnisse der Auswertung werden dem Kunden – Kommunen, Behördenaußenstellen oder Unternehmen – zugesandt. Eine der Empfehlungen, die das BSI jedem Computernutzer in Deutschland ans Herz legt ist und bleibt aber das Lesen des jährlich aktuellen IT-Grundschutzhandbuchs.