BSI IT-Grundschutz & Penetrationstests
Der BSI IT-Grundschutz ist das deutsche Standardwerk für Informationssicherheit. Erfahren Sie, wie Penetrationstests die Grundschutz-Bausteine prüfen und Ihre Compliance sicherstellen.
Was ist der BSI IT-Grundschutz?
Das BSI IT-Grundschutz (Bundesamt für Sicherheit in der Informationstechnik) ist ein umfassendes, standardisiertes Verfahren zum Schutz von Informationen. Es besteht aus dem Grundschutzkompendium (Bausteine und Anforderungen), dem IT-Grundschutz-Profil und dem IT-Grundschutz-Check.
Der BSI IT-Grundschutz ist besonders für deutsche Unternehmen, Behörden und Organisationen relevant, die eine Zertifizierung nach ISO 27001 mit BSI-Prüfkatalog anstreben oder regulatorische Anforderungen (KRITIS, BSI-Gesetz) erfüllen müssen.
Relevante Bausteine für Penetrationstests
Folgende Bausteine des IT-Grundschutzkompendiums sind für Pentests besonders relevant:
NET.1.1 – Netzarchitektur und -design
Dieser Baustein fordert eine sichere Netzarchitektur mit Segmentierung, DMZ, Firewall-Regeln und Netzmonitoring. Ein Pentest prüft, ob diese Architektur tatsächlich wirksam ist und ob Segmentierungen umgangen werden können (z.B. durch VLAN-Hopping, ARP-Spoofing oder unsichere Routing-Konfigurationen).
NET.1.2 – Netzsegmentierung
Die Segmentierung in Sicherheitszonen (z.B. LAN, DMZ, Management-Netz, WLAN) ist zentral. Ein Pentest demonstriert, ob ein Angreifer aus dem Gast-WLAN in das interne LAN gelangen kann oder ob eine kompromittierte Workstation lateral zu kritischen Servern bewegen kann.
APP.4.4 – Webanwendungen
Dieser Baustein adressiert Sicherheitsanforderungen für Webanwendungen, einschliesslich Input-Validierung, Authentifizierung, Session-Management und Schutz vor Injection-Angriffen. Ein Web-Application-Pentest prüft alle diese Anforderungen systematisch.
SYS.1.6 – Server unter Unix/Linux
Sicherheitsanforderungen für Unix/Linux-Server: Minimierung der installierten Software, Hardening, Patch-Management, Dateisystem-Rechte und Protokollierung. Ein Netzwerk-Pentest deckt Fehlkonfigurationen auf.
APP.3.3 – Mobile Anwendungen
Sicherheitsanforderungen für mobile Apps: sichere Datenspeicherung, Transportverschlüsselung, Authentifizierung und Schutz vor Reverse Engineering. Ein Mobile-App-Pentest prüft diese Anforderungen.
BSI-Grundschutz-Check vs. Penetrationstest
Der BSI-Grundschutz-Check ist eine Selbsteinschätzung der Organisation: Man prüft intern, ob die Anforderungen der Bausteine erfüllt sind. Ein Penetrationstest hingegen ist eine unabhängige, technische Prüfung durch einen externen Experten. Er zeigt nicht nur, ob Anforderungen formell erfüllt sind, sondern ob die implementierten Massnahmen tatsächlich wirksam sind gegen realistische Angriffe.
Die Kombination aus BSI-Grundschutz-Check (organisatorisch) und Pentest (technisch) bietet das beste Gesamtbild der Sicherheitslage.
BSI-konformer Pentest für Ihr Unternehmen
Ich prüfe Ihre Systeme gezielt gegen die relevanten BSI-Grundschutz-Bausteine – mit Reports, die für BSI-Audits und Zertifizierungen geeignet sind.