Die Evangelisch-Lutherische Kirche in Bayern (ELKB) betreibt eine umfangreiche IT-Infrastruktur, für die im Bereich der Informationssicherheit die kirchlichen Vorgaben aus dem EKD-Datenschutzgesetz (DSG-EKD) sowie dem Erlass einer Ratsverordnung zur IT-Sicherheit umgesetzt werden müssen. Die Sicherheit der vorhandenen Systeme sollte durch einen spezialisierten Dienstleister geprüft und bewertet werden.
„Sehr kompetente und kundenorientierte Beratung mit termingerechter Durchführung der Tests und sehr zielführenden und hilfreichen Ergebnissen.“
Thomas Schöttl
Beauftragter für IT-Sicherheit
Um die Sicherheit der vorhandenen Infrastruktur auf technischer Ebene zu prüfen und eventuell vorhandene Schwachstellen zu identifizieren, sollte ein Penetrationstest aus der Perspektive eines externen Angreifers ohne Vorwissen über die Umgebung durchgeführt werden.
Besonderer Wert lag auf einer realistischen Simulation eines externen Angreifers bei gleichzeitiger Einhaltung sämtlicher datenschutzrechtlich relevanter Aspekte. Insbesondere sollte die Recherche der erreichbaren Ziele durch die Prüfer selbst erfordern. Durch diesen Ansatz konnte auch eine Landkarte der vorhandenen Angriffsoberfläche erstellt werden.
HiSolutions führte einen externen Penetrationstest nach dem Blackbox-Prinzip für die über das Internet erreichbaren Systeme der ELKB durch. Hierzu wurden im ersten Schritt Informationen über die Zielumgebung aus verschiedenen frei zugänglichen Quellen zusammengetragen (Open Source Intelligence Analyse, OSINT). Auf Grundlage der Rechercheergebnisse wurden die für den Penetrationstest freigegebenen Ziele mit der ELKB abgestimmt.
Im nächsten Schritt führte HiSolutions den eigentlichen Penetrationstest für die freigegebenen Ziele durch. Das Vorgehen orientierte sich dabei am Praxis-Leitfaden: IT-Sicherheits-Penetrationstest des Bundesamts für Sicherheit in der Informationstechnik. Die Prüfung erfolgte als externer Test über das Internet. Es wurden sowohl die System- und Netzwerkebene betrachtet, als auch die auf den Zielsystemen bereitgestellten Webanwendungen. Letztere wurden insbesondere auf die Schwachstellen gemäß der OWASP Top 10 hin untersucht.
Sämtliche Prüfungsergebnisse wurden in einem ausführlichen Bericht in deutscher Sprache dokumentiert. Dies umfasste sowohl die im Rahmen der OSINT-Analyse recherchierte Angriffsoberfläche als auch die Ergebnisse des Penetrationstests. Sämtliche Befunde wurden sowohl technisch beschrieben als auch mit einer Risikoeinschätzung versehen. Außerdem wurden konkrete Vorschläge zur Beseitigung der identifizierten Sachverhalte unterbreitet.
Die Prüfergebnisse wurden im Rahmen einer Videokonferenz dem IT-Sicherheits-Gremium der ELKB vorgestellt und besprochen. In diesem Rahmen wurden insbesondere nächste Schritte zum weiteren Ausbau des guten IT-Sicherheitsniveaus besprochen. Auch Architektur und Prozesse
Die Evangelisch-Lutherische Kirche in Bayern (ELKB) ist eine von 20 Gliedkirchen (Landeskirchen) der Evangelischen Kirche in Deutschland (EKD). Sie umfasst 1537 Kirchengemeinden und ist die drittgrößte Landeskirche Deutschlands.
Die HiSolutions AG ist einer der führenden deutschen Beratungsspezialisten für IT-Management und Information Security. Seit mehr als 25 Jahren unterstützen wir unsere Kunden dabei, die Chancen der Digitalisierung optimal zu nutzen und die damit verbundenen Risiken zu beherrschen. Wir stehen dafür, Grenzen und Barrieren in der Zusammenarbeit von Business und IT abzubauen und wirkliche Business-IT-Partnerschaften für den digitalen Wandel zu entwickeln.
Wir verbessern die Leistungs- und Zukunftsfähigkeit der IT-Organisationen in Unternehmen und Verwaltung. Dafür entwickeln wir mit der passenden Strategie ihre Organisation, Architektur und Services für die gesamte Leistungskette der IT-Bereitstellung und -weiterentwicklung und optimieren die Nutzung und Beschaffung von Software-Lizenzen und IT-Diensten. Als einer der führenden unabhängigen Beratungsspezialisten für das IT- und Service-Management prägen wir seit 1992 den Wandel und die Entwicklung vieler IT-Organisationen im deutschsprachigen Raum mit. Mit über 200 fest angestellten Mitarbeitern bringen wir unser spezifisches Wissen und unsere Umsetzungserfahrung in über 600 Projekten jährlich ein. HiSolutions wurde mehrfach für verschiedene Innovationen, für sein kontinuierliches Wachstum sowie im bundesweiten Beratervergleich als „Top Consultant“ ausgezeichnet.