Richtlinie für Sicherheitsprüfungen und Red-Teaming

Die Richtlinie für Sicherheitsprüfungen und Red-Teaming (P40) etabliert ein umfassendes Rahmenwerk für die laufende Bewertung und Validierung der Cybersicherheitsmaßnahmen der Organisation. Ihr Hauptziel ist die Sicherstellung der Compliance mit Vorschriften wie NIS2 Artikel 21(2)(f), der formale und strukturierte Prozesse zur Bewertung der Wirksamkeit von Aktivitäten des Cybersicherheitsrisikomanagements verlangt. Durch die Einführung regelmäßiger Schwachstellenscans, jährlicher Penetrationstests für kritische Systeme und periodischer Red-Team-Simulationen stellt die Richtlinie eine proaktive Identifizierung von Schwachstellen sicher, die durch standardmäßige operative Kontrollen möglicherweise nicht erkannt werden. Der Geltungsbereich der Richtlinie ist breit und umfasst alle kritischen Informationssysteme, Anwendungen und unterstützende Infrastruktur innerhalb der Organisation. Wichtig ist, dass sie auch Aspekte der physischen Sicherheit abdeckt, wie Social Engineering und physische Penetrationstests, sofern relevant, um einen ganzheitlichen Ansatz zum Schutz der Organisation zu gewährleisten. Alle internen IT- und Sicherheitsteams, externe Testunternehmen sowie relevante Systemeigner oder Anwendungsverantwortliche sind an ihre Anforderungen gebunden. Testaktivitäten sind sorgfältig geregelt und erfordern Autorisierung sowie die Einhaltung definierter Regeln, um Störungen zu vermeiden und Sicherheit zu gewährleisten. Rollen und Verantwortlichkeiten sind ausdrücklich beschrieben, um Rechenschaftspflicht sicherzustellen und Prozesse zu straffen. Der Sicherheitsprüfungskoordinator, vom Chief Information Security Officer (CISO) benannt, überwacht Planung, Durchführung und Berichterstattung aller Sicherheitsprüfungsaktivitäten. Interne Teams arbeiten sowohl in defensiven als auch in Testrollen zusammen, während Red Teams oder Penetrationstester (intern oder Drittanbieter) kontrollierte Angriffsszenarien innerhalb vereinbarter Parameter ausführen. Systemeigner stellen die zeitnahe Umsetzung von Abhilfemaßnahmen für identifizierte Themen sicher, und das Management integriert Ergebnisse in die übergeordneten Prozesse der Risikobewertung und Compliance-Berichterstattung. Die Richtlinie legt starken Schwerpunkt auf detaillierte Governance: Jeder Test wird durch eine Definition von Umfang und Rules of Engagement vorbereitet, durch strenge Autorisierungsverfahren abgesichert und durch rigorose Berichterstattung begleitet. Sie unterstreicht die Bedeutung eines sicheren Datenumgangs und verlangt, dass alle realen Daten, auf die zugegriffen wird, vertraulich behandelt werden und in Berichten nur anonymisierte Details enthalten sind. Abhilfemaßnahmen sind verpflichtend und werden nachverfolgt, einschließlich Retests zur Verifizierung von Korrekturen. Die Richtlinie erstreckt sich zudem auf Lieferanten- und Drittanbieter-Systeme, sofern relevant, und stellt so eine Ausrichtung entlang der Lieferkette sicher. Kontinuierliche Verbesserung ist ein zentrales Thema: Erkenntnisse aus wiederkehrenden Feststellungen müssen Richtlinien, Konfigurationsstandards und Reaktionspläne für Sicherheitsvorfälle beeinflussen. Schulungsprogramme für IT-, Entwicklungs- und Managementpersonal sind verpflichtend, um Sensibilisierung zu fördern, operative Disziplin zu stärken und Wachsamkeit gegenüber neuen Bedrohungen aufrechtzuerhalten. Alle Testaktivitäten werden protokolliert und regelmäßig auditiert, um Wirksamkeit, Erfüllung regulatorischer Verpflichtungen und den fristgerechten Abschluss von Abhilfemaßnahmen zu bestätigen. Überprüfungen sind jährlich oder nach wesentlichen Vorfällen vorgesehen, damit die Richtlinie angesichts der dynamischen Bedrohungslage aktuell bleibt.