Die Zertifizierungen dienen dazu, die Bundesbehörden bei ihrer fachlichen Auswahl von IT-Sicherheitsdienstleistern zu unterstützen. Insbesondere staatliche Organisationen mit sicherheitssensiblen Verhältnissen haben hohe Anforderungen an die Fachkompetenz, Zuverlässigkeit und Unabhängigkeit ihrer Dienstleistungspartner. Dies gilt auch für Penetrationstests, die der Sicherheitsuntersuchung von Systembestandteilen und Anwendungen eines Netzwerks- oder Softwaresystems dienen. Da die Prüfszenarien aufgrund der individuellen Situation der zu testenden Institution nur begrenzt standardisierbar sind, sollte die Durchführung Experten mit nachgewiesenem Know-how und langjähriger Erfahrung übertragen werden.
„Anders als Audits zur Ermittlung von Schwachstellen stellen Penetrationstests risikobasierte Prüfungen dar, bei denen in definierten Szenarien gezielte Angriffe simuliert werden“, erläutert Detlev Henze, Geschäftsführer der TÜV TRUST IT. „Aus den Ergebnissen wird eine fundierte Risikobewertung abgeleitet, die im Abschlussbericht durch konkrete Optimierungsvorschläge für die untersuchte Organisation ergänzt wird.“
Mit der BSI-Zertifizierung hat TÜV TRUST IT die besonderen Kompetenzen bestätigt bekommen, die für Penetrationstests in Bundesbehörden erforderlich sind. „Damit gehören wir zu den lediglich vier Sicherheitsspezialisten, die sowohl für Penetrationstests als auch für die IS-Revision und Beratung in öffentlichen Institutionen des Bundes zertifiziert sind“, weist Detlev Henze auf die besondere Position der TÜV TRUST IT im Markt der Sicherheitsdienstleistungen hin.
Die Anerkennung für die IS-Revision und Beratung durch das BSI wurde bereits vor drei Jahren erlangt. Dieser Kompetenznachweis erlaubt es, Behörden bei der Erstellung und Umsetzung eines Sicherheitskonzepts nach IT-Grundschutz, der regelmäßigen Durchführung von IS-Revisionen oder der Durchführung von Sicherheitsrevisionen in kritischen Geschäftsprozessen zu unterstützen, wie dies z.B. im 2007 veröffentlichten Umsetzungsplan Bund [UPBund] gefordert wird. Behörden können dafür ein Revisionsteam der TÜV TRUST IT beauftragen, das die Effektivität der Sicherheitsorganisation überprüft und feststellt, ob eine Behörde vorgegebene Standards und gesetzliche Anforderungen im Bereich der Informationssicherheit einhält.
Vergleichbare Dienstleistungen für IS-Revision und Beratung als auch für Penetrationstests bietet die TÜV TRUST IT auch für Wirtschaftsunternehmen an. „Die BSI-Zertifizierungen von IT-Sicherheitsdienstleistern bieten nicht nur für Behörden, sondern auch für alle anderen Unternehmen eine Hilfestellung, um einen Partner mit höchster Kompetenz auszuwählen und dabei die Spreu vom Weizen trennen zu können. Deshalb sehen wir unsere Zertifizierung auch außerhalb des behördlichen Umfelds als besonderes Herausstellungsmerkmal“, erklärt Henze.