Die AEOS-Zulassung (Zugelassener Wirtschaftsbeteiligter für Sicherheit) bescheinigt die Zuverlässigkeit eines Unternehmens in der internationalen Lieferkette. Die Zollbehörden fordern strenge Standards für die IT-Sicherheit, die durch den Selbstbewertungsfragebogen (QAV) und ein Audit vor Ort überprüft werden.

Anforderung 3.7.1.b des QAV: obligatorische Anti-Intrusions-Tests

Abschnitt 3.7.1.b des QAV stellt eine direkte Frage: Hat der Wirtschaftsbeteiligte Anti-Intrusions-Tests durchgeführt? Die Antwort muss Folgendes enthalten:

• Beschreibung der durchgeführten Tests
• Erzielte Ergebnisse und festgestellte Schwachstellen
• Implementierte Korrekturmaßnahmen

Diese Anforderung leitet sich aus Artikel 25 Absatz 1 Buchstabe j) der Durchführungsverordnung (EU) 2015/2447 ab, die den Schutz des IT-Systems vor unbefugtem Zugriff und Manipulation vorschreibt. Firewalls und Antivirenprogramme allein reichen nicht aus: Es ist eine aktive Überprüfung erforderlich, die das Verhalten eines echten Angreifers simuliert.

Wie der Network Penetration Test die AEOS-Anforderungen erfüllt

Der Network Penetration Test überprüft die Widerstandsfähigkeit der Infrastruktur durch Angriffssimulationen, die folgende Bereiche abdecken:

• Externer Perimeter: Identifizierung von Schwachstellen in Diensten, die über das Internet erreichbar sind
• Internes Netzwerk: Bewertung der Segmentierung und der Zugriffskontrollen
• Mobile Geräte: Sicherheit von Laptops, Smartphones und Remote-Verbindungen der Mitarbeiter
• Kritische Systeme: Schutz der Server, die sensible Zoll- und Unternehmensdaten verarbeiten

Die Tests folgen anerkannten Methoden (OSSTMM, OWASP) und erstellen eine detaillierte Dokumentation der festgestellten Schwachstellen, klassifiziert nach Schweregrad und operativen Auswirkungen.

Für das Zollaudit erforderliche Dokumentation

Während des Inspektionsbesuchs überprüfen die Zollbeamten die Übereinstimmung zwischen den Angaben im QAV und den tatsächlichen Bedingungen. Der Wirtschaftsbeteiligte muss Folgendes vorlegen:

1. Technische Berichte: Vollständige Dokumentation der durchgeführten Tests mit Details zu den Schwachstellen und den verwendeten Methoden
2. Remediation-Plan: Nachweis der für jede festgestellte Kritikalität implementierten Korrekturmaßnahmen
3. Kontinuierlicher Managementprozess: Nachweis der Fähigkeit, Schwachstellen im Laufe der Zeit zu identifizieren und zu beheben

Die Dokumentation muss aufbewahrt und aktualisiert werden. Ein strukturierter Ansatz für die IT-Sicherheit, unterstützt durch regelmäßige Risikobewertungen und die Einhaltung von Standards wie ISO/IEC 27001, stärkt die Position des Wirtschaftsbeteiligten während des Audits. Um zu verstehen, wie ein Sicherheits-Governance-System gemäß den AEOS-Anforderungen aufgebaut wird, ist es entscheidend, Penetrationstests in einen breiteren Rahmen des Risikomanagements zu integrieren.

Integration mit anderen Sicherheitskontrollen

Der Network Penetration Test ist keine isolierte Aktivität. Um die AEOS-Zulassung dauerhaft aufrechtzuerhalten, muss der Wirtschaftsbeteiligte einen integrierten Ansatz nachweisen, der Folgendes umfasst:

• Kontinuierliches Vulnerability Assessment: Regelmäßige Scans zur Identifizierung neuer Schwachstellen (Vulnerability Assessment)
• Patch-Management: Dokumentierter Prozess zur Aktualisierung kritischer Systeme
• Zugriffsüberwachung: Protokolle und Kontrollen der Zugriffe auf sensible Zolldaten
• Personalschulung: Sensibilisierung für IT-Risiken und Sicherheitsverfahren

Ein strukturierter Prozess zum Schwachstellenmanagement ermöglicht es, die während der Tests aufgetretenen Kritikalitäten unter Kontrolle zu halten und den Auditoren einen proaktiven Ansatz zur IT-Sicherheit zu demonstrieren.

FAQ – Network Penetration Test für AEOS

• Verlangt der QAV explizit Anti-Intrusions-Tests?
• Ja. Frage 3.7.1.b fragt, ob Anti-Intrusions-Tests durchgeführt wurden, und verlangt eine Beschreibung der Ergebnisse. Das Unterlassen dieser Tests stellt einen Mangel an den für die AEOS-Zulassung erforderlichen Sicherheitsstandards dar.
• Wie häufig müssen die Tests durchgeführt werden?
• Die Gesetzgebung legt kein festes Intervall fest, aber der QAV verlangt die Angabe der Periodizität. Best Practices empfehlen jährliche Tests oder Tests bei wesentlichen Änderungen an der Infrastruktur. Die Häufigkeit sollte dem Risikoniveau und der Komplexität des Unternehmensnetzwerks angemessen sein.
• Was passiert, wenn kritische Schwachstellen auftreten?
• Die Identifizierung von Schwachstellen schließt die Zulassung nicht aus, sofern der Wirtschaftsbeteiligte nachweist, dass er dokumentierte Korrekturmaßnahmen implementiert hat. Es ist wichtig, einen strukturierten Prozess für das Schwachstellenmanagement und die kontinuierliche Verbesserung aufzuzeigen.
• Müssen die Tests nur das interne Netzwerk abdecken?
• Nein. Die Sicherheitsmaßnahmen müssen das gesamte IT-System schützen: externer Perimeter, Server mit Unternehmens- und Zolldaten, mobile Geräte und jeden Zugangspunkt zum Netzwerk. Das Audit überprüft den End-to-End-Schutz der Infrastruktur.
• Werden die Ergebnisse während des Audits überprüft?
• Ja. Während des Inspektionsbesuchs überprüfen die Zollbeamten physisch die Dokumentation zu den Penetrationstests, den festgestellten Schwachstellen und den Korrekturmaßnahmen. Alle im QAV deklarierten Verfahren müssen durch dokumentarische Nachweise belegbar sein.
• Ist ein externer Anbieter erforderlich oder kann ich die Tests intern durchführen?
• Die Gesetzgebung schreibt die Nutzung externer Anbieter nicht vor, aber die Unabhängigkeit und Kompetenz des Testteams sind Faktoren, die positiv bewertet werden. Ein spezialisierter Anbieter garantiert anerkannte Methoden, professionelle Tools und eine Dokumentation, die den Anforderungen des Zollaudits entspricht.

Unternehmen, die die AEOS-Zulassung erhalten oder behalten möchten, müssen alle Network Penetration Testing-Aktivitäten detailliert dokumentieren, Nachweise über die Ergebnisse und Korrekturmaßnahmen erbringen und ein kontinuierliches Management der technischen Schwachstellen nachweisen.

Weiterführende Informationen

• AEO-Zertifizierung und Cybersicherheit: Anforderungen und Erlangungsprozess
• Schwachstellenmanagement für AEOS-Wirtschaftsbeteiligte
• IT-Sicherheits-Governance für AEOS
• AEO-Audit und Vulnerability-Tests: Was die Zollbeamten überprüfen
• SOC-Überwachung und Incident Response für AEO-Wirtschaftsbeteiligte
• Cybersicherheitsschulung für AEO-Personal