SICHERHEITSLÜCKEN AUFDECKEN

Alles auf Angriff: der Penetrationstest
#IT-Security #Sicherheit

Bei einem Penetrationstest, kurz Pentest, werden IT-Systeme von Unternehmen rigoros auf Sicherheitslücken gecheckt. Ihr Ziel: Angreifern im Ernstfall möglichst wenig Chancen zu lassen.

Wie sicher sind die eigenen IT-Systeme? Darauf antworten Unternehmen hinter vorgehaltener Hand: „Geht so.“ Ihre offizielle Antwort hingegen lautet: „Super. Sonst wäre ja schon längst etwas passiert.“ Nun ja. Was passiert, kriegen Unternehmen nicht unbedingt mit. Oft fällt keinem auf, wenn sich digitale Eindringlinge auf den firmeneigenen Servern umschauen. „Geht so“ ist zu wenig.

Wer die Sicherheit der eigenen IT-Systeme realistisch einschätzen will, muss sie checken lassen. Diesen Check gibt es in der Basic-Variante des Schwachstellenscans. Dabei werden Systeme durch automatisch ablaufende Programme auf bekannte Probleme und Sicherheitslücken geprüft. Wer es ernst meint, wagt einen Penetrationstest, kurz Pentest. Dabei werden spezialisierte Programme eingesetzt oder es wird sogar ein Hacker darauf angesetzt, Schwachstellen aufzuspüren.

Penetrationstests werden auf die jeweilige Aufgabe zugeschnitten und abgestimmt, das macht sie deutlich aufwendiger. Aber auch erfolgreich, denn Pentests erkennen die Ausmaße bisher unbekannter Sicherheitslücken. Dafür kommen neben speziellen Hacking-Tools auch manuell ausgeführte Angriffsmethoden zum Einsatz. „Um sich vor Hackerangriffen wirksam zu schützen, sind Penetrationstests ideal, weil sie ein klares Bild der Sicherheitslage eines Systems geben“, sagt Philipp Brusendorff, Teamleiter Sales bei TA Triumph-Adler. „Und wer seine Schwachstellen kennt, ist den Angreifern immer einen Schritt voraus.“  

Der Umfang der Tests orientiert sich am Gefährdungspotenzial. Firewalls als Übergang zwischen Internet und Firmennetz sind prädestiniert für Angriffe und somit erster Ansatzpunkt für Penetrationstests. Gefährdete Systeme wie öffentlich erreichbare Webserver werden intensiver geprüft als interne Anwendungen ohne hohe Systemrelevanz. Unternehmen können wählen, ob intern oder extern zugängliche Systeme getestet werden – oder beides. Anbieter wie Ceyoniq oder der TÜViT starten auf Anfrage einen „Proof of Concept“-Angriff, um zu belegen, wie leicht bestimmte Schwachstellen ausgenutzt werden können.

Die neun Stufen des Pentests

Zu einem optimalen Pentest zählen folgende Leistungen: 

1. Das gesamte Netzwerk wird von außen auf Schwachstellen untersucht.

2. Alle Server und Dienste werden getestet.

3.  Die Kommunikationsinfrastruktur wird geprüft.

4.  Die Zugangsbeschränkungen werden geprüft.

5.  Das Reaktionsverhalten der IT und der Mitarbeiter wird getestet.

6.  Social-Engineering-Attacken (Telefon, E-Mail) werden durchgeführt.

7.  Die Prüfergebnisse werden mit einem detaillierten Bericht abgegeben.

8.  Gemeinsam mit dem Unternehmen wird ein Plan erstellt, um die IT umfassend zu schützen.

9.  Im Anschluss an die Umsetzung aller Verbesserungsmaßnahmen wird  ein Nachtest durchgeführt.

Von der Planung bis zur Nachbereitung dauert ein Penetrationstest meistens nicht länger als vier Wochen. „Weder der Unternehmens-IT noch den Mitarbeitern geben wir vorher Bescheid, dass ein solcher Test stattfindet. Nur die Geschäftsführung ist eingeweiht“, sagt TA-Experte Brusendorff. „Wir wollen unbedingt echte Reaktionen einfangen. Ein Hacker ruft vorher schließlich auch nicht an.“

Praktisch für Unternehmen: Zwei persönliche Treffen für Vor- und Nachgespräch reichen aus. „Zu Anfang sprechen wir mit dem Kunden über das vorhandene Budget und die genauen Vorstellungen“, sagt Brusendorff. „Nach Abschluss des Pentests liefern wir einen umfangreichen Testbericht, der alle gefundenen Schwachstellen aufweist und Empfehlungen formuliert.“ 

Qualität und Nutzen eines Penetrationstests werden laut Bundesamt für Sicherheit in der Informationstechnik (BSI) davon bestimmt, inwieweit er auf die individuelle Situation des Auftraggebers eingeht. Entscheidend sei, wie viel Zeit und Ressourcen der Dienstleister auf die Ausforschung von Schwachstellen in der konkreten IT-Infrastruktur verwendet und wie kreativ er dabei vorgeht.

Dienstleister sollten auch prüfen, rät das BSI, welche Schäden eine gestohlene Festplatte mit vertraulichen Daten nach sich ziehen kann. Das Durchsuchen von Abfällen nach Dokumenten mit sicherheitssensiblen Informationen (Dumpster Diving) sollten Unternehmen nicht unterschätzen: Manchem unzufriedenen oder gekündigten Mitarbeiter steht der Sinn nach Sabotage. Der Mensch gilt generell als größtes Sicherheitsrisiko, deshalb ist „Social Engineering“ so erfolgreich. Dabei wird versucht, arglose Mitarbeiter so zu manipulieren, dass sie wichtige Informationen – etwa Passwörter – weitergeben.

Wann ist ein Pentest erfolgreich?

Penetrationstests bedürfen neben technischen auch rechtlicher Vorarbeiten, denn alle geprüften Organisationen müssen damit einverstanden sein. Ohne Einwilligung dürfen keine IT-Systeme oder Netze von Dritten getestet werden. Der Auftraggeber hat vor dem Start des Pentests zu klären, für welche Komponenten dies zutrifft. Das ist nicht immer einfach, da viele Unternehmen externe IT-Dienstleistungen und Cloud-Services in Anspruch nehmen.

Wann ein Penetrationstest als erfolgreich gilt, sollte vorab klar vereinbart werden. Mögliche Ziele lassen sich in drei Gruppen einteilen:

1.  Erhöhung der Sicherheit der technischen Systeme

Meist sollen Penetrationstests die Sicherheit der technischen Systeme erhöhen. Die Tests beschränken sich auf Systeme wie Firewall, Router, Webserver etc. Mögliche Erkenntnisse: nicht benötigte offene Ports der Firewall sowie verwundbare Versionen der eingesetzten Internet-Applikationen oder Betriebssysteme.

2. Identifikation von Schwachstellen

Gemeint ist kein automatisierter Schwachstellenscan, sondern das Prüfen einer konkreten potenziellen Schwachstelle, wenn etwa zwei LANs nach einer Firmenfusion zusammengeschaltet werden sollen.

3. Erhöhung der Sicherheit der organisatorischen und personellen Infrastruktur

Wie gesagt: Nicht die Technik, sondern der Mensch ist das größte Risiko. Ein Pentest kann, etwa durch Social Engineering, das allgemeine Sicherheitsbewusstsein und damit die Wirksamkeit von Sicherheitsleitlinien und Nutzungsvereinbarungen prüfen. „Auch die beste Technik reicht nicht aus“, sagt Experte Brusendorff, „wenn die Mitarbeiter selbst zur Sicherheitslücke werden.“ 

Der Pentest als „Call to Action“

Ein Penetrationstest ist nie Selbstzweck, sondern immer „Call to Action“. Das Unternehmen muss anschließend aktiv werden, um Schwachstellen zu beseitigen. Deshalb wird die Auswertung immer von konkreten Lösungsvorschlägen begleitet. Das sieht üblicherweise folgendermaßen aus:

  • Ausführlicher Bericht: Dabei werden die identifizierten Schwachstellen nicht nur aufgelistet, sondern jeweils mit einer Risikoabschätzung versehen.
  • Lösungsvorschläge: konkrete Tipps, wie die Sicherheitslücken zu schließen sind.
  • Überprüfung: Nach einigen Monaten checken die Sicherheitsexperten, ob die eingeleiteten Verbesserungen greifen.

Jeder Penetrationstest ist eine Momentaufnahme, da beinahe täglich neue Schwachstellen in aktuellen Applikationen und IT-Systemen auftauchen. „Heutzutage können es sich Firmen einfach nicht leisten, mit ihrer IT-Sicherheit zufrieden zu sein“, sagt TA-Experte Philipp Brusendorff. „Zu groß sind die Gefahren von Angreifern und ihren immer raffinierteren Methoden.“ Nach einem Penetrationstest wissen Unternehmen ganz genau, wo sie stehen – und was es nachzubessern gilt.

Ihr Weg zum Penetrationstest

IT-Sicherheit ist ein Kernthema in den Unternehmen. TA Triumph-Adler hilft auf dem Weg zu einer höheren IT-Security. Über unsere Partner Ceyoniq und TÜViT bieten wir den Zugang zu einem White Hat Hacker und vermitteln Penetrationstests und Schwachstellenscans für Unternehmen und Organisationen. Sie möchten mehr erfahren? Wir beraten Sie gern.