IT-Systeme funktionieren selten so perfekt, dass sie keine Schwachstellen haben oder unangreifbar sind. Das gilt für einzelne Applikationen und ganze Netzwerke. Viele Sicherheitslecks finden die Unternehmen in ihren IT-Infrastrukturen mithilfe sogenannter Vulnerability-Scanning-Werkzeugen. Das Ergebnis einer Prüfung mit diesen Werkzeugen liefert meistens eine ganze Liste mit Schwachstellen, die der Scan im System gefunden hat. Dabei sind die Schwachstellen immer nach Schweregrad klassifiziert. Für große Unternehmen sind solche Scans an der Tagesordnung. Ein Penetrationstest ist nicht einfach nur ein automatischer Scan. Mit einem Penetrationstest entsteht ein realistisches Bild, wie angreifbar eine IT-Infrastruktur tatsächlich ist.
Penetrationstest gehen in die Tiefe
Bei einem Scan lassen sich bekannte Schwachstellen finden. Doch ein wirkliches Bild, wie die Angreifbarkeit eines Unternehmens tatsächlich ist, liefern diese Scans nicht. Sie decken in der Regel bekannte Sicherheitsprobleme und -lecks ab. Doch Cyberkriminelle nutzen viele andere Methoden für ihre Attacken, um sich Zugriff zu einem Unternehmensnetzwerk zu verschaffen. Diese bleiben bei einem Vulnerability-Scan außen vor. Selbst wenn die IT-Infrastruktur komplett auf dem neusten Stand ist und alle Sicherheitsupdates installiert sind, finden Angreifer mithilfe spezieller Methoden und mit vielfältigen Hacking-Tools immer wieder einen Zugang, eine Schwachstelle, die noch nicht entdeckt wurde.
Bei einem Penetrationstest findet im ersten Schritt ebenfalls ein Schwachstellen-Check statt, um im ersten Schritt die gängigen und bekannten Schwachstellen auszuschalten. Danach kommt ein Experte zum Zug. Sogenannte „White-Hat“-Hacker machen sich im Auftrag des Kunden auf die Suche nach Schwachstellen und versuchen, die Unternehmens-IT-Infrastruktur zu hacken. Dabei unterlassen sie natürlich rechtswidrige und unethische Aktionen, um keinen Schaden anzurichten. „Der Pentester versucht, die Schwachstellen auszunutzen und die sich daraus ergebenden Möglichkeiten für den Angreifer zu bewerten“, sagt der Sicherheitsexperte Dr. Ewan Fleischmann von der Redlings GmbH dazu. Sie liefern am Ende des Tests einen umfangreichen Bericht, wie erfolgreich die verschiedenen Angriffsmethoden in der Realität waren und welche Maßnahmen das Unternehmen ergreifen sollte, um die Sicherheitslücken zu schließen.
Welche Testmöglichkeiten lassen sich unterscheiden?
Die wichtigste Voraussetzung für die Durchführung eines Pentests ist die ausdrückliche Genehmigung des Kunden für einen solchen Test. „Für die Durchführung von Penetrationstests gibt es verschiedene Möglichkeiten“, so Dr. Ewan Fleischmann. Der Unterschied zwischen den verschiedenen Methoden liegt darin, dass der Kunde unterschiedliche Vorgaben machen und Grenzen setzen kann. Auch hängt die Methode davon ab, wie viele Informationen der Kunde im Vorfeld über das Zielsystem preisgibt.
Der sogenannte Black-Box-Test ist der realistischste Test, um einen externen Angriff zu simulieren. Das Unternehmen gibt keinerlei Informationen preis über das IT-System. Das genaue Gegenteil davon ist der White-Box-Test. Bei dieser Methode gibt das Unternehmen alle grundlegenden Informationen zur IT-Infrastruktur preis. Im Idealfall erhält das für den Penetrationstest beauftragte Unternehmen auch alle Informationen zum IT-Sicherheitskonzept und eine Dokumentation der IT-Infrastruktur.
Eine Mischform stellt der Grey-Box-Test dar. Dabei erhält das testende Unternehmen nicht alle Informationen. Pentester arbeiten fast immer als Gruppe von Angreifern und bilden ein Team, das häufig „Red Team“ heißt. Die meisten Tests sind Grey-Box-Tests und finden in Abhängigkeit vom Kundenbedarf statt.
Test ankündigen oder besser nicht?
Ob ein Pentest angekündigt wird oder nicht, hängt unter anderem von der Zielsetzung ab. Unangekündigte Test dienen häufig auch dazu, die Reaktionsgeschwindigkeit und Kompetenz des „Blue Teams“ zu testen.
Bei angekündigten Tests wissen die Verantwortlichen im Unternehmen, dass der Test stattfindet und können schnell reagieren, wenn es zu unerwarteten Situationen kommt. Denn in der Praxis können Situationen auftreten, in denen durch den Penetrationstest produktive Systeme versehentlich beeinträchtigt werden, beispielsweise reagiert ein Server nicht mehr richtig oder eine Protokollierung funktioniert nicht mehr richtig. Ein sofortiges Gespräch mit dem testenden Team führt meist sehr schnell zur Behebung des Problems.
In manchen Fällen will der Kunde sein eigenes Sicherheitspersonal ebenfalls auf den Prüfstand stellen. Dann sind unangekündigte Pentests besser. „Hier geht es vor allem darum, festzustellen, ob die Überwachungsprozesse funktionieren und ob Einbruchsversuche schnell erkannt werden und – insbesondere bei einem Red Team – ob das Blue Team den Eindringling auch schnell und restlos wieder aus der IT-Umgebung des Unternehmens entfernen kann, was sich häufig als gar nicht so einfach darstellt“, stellt Dr. Ewan Fleischmann an dieser Stelle klar.
Angriffsmethoden je nach Zielsetzung unterschiedlich
Dabei lassen sich drei wesentliche Angriffsmethoden unterscheiden:
- physische Angriffe
- Social Engineering und
- Angriffe über das Netzwerk.
Welche Methode das angreifende Team wählt, hängt davon ab, welche Zielsetzung der Auftraggeber vorgibt und welchen Erkenntnisgewinn er erwartet. Am häufigsten sind Angriffe über das Netzwerk.
Wie läuft ein Penetrationstest ab?
Meistens laufen Penetrationstests grob in fünf Phasen ab.
In der Vorbereitungsphase stimmen Auftraggeber und Tester die Ziele ab, erhalten Informationen über das Unternehmen, vereinbaren Prüfmethoden und Prüfgeräte.
In der zweiten Phase geht es um die Beschaffung von Informationen. Die Tester prüfen die Dokumentensicherung, machen Netzwerkmitschnitte, suchen mithilfe von Google-Hacking erste Schwachstellen und machen Portscans vom zu prüfenden System.
In der dritten Phase geht es um Analyse und Angriffsauswahl. Die beauftragten Angreifer recherchieren Schwachstellen, machen eine detaillierte Netzwerkanalyse, hacken Passwörter via Hash Cracking und stimmen weitere Angriffe ab.
Beim anschließenden Verifikationstest dringen die Sicherheitsexperten aktiv in das System des Kunden ein, umgehen dabei Sicherheitsmaßnahmen und nutzen Schwachstellen aus. Dabei kommen unter anderem Man-in-the-Middle-Attacken zum Einsatz.
Bei der abschließenden Analyse erstellen die „Angreifer“ eine umfangreiche Dokumentation und Auswertung der Ergebnisse. Sie liefern eine Zusammenfassung für das Management und eine detaillierte Auflistung der Schwachstellen für die IT-Abteilung. Dabei geben sie ganz konkrete Hinweise und Empfehlungen, was das Unternehmen tun muss, um die Sicherheitslücken zu schließen.
Ein Penetrationstest beginnt nicht erst, wenn die Sicherheitsexperten sich wie Hacker in die IT des Auftraggebers einhacken. Er fängt meistens mit toolbasierten Scans an, die viele hilfreiche Informationen für die Analyse des Systems und der Anwendung liefern. Es geht immer darum, die wunden Punkte des Systems zu finden. Mögliche Angriffspunkte sind dabei:
- Webserver, Fernwartung, Remote Access Services und die Fierwalls
- das Remote Desktop Protocol bei Microsoft
- WLAN- und Mobilfunktechologien
- Webserver für E-Mail, FTP, DNS oder Ähnliches. Sie sind leicht erreichbar und lassen sich von außen besonders leicht angreifen.
Wenn die wunden Punkte identifiziert sind, greifen die Sicherheitsexperten gezielt an oder penetrieren das Netzwerk.
Welche Vorteile haben externe Dienstleister?
Viele kleine und mittelständische Unternehmen haben das erforderliche Know-how für einen Penetrationstest nicht in ihrem Unternehmen. Externe Dienstleister haben zudem den Vorteil, dass sie unvoreingenommen alles überprüfen und testen. Sie müssen sich nicht vor der Geschäftsleitung verantworten, wenn sie Sicherheitslücken aufdecken. Im Gegenteil, sie liefern der internen IT-Sicherheit Argumente, um ihre Forderungen nach Investitionen in die IT-Sicherheit zu untermauern.
Fazit
IT-Sicherheit muss sich ständig weiterentwickeln und darf sich nicht darauf ausruhen, dass es derzeit keine Sicherheitsprobleme gibt. Auf solche Gelegenheiten warten Hacker, um dann die nicht entdeckten Sicherheitslücken für sich auszunutzen. ein Penetrationstest ist daher immer nur eine Momentaufnahme. Im besten Fall findet ein Nachtest statt, um zu sehen, ob die gefundenen Schwachstellen tatsächlich beseitigt sind.
