IT-Security

Pentesting: Autorisierte und simulierte Cyberangriffe

25. April 2023 von Marek Röhner

Was ist Pentesting?
©Xilon - Adobe Stock

5
(2)

Cybersecurity ist für Unternehmen heute überlebenswichtig. Aber wie gut greifen die bestehenden Maßnahmen? IT-Infrastrukturen und Angriffsmethoden ändern sich schnell. Was gestern sicher war, kann heute schon gefährdet sein. Deshalb ist es unumgänglich, die eigene Sicherheitsaufstellung regelmäßig auf Herz und Nieren zu prüfen und eventuell existierende Schwachstellen zu schließen. Dieser Beitrag beschäftigt sich mit dem Penetrationstest oder Pentesting. Wir wollen aufklären, worum es dabei geht, welche Möglichkeiten es gibt und vor allem welche Vorteile es hat, die eigene IT-Sicherheit regelmäßig testen zu lassen.

 

Digitalisierung zwingt zu umfassendem Schutz: Pentesting kann Ihnen helfen!

Die fortschreitende Digitalisierung ist inzwischen in jeder Branche und in jeder Unternehmensgröße bemerkbar: Prozesse werden zunehmend digitalisiert und Systeme miteinander verbunden, kritische Geschäftsanwendungen erfolgen immer häufiger web- und/oder mobilbasiert und immer mehr Anwendungen und Daten werden in die Cloud verlagert.

Das erhöht natürlich auch die Angriffsfläche für Cyberkriminelle und mit zunehmender Digitalisierung nehmen auch Sicherheitsbedrohungen und Angriffe beständig zu. Für Unternehmen kann ein Angriff nicht nur die Daten kompromittieren sowie die DSGVO-Compliance beeinträchtigen und damit erhebliche Kosten verursachen, sondern auch den Ruf langfristig schädigen. Vor allem Unternehmen müssen sich deshalb umfassend vor solchen Angriffen schützen.

Mit Pentests lassen sich vorhandene Schwachstellen frühzeitig erkennen, noch bevor Hacker die Systeme attackieren können.

 

Hackern eine Spur voraus: Sicherheitslücken mi Pentesting aufdecken

Die beste Methode, Hacker und ihre Methoden zu verstehen, ist, genauso zu handeln wie sie. Dies geschieht bei Penetrationstests, kurz „Pentests“, bei denen Sicherheitsexperten alle Systemkomponenten und Anwendungen in einem Netzwerk oder Softwaresystem mit den Mitteln und Methoden prüfen, die ein Hacker verwenden würde, um in das System einzudringen.

Ziel ist es, Schwachstellen in bestehender IT-Infrastruktur (Netzwerke und IT-Systeme) sowie Webapplikationen (z.B. Onlineshops, Kundenportale, Online-Banking) und Anwenderfehler aufzudecken, die bisher und ohne simulierten Hackerangriff nicht erkannt worden sind.

Oder anders gesagt: Der Pentest ermittelt, wie empfindlich ein System für Angriffe ist. Anhand der erkannten Muster und Schwachstellen können die Experten Folgenabschätzungen erstellen und Abschlussberichte mit Vorschlägen zur Risikominimierung und technischen Sicherheitslösungen vorlegen.

Da Cyberkriminelle immer gewiefter werden und ihre Angriffsmethoden und –Verfahren fortwährend anpassen und erneuern, um neue Sicherheitsbarrieren zu überwinden, sollten Unternehmen Pentests in regelmäßigen Abständen durchführen. Damit reduzieren sich Netzwerkausfallzeiten, Sanierungskosten und das Risiko eines Imageschadens für das Unternehmen. Denn bedenken Sie bitte: Ein Penetrationstest ist – übrigens wie alle anderen Sicherheitsprüfungen – nur eine Momentaufnahme der Resilienz des Unternehmens.

Varianten eines Penetrationstests

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Klassifikationsschema für Penetrationstests entwickelt, das im Wesentlichen sechs Kriterien umfasst. Anhand dieser Kriterien stellen die beauftragen Sicherheitsexperten gemeinsam mit dem Kunden einen individuellen Pentest zusammen. Die zu klärenden Kriterien sind dabei: Informationsbasis, Aggressivität, Umfang, Vorgehensweise, Technik und Ausgangspunkt.

Externe vs. Interne Pentests

Zu unterscheiden ist zunächst der interne vom externen Penetrationstest. Wird ein externer Penetrationstest durchgeführt, prüfen Sicherheitsexperten wie gut Unternehmensnetzwerke, Systeme oder Webpräsenzen von außen angreifbar sind. Dem gegenüber untersuchen sie beim internen Penetrationstest, welchen Bewegungs- und Handlungsspielraum Hacker haben, wenn sie sich bereits im Netzwerk befinden. Gerade interne Pentests sind besonders wichtig, denn auch mit den besten technischen Schutzmaßnahmen kann es passieren, dass Menschen Fehler machen oder sich von Cyberkriminellen austricksen lassen.

Black-Box-Test, White-Box-Test und Grey-Box-Test

Als realistischste Form eines externen Angriffs gilt der sogenannte Black-Box-Test. Hier erhält der Testende keine weiteren Informationen über das System.

Bei einem sogenannten White-Box-Test erhält der Testende hingegen grundlegende Informationen über das System, das er penetrieren soll, sowie – idealerweise – auch das IT-Sicherheitskonzept mit der Dokumentation der zugehörigen IT-Infrastruktur. Bei dieser Variante geht es oft darum, theoretische Szenarien auszuloten – nur für Ernstfall und um dann auf der sicheren Seite zu sein.

Wird nur ein bestimmter Teil der möglichen Informationen vorab zur Verfügung gestellt, sprechen Experten von einem Grey-Box-Test, einer Mischform der beiden vorangehenden.

Da die Pentester:innen das Vorgehen einer Gruppe von Angreifenden simulieren, werden sie als „Red Team“ bezeichnet. Ist nicht nur die Antwort der Schutzmechanismen und Sicherheitsmaßnahmen im Mittelpunkt des Tests, sondern steht auch die Schnelligkeit und Kompetenz der Sicherheitsexperten des Auftraggebers auf dem Prüfstein, werden die Pentester:innen als „Blue Team“ bezeichnet.

 

Welche Arten an Pentesting gibt es?

Je nach Unternehmensgröße oder Projekt lassen sich Pentests in drei Arten unterteilen, die jedoch auch miteinander kombiniert werden können.

  1. Pentests für Webanwendungen
    Ein Web-Pentest konzentriert sich auf eine Web- oder API-Anwendung, nicht auf ein Netzwerk. Ziel ist es, Sicherheitslücken in der Web-Anwendung aufzudecken und Verteidigungsmechanismen zu stärken. Getestet werden dabei das Frontend und das Backend mit allen zugrunde liegenden Datenbanksystemen und den entsprechenden Schnittstellen. Um zu verhindern, dass durch einen möglichen Datendiebstahl eine meldepflichtige (und teure) Datenpanne entsteht, sollten sich diese Pentests am Praxis-Leitfaden für IS-Penetrationstests des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und an den Vorgaben der Datenschutz-Grundverordnung (DSGVO) orientieren.
  2. Pentests für Mobile Apps
    Mobile Apps sind aus unserem Alltag nicht mehr wegzudenken. Ihre Sicherheit ist damit ein Grundpfeiler für den Schutz von unternehmenseigenen und privaten Mobilgeräten. Der Schwerpunkt dieser Pentests liegt vor allem auf der Sicherheit der Architektur, der sicheren Datenspeicherung und dem Datenschutz, der Verschlüsselung von Daten bei der Netzwerkkommunikation und der Manipulationssicherheit. Mobile-Pentests orientieren sich am Mobile Application Security Verification Standard (MASVS) sowie an den oben erwähnten Leitfäden für Datensicherheit.
  3. Pentests für Infrastrukturen
    Große Unternehmen arbeiten meist mit sehr komplexen Netzwerken, die fehleranfällig sein können. Insbesondere kritische Infrastrukturen (KRITIS) benötigen besonderen Schutz. Pentester:innen analysieren bei ihren Test mittels manueller und automatisierter Scans die Firewall und Versionsupdates, überprüfen die Verschlüsselung von Kommunikationskanälen wie dem VPN, prüfen Berechtigungen und ob und wie sich Manipulation des Routings von Nachrichten und Daten verhindern lassen. Außerdem decken sie unbeabsichtigte Beziehungen in der Active-Directory-Umgebung und analysieren die Sicherheit von IoT-Geräten. Als Grundlage dienen neben den Richtlinien, die die DSGVO vorgibt, die Leitlinien des BSI sowie diverse andere Standards, wie OSSTMM, NIST, PCIDSS und PTES.

 

Phasen eines Penetrationstests

Je umfassender, länger und regelmäßiger Pentests durchgeführt werden, desto besser lassen sich Sicherheitslücken erkennen und verhindern. Dabei ist der genaue Ablauf und die Art des Penetrationstests ein agiler Prozess, der auf jede Unternehmensgröße, seine Infrastruktur und Projekte angepasst wird. Ohne eine strukturierte Vorgehensweise geht es allerdings nicht und so umfasst ein Pentest mehrere Schritte.

  1. Vorbereitung
    Bei einem Vorbereitungsgespräch werden die Anforderungen und Rahmenbedingungen festgelegt, Ansprechpartner sowie notwendige Zugriffe auf Benutzerkonten ermittelt und Eskalationswege definiert, damit der Pentest-Prozess einem detaillierten Pfad folgen kann.
  2. Informationsbeschaffung
    Jetzt geht es an die Informationsbeschaffung. Die Sicherheitsexperten erfassen nun so viele Informationen über die Webanwendungen, mobilen Apps und Infrastrukturen wie möglich, um Analysestrategien zu entwickeln, anhand derer mögliche Angriffsvektoren ermittelt werden. Diese werden in dann in umfassenden Tests auf Schwachstellen untersucht.
  3. Verifikationstests
    Jetzt wird es ernst: Die Schwachstellen werden im Test ausgenutzt. Die Tester:innen verschaffen sich mithilfe vorhandener oder neu erstellter Exploits Zugriff auf das Zielsystem. Bestätigte Schwachstellen werden in einem Bericht zusammengetragen und anhand ihres Schweregrads bewertet.
  4. Abschlussanalyse
    Es folgt die Auswertung und Dokumentation der Ergebnisse. In einem Managementbericht und in einer umfassenden Test- und Schwachstellenbeschreibung werden die Schwachstellen aufgelistet und Gegenmaßnahmen empfohlen bzw. Handlungsempfehlungen ausgesprochen.
  5. Nachbereitung
    Anhand des Analyseberichts würde sich die Beseitigung der Schwachstellen anbieten. Hier sind Auftraggeber nicht allein, sondern sollten die Unterstützung des Pentest-Diensteanbieters oder weiterer Sicherheitsexperten in Anspruch nehmen. Wurden die Empfehlungen umgesetzt, sollten die Sicherheitslücken erneut überprüft werden, um neue oder noch nicht gestopfte Lücken zu erkennen.

 

Manuelles vs. automatisches Pentesting

Manuell durchgeführte Tests machen aktuell noch den größten Teil der Analysen aus – und werden es wohl noch eine ganze Weile. Allerdings sind sie auch sehr aufwändig und kostenintensiv, weshalb sie häufig nur einmal im Jahr durchgeführt werden. Jährliches Pentesting reicht jedoch nicht aus, um gut geschützt zu sein: Cyberangreifende ändern ihre Methoden schnell und entwickeln ihre Angriffstechniken äußerst dynamisch. Zumal die Tester:innen die neuesten Hacking-Methoden kennen müssen, um diese beim Kunden zu simulieren.

Deshalb werden automatisch durchgeführte Pentests immer wichtiger: Moderne Software-Lösungen ermöglichen es inzwischen, Pentests weitgehend automatisiert durchzuführen. Das spart Aufwand, erhöht die Geschwindigkeit der Untersuchungen und reduziert die Kosten deutlich. Im Ergebnis können Systeme sogar von komplexen IT-Umgebungen schnell und effizient auf Schwachstellen gescannt werden. Häufig liegen Ergebnisse bereits nach 48 Stunden vor.

Langfristig wird der Trend vermutlich dahin gehen, manuelle Pentests nur noch in Sonderfällen zu prüfen oder um Whitebox-Testing durchzuführen.

Pentesting-Angebote des BSI

Das BSI bietet vorrangig Bundesbehörden zwei Testmethoden an: den IS-Penetrationstest sowie den IS-Webcheck. Beide konzentrieren sich auf die häufigsten und bekanntesten Schwachstellen von weitverbreiteten IT-Systemen und sollten – um langfristig einen guten Sicherheitseindruck über die IT-Systeme zu gewinnen – in regelmäßigen Abständen wiederholt werden.

IS-Penetrationstest
Bei IS-Penetrationstests werden vorrangig Schnittstellen nach außen untersucht, über die potenzielle Angreifende in die IT-Systeme eindringen könnten. Hierbei werden Konfigurationsfehler sowie noch nicht behobene Schwachstellen identifiziert. Je nach Kundenwunsch testet das BSI in unterschiedlicher Tiefe getestet werden. So können wahlweise nur stichprobenartig sicherheitsrelevante Konfigurationen und Regelwerke der eingesetzten IT-Systeme untersucht und daraufhin Empfehlungen für die Schließung möglicher Schwachstellen gegeben werden. Oder aber es werden durch umfangreiche technische Untersuchungen Schwachstellen in den getesteten IT-Systemen aufgespürt.

IS-Webcheck
Mit einem IS-Webcheck des BSI wird der Sicherheitsstand der Internetpräsenz einer Behörde oder einer Institution geprüft. Diese Tests werden zum Großteil durch den Einsatz automatisierter Methoden über das Internet durchgeführt.

 

Fazit zu Pentesting: Vorsorge ist besser als Nachsorge

Die eigene IT-Sicherheit auf Herz und Nieren zu prüfen ist wichtig und als Investition zu sehen, denn ein entstandener Schaden ist meist teurer. Es empfiehlt sich jedoch, beim Pentesting mit einem erfahrenen Cybersecurity-Dienstleister zusammenzuarbeiten, der über entsprechende Referenzen und Expertise verfügt.

Alternativ können IT-Teams selbst automatisiertes Pentesting etablieren: Die Software ist meist schnell installiert und eingerichtet. Dennoch dürfte für viele Unternehmen die Herausforderung in der Auswertung der Ergebnisse liegen: Es genügt nicht, Sicherheitslücken zu identifizieren. Es müssen auch die richtigen Maßnahmen ergriffen werden, um die Schwachstellen zu schließen.

 

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 2


0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu