Regelmäßige Penetrationstests
Haftungsrisiken begrenzen
Penetrationstests sind beauftragte, autorisierte, geplante und simulierte Hackerangriffe auf zuvor vereinbarte Ziele, um festzustellen, inwieweit sich kriminelle Dritte oder interne Mitarbeiter unbefugten Zugang zu vertraulichen Informationen beschaffen können. Für die erfolgreiche Durchführung von Penetrationstests gilt es bei der Planung einiges zu beachten.
Die professionelle Steuerung der IT-Sicherheit gehört mittlerweile zu den wichtigsten Management-Aufgaben im Rahmen von Compliance-Anforderungen. Ist ein Hackerangriff erfolgreich, können sich Geschäftsführer und Vorstände nicht mit Unwissenheit herausreden. Die einzige Chance, Haftungsrisiken zu begrenzen, ist eine proaktive, regelmäßige und professionelle Überprüfung des jeweiligen IT-Sicherheitsniveaus vor dem Hintergrund des aktuellen technischen Wissens. Die Datenschutz-Grundverordnung (DSGVO) etwa schreibt „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ vor. Ein wirksames Verfahren ist hier der Penetrationstest.
Erfolgsfaktor 1: die Unterschiede kennen und wissen, was man beauftragt. Unabhängig davon, ob man Wirksamkeitsprüfungen für IT-Sicherheitsmaßnahmen durch interne Mitarbeiter oder externe Dienstleister durchführen lässt, ist es wichtig, den Penetrationstest nicht mit einer Schwachstellenanalyse zu verwechseln. Management und Auftraggeber sollten auf jeden Fall nachhaken, was genau geplant ist, um sicher zu sein, welche Ergebnisse sie erwarten können. Einer der wichtigsten Punkte: Mit einer Schwachstellenanalyse lassen sich nur bekannte Sicherheitslücken aufspüren. Wer wirklich wissen will, wie es um die aktuelle Sicherheitslage, Risiken und Resilienz seines IT-Systems und dessen Infrastruktur bestellt ist, der entscheidet sich für den Penetrationstest. Denn dieses Vorgehen ist die einzige Möglichkeit, noch unbekannte Sicherheitslücken zuverlässig aufzuspüren – bevor Hacker sich diese zunutze machen, um geistiges Eigentum zu stehlen oder Schäden anzurichten, etwa durch eine Betriebsunterbrechung. Penetrationstester gehen hier mit Hackerintelligenz ans Werk. Sie brauchen eine gute Portion Kreativität, geballtes Wissen aus den aktuellen Diskursen der Hackerszene sowie forensisches Gespür. Dabei denken und handeln sie wie Cyberkriminelle und verschleiern wenn nötig ihre Aktivitäten, damit Schutzmechanismen und Sicherheits-Tools sie im Netzwerk nicht entdecken.
Erfolgsfaktor 2: die realistischste Angriffsmethode wählen. Es gibt verschiedene Angriffsmethoden beim Pentesting, abhängig von den Zielen der Organisation und dem gewünschten Erkenntnisgewinn. Das Social Engineering oder der physische Angriff haben andere Aspekte im Fokus. Auch wenn physische Sicherheit in Organisationen ein oft vernachlässigter Aspekt der IT-Sicherheit ist und Social Engineering schonungslos offenlegt, wie ausgeprägt die Awareness für IT-Sicherheit in der Belegschaft wirklich ist: Die meisten Auftraggeber entscheiden sich für den Angriff über das Netzwerk, da er die derzeit wahrscheinlichste Form eines Angriffs ist. Dabei nutzen die Security-Analysten die verwendeten Netzwerkprotokolle, um auf geschützte Netzwerkbereiche und Anwendungen zuzugreifen.
Der eigentliche Penetrationstest beginnt in der Regel mit einem Tool-basierten Scan des Netzwerks. Hauptangriffspunkte sind Firewalls, Web-Server und Remote-Access-Services (RAS) zur Fernwartung, bei Microsoft beispielsweise RDP (Remote Desktop Protocol) sowie Funkverbindungen wie WLAN oder Mobilfunk. Bekannte Scan-Tools wie Nessus, Metasploit und der Burp Suite liefern Informationen für die System- und Anwendungsanalyse. Auf dieser Basis greifen die Pentester identifizierte Schwachstellen im Rahmen von Verifikationstests gezielt an (siehe Bild). Dazu nutzen sie Techniken wie Port-Scanning, „Man in the Middle“-Angriffe (Ausspähen von Kommunikation), Code Injection (Einschleusen von Fremdcode) oder DoS-Attacken (Denial of Service, gezielte Überlastung von Servern).
Erfolgsfaktor 3: das Reporting als Grundlage für die kontinuierliche Verbesserung des IT-Sicherheitsniveaus. Seriöse Anbieter fassen die aufgespürten Schwachstellen und Befunde des simulierten Angriffs in einem Abschlussbericht zusammen. Die Dokumentation ist auch deshalb wichtig, um bei regelmäßigen Penetrationstests die Vergleichbarkeit und die Entwicklung der Sicherheitslage eines IT-Systems nachzuvollziehen. Wichtig ist, dass der Report konkrete Empfehlungen formuliert, wie sich Netzwerke, Systeme, Soft- und Hardware noch besser absichern lassen.
Erfolgsfaktor 4: die Auswahl des richtigen Anbieters. Anbieter für die Durchführung von Penetrationstests gibt es viele. Folgende Fragen und Kriterien können bei der Auswahl des fähigen externen Security Analysts helfen: Was genau bietet der Dienstleister an – eine Sicherheitsanalyse, eine Schwachstellenanalyse oder einen Penetrationstest? Nach welchem Vorgehensmodell arbeitet der Anbieter? Vorgehensmodelle für Penetrationstests, wie man sie vom BSI (Bundesamt für Sicherheit in der Informationstechnik) oder durch das OSSTMM (Open Source Security Testing Methodology Manual) beziehen kann, sind heute praktisch Standard. Weitere etablierte Richtlinien für unterschiedliche Einsatzzwecke stammen vom OWASP (Open Web Application Security Project), der US-Organisation NIST (National Institute of Standards and Technology) oder dem PTES-Framework (Penetration Testing Methodologies and Standards).
- Haftungsrisiken begrenzen
- Penetrationstests; Teil 2
Lesen Sie mehr zum Thema
