Wissen Sie, wie lange es dauert, Ihre IT-Sicherheitsmaßnahmen zu umgehen und in Ihr Netzwerk einzudringen? Unternehmensvorstände, Geschäftsführer und Gesellschafter sind gesetzlich verpflichtet, mögliche Risiken fürs Business zu minimieren; angesichts der Abhängigkeit des operativen Geschäfts von der IT sollte Cybersicherheit im Management höchste Priorität genießen.
Wer Sicherheit und Reputation seiner Organisation nicht aufs Spiel setzen und persönliche Haftungsrisiken minimieren will, geht in die Offensive: mit regelmäßigen Penetrationstests. Severin Quell, Director IT Security Consulting und Aaron Brown, Team Lead Security Audit, beide bei der INFODAS GmbH, erläutern, warum Penetrationstests eben keine Sicherheits- und Schwachstellenanalysen sind, aber alle drei Methoden zum Instrumentarium gehören sollten, um das IT-Sicherheitsniveau in der Organisation zu steigern.
Gerät ein namhaftes Unternehmen oder eine Organisation wegen Sicherheitsproblemen in die Schlagzeilen, wurden in der Regel zuvor bekannte Schwachstellen nicht rechtzeitig erkannt oder nicht sofort geschlossen. Sicherheitskonzepte und -richtlinien sind in diesen Fällen oft veraltet oder unvollständig, Mitarbeiter wurden nur unzureichend sensibilisiert, Sicherheitslücken in Webanwendungen, Hard- und Software sowie Netzwerkeinstellungen nicht geflickt. Und: Offenbar wurden die IT-Sicherheitsmaßnahmen nicht regelmäßig auf ihre Wirksamkeit überprüft. In solchen Fällen sinkt das IT-Sicherheitsniveau schneller als man denkt.
Zu den üblichen Sicherheitsüberprüfungen zählen
- die Sicherheitsanalyse
- die Schwachstellenanalyse
- der Penetrationstest.
Die Unterschiede liegen im Vorgehensmodell, im Erkenntnisgewinn und dem Einsatz von Tools und Personal.
Die Gemeinsamkeiten
Alle drei IT-Sicherheitsüberprüfungen führen jeweils darauf spezialisierte IT-Experten durch. Sie verfügen über fundierte Erfahrung und Wissen mit Blick auf aktuelle Bedrohungsszenarien und kennen sich mit den technologischen Möglichkeiten von Cyberkriminellen aus. Sie sind in der Lage, sich in die Denkmuster und mögliche Angriffsstrategien der Hacker hineinzuversetzen und auf dieser Grundlage mögliche Szenarien durchzuspielen.
Die Sicherheitsanalyse
Bei der Sicherheitsanalyse verschaffen sich Cybersecurity-Spezialisten einen Überblick über den Informationsverbund und seine Sicherheitsmaßnahmen. Ergänzend können technische Prüfungen zum Einsatz kommen. Ausgangspunkt der Sicherheitsanalyse sind die Dokumentation der IT-Infrastrukturen, der eingesetzten Hard- und Software sowie ein IT-Sicherheitskonzept. Die Analytiker überprüfen in der Dokumentation alle dort aufgeführten Systeme, Einstellungen und Versionen. Sie prüfen
- die Aktualität der eingesetzten Hard- und Software, also Betriebssysteme
- zulässige Anwendungen
- Server-Dienste
- die Schutzmaßnahmen vor Schadcodes
- die Angemessenheit von Authentifizierungsverfahren
- die Passwort- und Benutzersicherheit
- mögliche Konfigurations- und Administrationsfehler.
Bei Webanwendungen überprüfen sie die Verarbeitung von Benutzereingaben. Dabei steht die Widerstandsfähigkeit gegen Cross-Site-Scripting sowie SQL-Lücken und das Session-Management im Zentrum. Bei verschlüsselten Verbindungen wie beispielsweise bei Virtual Private Network (VPN) analysieren die Experten
- die ausgewählten Authentifizierungsverfahren
- die Sicherheit der Verschlüsselungsalgorithmen und Schlüssellängen
- die Aktualität der eingesetzten Zertifikate.
Darüber hinaus gilt es, zu prüfen, ob Angreifer sich auf eine gültige VPN-Verbindung aufschalten könnten (Man-in-the-Middle-Attack) um Sicherheitsmaßnahmen für die Zugriffskontrolle zu umgehen und auf Daten zuzugreifen. Die Sicherheitsanalytiker versuchen also, alle potenziellen Angriffsziele entlang der Schnittstellen zwischen dem Netzwerk, den Anwendungen und den Nutzern auf Grundlage der Dokumentation zu identifizieren. Bereits hier treffen sie häufig auf Sicherheitslücken,
die durch Aufspielen neuer Sicherheitspatches der Hersteller zu beseitigen sind. Oft finden die Analytiker auch veraltete Versionen bei Anwendungen, abgelaufene Zertifikate oder nicht mehr zeitgemäße Einstellungen bei Sicherheitsanwendungen. Bis zu dieser Stelle arbeiten Sicherheitsanalysten auf der Dokumentationsebene und damit auf der Ebene, wie eine IT-Infrastruktur sein sollte.
Was oft in den Hintergrund rückt, aber immer wieder seine Berechtigung hat: die interne Variante der Sicherheitsanalyse. Ziel ist es, das aktuelle Sicherheitsniveau der IT-Infrastruktur gegenüber Angriffen aus dem internen Unternehmensnetzwerk zu bestimmen, etwa durch interne oder externe Mitarbeiter (die Zugang zum Netzwerk haben), Angestellte eines Dienstleisters oder unbekannte Dritte. Der Schaden kann weitaus größer sein als bei Angriffen über das Internet. Die Analyse erfolgt in der Regel durch den Anschluss von IT-Equipment der Security Analysts an das interne Netzwerk oder durch den simulierten Missbrauch eines kompromittierten Unternehmensarbeitsplatzes.
Die Schwachstellenanalyse
Die Schwachstellenanalyse beinhaltet eine konkrete Untersuchung auf bekannte Schwachstellen. Mit Tools lassen sich bekannte Sicherheitslücken relativ schnell aufdecken. Die Schwachstellenanalyse ist also technik-lastig, standardisiert und fördert erfahrungsgemäß zeitnah Ergebnisse zutage. Das kann allerdings zu einem trügerischen Sicherheitsgefühl verleiten, dem man nicht nachgeben sollte. Denn die Findings, die sich auf bekannte Sicherheitslücken beziehen, bedeuten nicht, dass darüber hinaus nicht neue oder komplexe Schwachstellen im Unternehmensnetzwerk vorhanden sind. Diese lassen sich mit der Schwachstellenanalyse aber nicht detektieren.
Sowohl die tool-basierte Schwachstellenanalyse als auch die Sicherheitsanalyse stoßen an ihre Grenzen, wenn es gilt, auch bisher unbekannten Sicherheitslücken auf die Spur zu kommen. Dann ist der Penetrationstest das Mittel der Wahl.
Der Penetrationstest ist die kreativste Form des simulierten Cyber-Angriffs und gilt als Kür unter den Sicherheitstests. Penetrationstester, auch Ethische Hacker genannt, werden von Unternehmen beauftragt, um mit Hackerintelligenz, Kreativität, geballtem Wissen aus der Hackerszene sowie forensischem Gespür nach bisher unbekannten Sicherheitslücken zu fahnden sowie die gesamte Resilienz des Unternehmens und seiner IT-Infrastruktur gegenüber echten Angriffen zu bewerten.
In einem Penetrationstest nutzen Spezialisten bereits detektierte Schwachstellen, um potenzielle Angriffsszenarien in der mit dem Kunden vereinbarten Angriffstiefe kreativ zu analysieren und versuchen, neue Schwachstellen zu entdecken. Häufig reicht eine einzige Schwachstelle entlang der Schnittstelle zwischen Internet und Unternehmensnetzwerk, – z.B. ein offener Port, der zwar für die betriebliche Netzkommunikation wichtig ist, aber auch für andere Zwecke genutzt werden kann oder vom Hersteller nicht entdeckte Schlupflöcher – um einen umfassenden Angriff auf Infrastruktur, Systeme oder Applikationen zu starten, nachgelagerte Sicherheitsmaßnahmen auszuhebeln und sich bis zu den „Kronjuwelen“ vorzuarbeiten.
Dabei handeln sie wie Cyberkriminelle. Zum Beispiel verschleiern sie ihre Aktivitäten, damit sie im Netzwerk durch Schutzmechanismen und Sicherheitstools nicht entdeckt werden.
Diese Arbeit ist nur manuell möglich und unter den richtigen Rahmenbedingungen auch völlig legal. Liegt keine verbindliche vertragliche Festlegung für die Arbeit ethischer Hacker vor, ist das Ausspähen und Abfangen von Daten wird nach § 202c Strafgesetzbuch („Hackerparagraph“) mit bis zu zwei Jahren Freiheitsstrafe oder Geldstrafe bedroht. (Mehr zum Thema in Folge 3 dieser Serie.) Wie bei der Sicherheitsanalyse steht am Ende des Penetrationstests ein ausführlicher Bericht mit den gefundenen Schwachstellen sowie Empfehlungen, wie die Auftraggeber ihre Netzwerke, Systeme, Soft- und Hardware noch besser absichern sowie Mitarbeiter noch stärker für die mögliche Cyber-Gefahren sensibilisieren können.
Alle Sicherheitsüberprüfungen sollten in ausführliche Berichte münden, die idealerweise nicht nur CISOs verstehen, sondern z.B. auch der Geschäftsführer. Er muss die richtigen Entscheidungen treffen können, um potenzielle Angreifer künftig so früh wie möglich von einer Attacke auf das Unternehmensnetzwerk abzuhalten. Anschließend können Administratoren die gefundenen Schwachstellen und Sicherheitslücken selbst schließen oder noch weitergehende Überprüfungen durchführen.
Beispiele für Penetrations-Tests aus der Praxis finden Sie hier.
Lesen Sie Teil 1 der Serie:
Penetrationstests: Hacking per Auftrag
Wie läuft ein Penetrationstest ab? Wie können sich Unternehmen darauf vorbereiten? Mehr dazu in Folge 3.