Teil 3/5

Penetrationstests: Fünf Schritte zu mehr Cybersicherheit

Ein Penetrationstest ist ein beauftragter, autorisierter, geplanter sowie simulierter Cyberangriff auf ein Unternehmen oder eine Einrichtung der Öffentlichen Hand. Ziel ist es, bisher unbekannte Angriffspunkte zu identifizieren und zu eliminieren, bevor Hacker sie dazu nutzen können, geistiges Eigentum oder andere sensible Daten zu stehlen oder eine Organisation anderweitig zu schädigen.

Wie aber verläuft ein Penetrationstest? Severin Quell, Director IT Security Consulting und Aaron Brown, Team Lead Security Audit, beide INFODAS GmbH, beschreiben den typischen Ablauf eines Penetrationstests und wie Unternehmen den richtigen Dienstleister finden.

Anzeige

Für die Durchführung eines Penetrationstests benötigt ein IT-Sicherheitsanalytiker den ausdrücklichen Auftrag des Kunden und abgestimmte Informationen. Die Farbenlehre des Pentesting verrät etwas über die Voraussetzungen, mit denen der Security Analyst konfrontiert wird. Erhält er keine weiteren Informationen, handelt es sich um einen sogenannten Black-Box-Test, er gilt als realistischste Form eines externen Angriffs. Bei einem White-Box-Test erhält der Dienstleister grundlegende Informationen über das System, das er penetrieren soll, sowie – idealerweise – auch das IT-Sicherheitskonzept mit der Dokumentation der zugehörigen IT-Infrastruktur. In dieser Variante geht es oft auch darum, theoretische Szenarien auszuloten, um für den Ernstfall auf der sicheren Seite zu sein. Wird nur ein gewisser Teil der möglichen Informationen vorab zur Verfügung gestellt, sprechen Experten oft auch von einem Grey-Box-Test, einer Mischform der beiden vorangehenden, die ebenfalls durchaus vorkommt. Da die Pentester das Vorgehen einer Gruppe von Angreifern simulieren, werden sie oft auch als „Red Team“ bezeichnet. Ist nicht nur die Antwort der Schutzmechanismen und Sicherheitsmaßnahmen im Scope des Tests, sondern steht auch die Schnelligkeit und Kompetenz der Sicherheitsexperten des Auftraggebers auf dem Prüfstein, nennt man diese korrespondierend oft „Blue Team“.

Die meisten Tests liegen zwischen den Extremen und sind abhängig vom Bedarf des Kunden.

Zu unterscheiden sind drei wesentliche Angriffsmethoden des Penetrationstesting:  

Anzeige
  • der Angriff über das Netzwerk
  • Social Engineering
  • der physische Angriff

Welche Methode zum Einsatz kommt, hängt wesentlich von den Zielen des Auftraggebers und vom gewünschten Erkenntnisgewinn ab. Der derzeit am häufigsten beauftragte Penetrationstest ist der Angriff über das Netzwerk.

Ablauf und Analyse

Ein Penetrationstest gliedert sich in der Regel grob in fünf Phasen:

  1. Vorbereitung (Abstimmung von Testzielen, Scope, Prüfmethoden- und Geräten)
  2. Informationsbeschaffung (Dokumentensichtung, Google-Hacking, Netzwerk-Mitschnitt, Portscans)
  3. Analyse & Angriffsauswahl (Recherche nach geeigneten Exploits, detaillierte Netzwerkanalyse, Hash Cracking, Abstimmung weiterer Angriffe)
  4. Verifikationstests (Ausnutzung der Schwachstellen, Umgehung von Sicherheitsmaßnahmen und aktives Eindringen, Man-in-the-Middle-Attacks, Post-Exploitation)
  5. Abschlussanalyse (Auswertung und Dokumentation der Ergebnisse, Management-Summary und Präsentation, Auflistung der Schwachstellen, Empfehlungen für Gegenmaßnahmen.

Der eigentliche Penetrationstest beginnt in der Regel mit einem toolbasierten Scan des Netzwerks. Tools wie Nessus, Metasploit und der Burp Suite liefern die gewünschten Informationen für die System- und Anwendungsanalyse. Im Mittelpunkt des Interesses liegt die aktuelle Vulnerabilität von

  • Firewalls, Webserver und Remote Access Services (RAS) zur Fernwartung,
  • bei Microsoft das Remote Desktop Protokoll (RDP) sowie
  • Funkverbindungen wie WLAN oder Mobilfunktechnologien.
  • Webservern, die aufgrund ihrer zahlreichen Funktionen (E-Mail, FTP, DNS und weitere) und ihrer leichten Erreichbarkeit von außen besonders leicht angreifbar sind.

Im Anschluss daran werden die identifizierten Schwachstellen gezielt angegriffen beziehungsweise penetriert. Die Ergebnisse des simulierten Angriffs sowie die Empfehlungen, wie die Schwachstellen zu schließen und das System noch besser zu härten ist, werden in einem Abschlussbericht zusammengefasst.

Referenzen und Branchenerfahrung statt Statistiken: externe Dienstleister

Wer das erforderliche Know-how nicht im Hause hat, sollte sich an externe Spezialisten wenden. Der Vorteil von Dienstleistern: Sie haben einen ungetrübten Blick auf die ihnen unbekannte IT-Umgebung des Auftraggebers. Und: Für aufgedeckte Sicherheitslücken müssen sie gegenüber der Geschäftsführung nicht Rede und Antwort stehen. Im Gegenteil: Als externe Experten sind sie je nach Ausgangslage möglicherweise die perfekte Rückendeckung und Verstärkung für das interne IT-Sicherheitsteam, das berechtigte Forderungen nach Investments beim Management bislang vielleicht nicht durchsetzen konnte.

Aber: Wie findet man den richtigen Anbieter? Bei der Auswahl haben sich folgende Kriterien bewährt.

  1. Leistungsangebot: Was bietet der Dienstleister wirklich an – eine Sicherheitsanalyse, eine Schwachstellenanalyse oder einen Penetrationstest? Am besten genau nachfragen. (Link Folge 2!)
  2. Referenzen: Nicht blenden lassen sollte man sich von Statistiken über jährlich durchgeführte Penetrationstests oder die Zeit, in der es gelang, Sicherheitsmaßnahmen des Auftraggebers zu überwinden. Besser ist es zu fragen: Welche Referenzen kann der Anbieter vorweisen? Dabei sollte man im Hinterkopf behalten: Referenzen sind oft auch anonymisiert oder nicht sehr spezifisch, um Auftraggeber nicht bloßzustellen. Weitere Anhaltspunkte für die Qualität des Anbieters sind Veröffentlichungen in der Fachpresse und Empfehlungen, etwa auf seinem Blog.
  3. Branchenerfahrung: Bisherige Einsätze des Dienstleisters beschränken sich idealerweise nicht nur auf eine Branche, sondern auch auf weitere Sektoren. Ideal ist es, wenn er über Praxis in der Prüfung technischer Richtlinien, Prozessen oder Netzwerk-Architekturen verfügt.
  4. Standards: An welchen Vorgehensmodellen und Best Practises orientiert sich der Anbieter? Der Leitfaden des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das Vorgehensmodell vom OSSTMM (Open Source Security Testing Methodology Manual) oder das des Open Web Application Security Project (OWASP) sorgen für eine Vergleichbarkeit und die Qualitätssicherung der Tests. Branchenspezifische Vorgaben liefert das National Institute of Standards and Technology (NIST), detaillierte Vorgaben zur Strukturierung einzelner Tests das PTES Framework (Penetration Testing Methodologies and Standards).
  5. Spezialwissen: Verfügt der Anbieter über das Spezialwissen, das er für den Einsatz in Ihrem Unternehmen benötigt? (z.B. SAP, Client-Analyse, Mainframe-Systeme, Drittanbieter-Software, mobile Anwendungen, Produktions- und Prozessleittechnik, etc.)
  6. Reporting: Lassen Sie sich vorher einen Musterbericht zeigen. Ein guter Bericht enthält eine Zusammenfassung der Ergebnisse und Empfehlungen. Erkennt der Anbieter auch mögliche strukturelle Probleme oder blickt er durch eine rein technische Brille?
  7. Zertifizierungen: Zusätzlich ist zu prüfen, ob der Anbieter bzw. sein Personal über geeignete Zertifizierungen als Sicherheitsdienstleister, z. B. durch das BSI, verfügen; hier sollte man fragen, ob es sich um Personenzertifizierungen oder die Zertifizierung des Unternehmens insgesamt handelt. Der Hinweis auf Zertifizierungen nach DIN EN ISO 9001 oder DIN EN ISO 27001 etwa auf der Website des Dienstleisters hat zwar nur geringen Einfluss auf die Durchführung von Penetrationstests, gibt aber einen Hinweis darauf, wie der Anbieter insgesamt aufgestellt ist.
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Umfang, Grenzen und Risiken von Penetrationstests

Ist die Entscheidung über den Dienstleister gefallen, sollte der Auftraggeber vor dem Start des Penetrationstests – falls der Auftragnehmer dies nicht selbst anspricht – auf einem schriftlichen Vertrag bestehen. Der Vertrag sollte folgende Punkte regeln:

  • Welche Aufgaben hat der Penetrationstester?
  • Welche Angriffsmethoden kommen zum Einsatz?
  • Welche Risiken sind für den Auftraggeber mit der Durchführung der vereinbarten Tests verbunden? (Risikoklassifizierung gemäß Empfehlungen des BSI oder OSSTMM)
  • In welchem Zeitraum soll der Test stattfinden?
  • Welche Bereiche des Netzwerkes sind vom Test ausgeschlossen?
  • Was ist zu tun, wenn es zu Störungen im laufenden Betrieb der IT-Infrastruktur kommt? Wie sieht die Regelung für den Notfall aus, wenn es zu einer unerwarteten Auswirkung des Tests auf das System kommt?
  • Wie werden die Arbeitnehmerrechte gewahrt? Ziehen Sie dazu die Rechtsabteilung und den Betriebsrat hinzu.
  • Wie sieht die Geheimhaltungsvereinbarung für den Auftragnehmer aus?

Wichtig: Ein Penetrationstest – übrigens wie alle anderen Sicherheitsprüfungen – ist eine Momentaufnahme der Resilienz des Unternehmens. Deshalb ist es sinnvoll, seine IT-Sicherheitsmaßnahmen regelmäßig Wirksamkeitsprüfungen zu unterziehen, einmal jährlich ist mindestens sinnvoll. Anbieter zu beauftragen, die wechselnde Teams stellen können, ist sinnvoll, denn andere Menschen finden andere Fehler. 

Aktuelle Beispiele für Penetrationstests finden Sie hier

Die Zukunft der Penetrationstests: Mehr dazu in Folge vier unserer Serie.

Lesen Sie die ganze Serie:

Folge 1: Penetrationstests: Hacking per Auftrag

Folge 2: IT-Sicherheitsprüfungen: Sind Sie in der Verteidigung oder in der Offensive?

Severin Quell 160Severin Quell, Director IT Security Consulting, INFODAS GmbH

 

 

 

 

 

Aaron Brown 160Aaron Brown, Team Lead Security Audit, INFODAS GmbH

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.