Sie haben es auf Server und Netzwerke von Unternehmen, Behörden und Regierungen abgesehen, um ihre Opfer zu erpressen, auszuspionieren, zu manipulieren und zu sabotieren. Unternehmen und Öffentliche Hand sind immer häufiger Opfer von Cyberkriminellen, aber sie müssten es vielfach nicht sein, würden sie Cybersecurity und das Schließen von Schwachstellen ernster nehmen als bisher.
Dazu gehört, sich nicht allein auf Technologie zu verlassen, sondern regelmäßig auf menschliche Intelligenz zurückzugreifen – insbesondere in Form von Penetrationstests. Severin Quell, Director IT Security Consulting bei der INFODAS GmbH, beschreibt in einer fünfteiligen Serie Basiswissen rund um die Simulation echter Cyberangriffe, die Erfahrungen generieren ohne Schaden anzurichten. Folge 1: Warum kein Unternehmen heute mehr auf Penetrationstests verzichten kann.
Der Trend zu neuen Schadprogramm-Varianten ist laut „Lagebericht der IT-Sicherheit in Deutschland 2020“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aus Oktober 2020 ungebrochen. Reihenweise traf es in den letzten zwölf Monaten unter anderem die Netzwerke von Hochschulen und Forschungsinstituten. Die Universität Gießen war wochenlang lahmgelegt und musste anschließend 38.000 neue Zugangsdaten vergeben. Mai 2020 berichtete der Spiegel, dass ein knappes Dutzend Supercomputer in Europa wegen „Sicherheitsproblemen“ gleichzeitig vom Netz genommen werden musste. Neben Forschungsnetzen waren auch global agierende Konzerne und der deutsche Mittelstand betroffen, außerdem Betreiber Kritischer Infrastrukturen (KRITIS) wie Krankenhäuser, Stadtwerke, Energie- und Wasserversorger. Der BSI-Report 2020 berichtet im Oktober von mehr als 400 Anzeigen meldepflichtiger IT-Sicherheitsvorfälle bei KRITIS-Betreibern. Im Vergleich zum Vorjahr (252 IT-Sicherheitsvorfälle in KRITIS-Unternehmen) entspricht dies einer Steigerung von über 60 Prozent.
Deutschland geht ins Homeoffice – nicht ausreichend abgesichert
Mit Corona haben sich die Angriffsmöglichkeiten für Cyber-Kriminelle noch einmal deutlich erhöht: Bereits im ersten Lockdown Ende März 2020 verlegten rund 40 Prozent der Bürobeschäftigten ihre Arbeit aus der mehr oder weniger professionell abgesicherten Unternehmens-IT ins häufig nur amateurhaft abgesicherte Homeoffice, wie die ESET Wirtschaftsstudie „Quo Vadis, Unternehmen?“ herausfand.
Um sich im Unternehmensnetzwerk anzumelden, reichten 30 Prozent der befragten Mitarbeiter allein Benutzernamen und Passwort. Immerhin 44 Prozent mussten sich über ein Virtual Private Networks (VPN) einloggen, nur 29 Prozent mussten eine Zwei-Faktor-Authentifizierung durchlaufen. Kein Wunder, dass Hacker die Entwicklung für sich zu nutzen wussten. Sie starteten ihre Attacken vermehrt über das Fernwartungsprotokoll (Remote Desktop Protokoll, RDP) in Microsoft-Programmen und stießen so erfolgreich in Unternehmensnetzwerke vor. Von März bis September haben diese Angriffe in Deutschland, Österreich und Schweiz mit durchschnittlich rund 7,1 Millionen Angriffen pro Tag um rund 390 Prozent zugenommen, so ESET.
Allerdings rief der in vielen Fällen heftige und nicht selten eher ungesteuerte Digitalisierungsschub auch die IT-Sicherheitsexperten in den Unternehmen und Behörden auf den Plan. Im infodas-COVID-19-Report aus Mai 2020 erklärte eine Mehrheit der befragten Fach- und Führungskräfte, nicht nur die Digitalisierung, sondern auch die Cybersecurity weiter vorantreiben zu wollen. Auf der Prioritätenliste ganz oben: die professionelle Absicherung vom Homeoffice durch Virtual Private Network (VPN) und Verschlüsselung zur Absicherung der Büroarbeit zuhause. Offenbar setzt sich in den Management-Etagen die Erkenntnis durch, dass die Absicherung der Digitalisierung mindestens genauso wichtig ist wie die Digitalisierung selbst, um auch künftig weiterhin erfolgreich zu sein.
Der Handlungsbedarf ist allerdings noch erheblich: Auf die Bewältigung von Krisen oder Störungen wie Cyberangriffe war unter den Befragten des infodas-COVID-19-Report nur jede dritte Organisation vorbereitet. Immerhin die Hälfte steuert ihre Informationssicherheit bereits mit einem ISMS. Aber nur ein Drittel der antwortenden Unternehmen verfügt über ein BCM oder Notfallpläne. Damit diese gar nicht erst zum Einsatz kommen müssen – zum Beispiel für den Fall einer Betriebsunterbrechung oder gar eines -ausfalls durch Cyberangriffe – sollten präventive Maßnahmen wie Penetrationstests essenzieller Bestandteil einer ganzheitlichen IT-Sicherheitsstrategie sein.
Bei einem Penetrationstest suchen hochqualifizierte IT-Sicherheitsexperten mit der kriminellen Energie eines Hackers manuell nach Lücken in Netzwerk, Hard- und Software sowie Anwendungen. Ihr Angriff erfolgt mit der Absicht, die gegen einen unbefugten Zugriff gesicherten Mechanismen zu umgehen beziehungsweise auszuschalten, um sie für kriminelle Aktionen nutzen zu können. Damit erlauben Penetrationstests eine Bewertung der aktuellen Resilienz des Unternehmens und seiner IT-Infrastruktur gegenüber echten Angriffen.
Wer erfahrene Security Analysten nach ihren Findings befragt, erhält ähnliche Antworten: Security Headers in Abwehrsystemen sind falsch gesetzt, Cipher-Algorithmen in Verschlüsselungsservices veraltet. Authentifizierungsverfahren sind unzureichend validiert. Bisweilen führt der Weg fast mühelos bis zu den Kronjuwelen: zu offenen SQL-Datenbanken mit Kundendaten oder mit geheimem Firmenwissen, – das für die Konkurrenz hochinteressant wäre. Je nach Fall und Finding hätte es Unternehmen ins Mark getroffen, wären statt der Pentester Cyberkriminelle am Werk gewesen.
Penetrationstests selten gesetzlich obligatorisch
Obwohl Penetrationstests als präventives Mittel gegen Cyberattacken unumstritten sind, finden sie als obligatorische Härtungsmaßnahmen bisher nur vereinzelt den Weg in die aktuelle Sicherheitsgesetzgebung. Allerdings lassen sie sich als Compliance-Anforderung zwischen den Zeilen herauslesen, beispielsweise aus der EU-DSGVO, dem IT-Sicherheitsgesetz, den Standards der Payment Card Industry (PCI) sowie Empfehlungen und Verordnungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
§32 Absatz 1d der DSGVO fordert immerhin, dass für die Sicherheit von IT-Systemen „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ eingerichtet sein muss. Ein Penetrationstest kann genau das leisten.
Auch das 2015 überarbeitete IT-Sicherheitsgesetz des Bundes verpflichtet Betreiber gefährdeter IT-Infrastrukturen, ihre Netze gegenüber Cyberattacken zu härten – durch geeignete Maßnahmen und dazu gehören auch Penetrationstests.
Die BSI-Verordnungen betreffen besonders Betreiber kritischer Infrastrukturen (KRITIS) der Daseinsvorsorge, aber den Kreis der betroffenen Branchen hat der Gesetzgeber längst ausgeweitet. Neben dem Energiesektor, der Wasserversorgung, der Gesundheitswirtschaft, der Informationstechnik und der Telekommunikation gelten inzwischen auch die Branchen Transport und Verkehr, Ernährung sowie Finanz- und Versicherungswesen als KRITIS. In der Finanzindustrie gelten bereits die PCI Standards. Abhängig vom Sicherheitsniveau der Datenverarbeitung sind hier jährliche Penetrationstests bereits vorgeschrieben. Und für die „Internetbasierte Fahrzeug-Zulassung“ (i-Kfz) sieht das Kraftfahrt Bundesamt (KBA) ebenfalls ausdrücklich verbindliche Penetrationstests vor.
Penetrationstests: Wichtige Momentaufnahme
IT-Sicherheit ist eine iterative Aufgabe, die immer wieder neu zu bearbeiten ist. Fast jeden Tag kommen neue Schwachstellen hinzu, von denen niemand weiß, wie lange sie bei Hackern bereits im Umlauf sind und ob sie eventuell schon in die Tiefen eines Netzwerks eingeschleust wurden. Allein aus diesem Grund sollten Geschäftsführer bei Ihren CISOs nachfragen, ob Penetrationstests zum verbindlichen Lastenheft gehören, wie lange der jüngste Penetrationstest her ist und wie es um die aktuelle Resilienz der IT-Infrastrukturen jeweils bestellt war. Vor allem sollten sie fragen, ob wirklich ein Penetrationstest durchgeführt wurde – oder vielleicht nur ein Schwachstellentest. Warum letzterer nicht reicht, lesen Sie in Folge 2.