04P05 Penetrationstests in der Unternehmenspraxis
|
In einer immer stärker vernetzten Welt mit einer Vielzahl an Diensten, Services, Softwareprodukten und Eigenentwicklungen wird es für Unternehmen immer schwieriger, den Überblick über das technische Sicherheitsniveau ihrer Dienste zu behalten.
Penetrationstests schaffen da Abhilfe, denn sie simulieren Hackerangriffe auf Unternehmensnetzwerke und decken Schwachstellen auf. Neben der Beauftragung eines kompetenten Experten hängt der Erfolg eines Penetrationstests aber maßgeblich von der Vorbereitung und Planung des Auftraggebers ab.
Dieser Beitrag zeigt, wie Sie Ihr Unternehmen optimal auf einen Penetrationstest vorbereiten, stellt hilfreiche Beispiele zur Planung, Vor- und Nachbereitung vor und zeigt, wie eine optimale Penetrationsstrategie in der Praxis etabliert werden kann. von: |
1 Penetrationstests für Unternehmen
Das Erfordernis, Penetrationstests durchzuführen, ist darin begründet, dass die IT-Systeme in Unternehmen einer Vielzahl von Bedrohungen ausgesetzt sind, denen es zu begegnen gilt.
Beispiel
Ein einfaches Beispiel für eine Bedrohung ist ein Phishingangriff, bei dem Angreifer versuchen, über gefälschte E-Mails an Zugangsdaten zu gelangen. Im Fall einer Konfrontation mit einer solchen Bedrohung in Kombination mit einer bestehenden Schwachstelle ist das Risiko für das Unternehmen erheblich. Sofern ein Mitarbeiter auf einen derartigen Angriff hereinfällt, besteht die Möglichkeit, dass der Angreifer unerlaubten Zugang zu internen Systemen erlangt. Die Bedrohung („Phishing”) trifft auf mehrere Schwachstellen wie niedriges Sicherheitsbewusstsein, schwache Authentifizierungsverfahren oder einen unzureichenden Schutz vor bösartigen Mails.
Ein einfaches Beispiel für eine Bedrohung ist ein Phishingangriff, bei dem Angreifer versuchen, über gefälschte E-Mails an Zugangsdaten zu gelangen. Im Fall einer Konfrontation mit einer solchen Bedrohung in Kombination mit einer bestehenden Schwachstelle ist das Risiko für das Unternehmen erheblich. Sofern ein Mitarbeiter auf einen derartigen Angriff hereinfällt, besteht die Möglichkeit, dass der Angreifer unerlaubten Zugang zu internen Systemen erlangt. Die Bedrohung („Phishing”) trifft auf mehrere Schwachstellen wie niedriges Sicherheitsbewusstsein, schwache Authentifizierungsverfahren oder einen unzureichenden Schutz vor bösartigen Mails.
Die dann möglichen Konsequenzen sind vielfältig und reichen von Datenverlust über Betriebsunterbrechungen bis hin zu rechtlichen Konsequenzen. Da es in der Praxis häufig schwierig ist, eine vollständige Übersicht über alle potenziellen Schwachstellen zu behalten, insbesondere in komplexen IT-Infrastrukturen, sind Penetrationstests eine wertvolle explorative Methode, um Schwachstellen zu identifizieren.
Simulation realer Angriffe
Im Rahmen eines Penetrationstests werden reale Angriffe simuliert, etwa Phishingversuche oder das Ausnutzen von Schwachstellen in der Netzwerksicherheit. Eine solche Simulation hat das Ziel, verborgene Sicherheitslücken frühzeitig zu identifizieren und zu beheben. Penetrationstests sind somit ein wesentliches Verfahren der IT-Sicherheit. Jedem Unternehmen ist dringend zu empfehlen, derartige Tests durchzuführen.
Im Rahmen eines Penetrationstests werden reale Angriffe simuliert, etwa Phishingversuche oder das Ausnutzen von Schwachstellen in der Netzwerksicherheit. Eine solche Simulation hat das Ziel, verborgene Sicherheitslücken frühzeitig zu identifizieren und zu beheben. Penetrationstests sind somit ein wesentliches Verfahren der IT-Sicherheit. Jedem Unternehmen ist dringend zu empfehlen, derartige Tests durchzuführen.
1.1 Ziele und Arten von Penetrationstests
Die primären Ziele von Penetrationstests bestehen in der Identifizierung von Schwachstellen in der IT-Infrastruktur der Organisation sowie der Bewertung ihrer potenziellen Auswirkungen, bevor sie von unerwünschten Akteuren ausgenutzt werden können.
1.1.1 Jeder Test hat ein individuelles Ziel
Unternehmen sollten vor einem Penetrationstest das jeweilige individuelle Ziel des Tests festlegen.
Effektivität
Dies kann z. B. in der Evaluierung der Effektivität bestehender Sicherheitsmaßnahmen sowie der Bewertung des Schutzniveaus kritischer Systeme, Anwendungen und Daten bestehen.
Dies kann z. B. in der Evaluierung der Effektivität bestehender Sicherheitsmaßnahmen sowie der Bewertung des Schutzniveaus kritischer Systeme, Anwendungen und Daten bestehen.
Simulation
Ein weiteres Ziel besteht in der Simulation realistischer Angriffsszenarien, um das Verteidigungsverhalten und die Reaktionsfähigkeit des Unternehmens bei Cyberbedrohungen zu testen.
Ein weiteres Ziel besteht in der Simulation realistischer Angriffsszenarien, um das Verteidigungsverhalten und die Reaktionsfähigkeit des Unternehmens bei Cyberbedrohungen zu testen.
Projektabnahme
Außerdem sind Penetrationstests ein wichtiges Werkzeug bei der Abnahme von IT-Projekten. Im Rahmen eines Penetrationstests kann festgestellt werden, ob die Anforderungen an die IT-Sicherheit vollständig umgesetzt wurden und ein adäquates Schutzniveau erreicht wurde.
Außerdem sind Penetrationstests ein wichtiges Werkzeug bei der Abnahme von IT-Projekten. Im Rahmen eines Penetrationstests kann festgestellt werden, ob die Anforderungen an die IT-Sicherheit vollständig umgesetzt wurden und ein adäquates Schutzniveau erreicht wurde.
Priorisierung
Darüber hinaus unterstützen Penetrationstests die Priorisierung von Sicherheitslücken sowie die Ableitung von konkreten Handlungsempfehlungen zur Verbesserung der Sicherheitslage. Dadurch wird eine langfristige Risikominimierung gewährleistet und die Einhaltung von Sicherheitsstandards und -richtlinien sichergestellt.
Darüber hinaus unterstützen Penetrationstests die Priorisierung von Sicherheitslücken sowie die Ableitung von konkreten Handlungsempfehlungen zur Verbesserung der Sicherheitslage. Dadurch wird eine langfristige Risikominimierung gewährleistet und die Einhaltung von Sicherheitsstandards und -richtlinien sichergestellt.
1.1.2 Informationsbasis des Testers
White-/Blackbox-Test
Im Rahmen von Penetrationstests werden zwei unterschiedliche Ansätze verfolgt, die sich insbesondere durch das Vorwissen über das Zielsystem unterscheiden. Diese werden als Whitebox-Tests und Blackbox-Tests bezeichnet [1].
Im Rahmen von Penetrationstests werden zwei unterschiedliche Ansätze verfolgt, die sich insbesondere durch das Vorwissen über das Zielsystem unterscheiden. Diese werden als Whitebox-Tests und Blackbox-Tests bezeichnet [1].
Tabelle 1: Vor- und Nachteile von Whitebox-Tests
Vorteile von Whitebox-Tests | Nachteile von Whitebox-Tests | ||||||||||||
|
|
Whitebox-Tests
Im Rahmen von Whitebox-Tests verfügt der Tester über umfassende Informationen über das zu testende System, darunter Quellcode, Netzwerktopologie, Konfigurationsdetails sowie Zugriffsrechte (vgl. Tabelle 1). Diese Vorgehensweise erlaubt eine detaillierte und gezielte Analyse, da potenzielle Schwachstellen in der Struktur oder im Code des Systems identifiziert werden können. Whitebox-Tests erweisen sich als vorteilhaft, um die Sicherheit auf einer sehr detaillierten Ebene zu analysieren.
Im Rahmen von Whitebox-Tests verfügt der Tester über umfassende Informationen über das zu testende System, darunter Quellcode, Netzwerktopologie, Konfigurationsdetails sowie Zugriffsrechte (vgl. Tabelle 1). Diese Vorgehensweise erlaubt eine detaillierte und gezielte Analyse, da potenzielle Schwachstellen in der Struktur oder im Code des Systems identifiziert werden können. Whitebox-Tests erweisen sich als vorteilhaft, um die Sicherheit auf einer sehr detaillierten Ebene zu analysieren.
Tabelle 2: Vor- und Nachteile von Blackbox-Tests
Vorteile von Blackbox-Tests | Nachteile von Blackbox-Tests | ||||||||||||
|
|
Blackbox-Tests
Im Gegensatz dazu agiert der Tester bei Blackbox-Tests ohne jegliches internes Wissen über das System. Der Test erfolgt aus der Perspektive eines externen Angreifers, der versucht, Schwachstellen durch Auswertung öffentlich zugänglicher Informationen sowie explorative Angriffe zu identifizieren. Im Rahmen von Blackbox-Tests erfolgt eine Simulation realistischer Angriffsszenarien (vgl. Tabelle 2), um potenzielle Schwachstellen des Systems aufzudecken.
Im Gegensatz dazu agiert der Tester bei Blackbox-Tests ohne jegliches internes Wissen über das System. Der Test erfolgt aus der Perspektive eines externen Angreifers, der versucht, Schwachstellen durch Auswertung öffentlich zugänglicher Informationen sowie explorative Angriffe zu identifizieren. Im Rahmen von Blackbox-Tests erfolgt eine Simulation realistischer Angriffsszenarien (vgl. Tabelle 2), um potenzielle Schwachstellen des Systems aufzudecken.
Graybox-Tests
Beide Ansätze besitzen ihre Daseinsberechtigung und werden vielfach kombiniert, um ein umfassendes Bild der Systemsicherheit zu erhalten. In der Praxis wird für ein gemischtes Verfahren oftmals die Begrifflichkeit Graybox-Test [2] verwendet.
Beide Ansätze besitzen ihre Daseinsberechtigung und werden vielfach kombiniert, um ein umfassendes Bild der Systemsicherheit zu erhalten. In der Praxis wird für ein gemischtes Verfahren oftmals die Begrifflichkeit Graybox-Test [2] verwendet.
In Abschnitt 2.2.1 wird darauf eingegangen, welche Art von Test in welchen Fällen genutzt werden sollte.
1.2 Testverfahren für Penetrationstests
Ein wesentliches Charakteristikum des Penetrationstests ist der Angriff auf ein IT-System. Dem Penetrationstester steht dazu eine Vielzahl an Technologien und Vorgehensweisen zur Verfügung. Die Auswahl der Angriffstechnik ist abhängig vom jeweils simulierten Angriffsvektor:
| • | Externer Penetrationstest: Untersucht Schwachstellen in öffentlich zugänglichen Systemen, z. B. Webservern, Netzwerken und Anwendungen. Dabei wird getestet, wie weit ein Angreifer ohne Zugang zum internen Netzwerk kommen kann. |
| • | Interner Penetrationstest: Simuliert einen Angriff, bei dem der Angreifer bereits Zugang zum internen Netzwerk hat, z. B. durch einen kompromittierten Mitarbeiter. Dies hilft, Schwachstellen in der internen IT-Infrastruktur zu identifizieren. |
| • | Web Application Penetration Test: Konzentriert sich auf Webanwendungen und prüft häufige Schwachstellen wie SQL-Injections, Cross-Site Scripting (XSS) und unsichere Authentifizierung. |
| • | Wireless Penetration Test: Untersucht die Sicherheit des drahtlosen Netzwerks eines Unternehmens und prüft, ob unautorisierte Geräte darauf zugreifen können. |
| • | Social Engineering Test: Simuliert Angriffe, bei denen Mitarbeiter über Phishing oder andere Techniken manipuliert werden, um vertrauliche Informationen preiszugeben oder schädliche Software auszuführen. |
| • | Physischer Penetrationstest: Simuliert einen Angriff, bei dem der Angreifer versucht, vor Ort Zugriff auf sensible Informationen zu erhalten, z. B. indem er in Büroräume eindringt, um dort Zugang zu Netzwerkschnittstellen, Informationen auf Papierunterlagen zu erlangen etc. |
In Abschnitt 2.2.1 wird darauf eingegangen, welche Art von Angriffsvektor in welchen Fällen genutzt werden sollte.
1.3 Standards und Normen
Im Kontext von Penetrationstests existiert eine Vielzahl an Standards und Normen, deren Ziel es ist, Qualität und Konsistenz der Tests sicherzustellen. Die genannten Standards definieren Richtlinien für den Ablauf, die Methodik sowie die Berichterstattung von Penetrationstests. Im Folgenden werden einige der wichtigsten Standards und Normen vorgestellt: