04P04 Sicherheitsanalysen und Penetrationstests
|
Technische Sicherheitsanalysen und Penetrationstests sind Schlüsselkomponenten einer nachhaltigen IT-Sicherheitsstrategie, um Schwachstellen zu finden, bevor ein Angreifer sie ausnutzen kann. Der Beitrag erläutert die wichtigsten Unterschiede in Strategie und Methodik und definiert die essenziellen Anforderungen, die Auftraggeber an einen externen Dienstleister stellen sollten. Darüber hinaus gibt er wichtige Tipps für die Vor- und Nachbereitung von Sicherheitsanalysen und Penetrationstests und informiert über die aktuelle Rechtslage, in die sich Unternehmen als Auftraggeber begeben. von: |
1 Einführung
Geschäftsführer und Vorstände in der Pflicht
Hackerangriffe und unzureichende Sicherheitsrichtlinien zählen zu den erheblichen Risiken in deutschen Unternehmen. Viele Betriebe sind kompromittiert, ohne es zu ahnen. Aber: Geschäftsführer und Unternehmensvorstände sind gesetzlich verpflichtet, Risiken in ihrer Organisation rechtzeitig zu erkennen und ihnen vorzubeugen. Sie müssen Risiken proaktiv monitoren und mit geeigneten Maßnahmen gegensteuern. Angesichts der zunehmenden Abhängigkeit der Businessprozesse von der IT gilt dies natürlich auch für die IT-Sicherheit. Die regelmäßige Überprüfung des externen und internen Sicherheitsniveaus, z. B. durch eine Sicherheitsanalyse oder einen Penetrationstest, gehört zum möglichen Instrumentarium einer jeden Organisation. Wie funktionieren sie und warum sind sie ein wichtiger Beitrag zur IT-Sicherheit?
Hackerangriffe und unzureichende Sicherheitsrichtlinien zählen zu den erheblichen Risiken in deutschen Unternehmen. Viele Betriebe sind kompromittiert, ohne es zu ahnen. Aber: Geschäftsführer und Unternehmensvorstände sind gesetzlich verpflichtet, Risiken in ihrer Organisation rechtzeitig zu erkennen und ihnen vorzubeugen. Sie müssen Risiken proaktiv monitoren und mit geeigneten Maßnahmen gegensteuern. Angesichts der zunehmenden Abhängigkeit der Businessprozesse von der IT gilt dies natürlich auch für die IT-Sicherheit. Die regelmäßige Überprüfung des externen und internen Sicherheitsniveaus, z. B. durch eine Sicherheitsanalyse oder einen Penetrationstest, gehört zum möglichen Instrumentarium einer jeden Organisation. Wie funktionieren sie und warum sind sie ein wichtiger Beitrag zur IT-Sicherheit?
1.1 Einsatz für Security Analysts
Strategien, Taktiken und Tools wie „echte” Hacker
Sicherheitsanalyse und Penetrationstests sind für alle Organisationen sinnvoll, die mit Schnittstellen zum Internet oder anderen Unternehmen arbeiten, z. B. durch das Betreiben eines Webshops oder die Einbindung externer Partner, die sich für die Wartung per VPN einwählen. Durchgeführt werden Sicherheitsanalysen und Penetrationstests durch so genannte Security Analysts: Für die Simulation eines Angriffs nutzen sie die gleichen Strategien, Taktiken und Tools wie „echte” Hacker.
Sicherheitsanalyse und Penetrationstests sind für alle Organisationen sinnvoll, die mit Schnittstellen zum Internet oder anderen Unternehmen arbeiten, z. B. durch das Betreiben eines Webshops oder die Einbindung externer Partner, die sich für die Wartung per VPN einwählen. Durchgeführt werden Sicherheitsanalysen und Penetrationstests durch so genannte Security Analysts: Für die Simulation eines Angriffs nutzen sie die gleichen Strategien, Taktiken und Tools wie „echte” Hacker.
Im Mittelpunkt der Analysen und Tests stehen folgende Fragen:
| • | Welche technischen Schwachstellen haben IT-Systeme, Infrastruktur oder Anwendungen der untersuchten Organisation? |
| • | Wie wirksam sind existierende Sicherheitsmechanismen, um Angriffe zu unterbinden oder zu erkennen? |
| • | Welchen Schaden kann ein Angreifer anrichten, der Schwachstellen ausnutzt und die Sicherheitsmechanismen umgeht? |
2.1 Die Sicherheitsanalyse
Ausgangspunkt für tiefergehende Prüfungen
Die Sicherheitsanalyse ist eine pragmatische Methode, mit der Security Analysts prüfen, wie widerstandsfähig die interne IT-Infrastruktur gegenüber Angriffen ist. Die Sicherheitsanalyse kann als Ausgangspunkt für tiefergehende Prüfungen dienen. Die Abbildung 1 stellt den idealen Ablauf einer Sicherheitsanalyse dar.
Die Sicherheitsanalyse ist eine pragmatische Methode, mit der Security Analysts prüfen, wie widerstandsfähig die interne IT-Infrastruktur gegenüber Angriffen ist. Die Sicherheitsanalyse kann als Ausgangspunkt für tiefergehende Prüfungen dienen. Die Abbildung 1 stellt den idealen Ablauf einer Sicherheitsanalyse dar.
2.1.1 Abwehr externer und interner Angriffe
Hürden für Hacker höher legen
Bei der Sicherheitsanalyse ist darüber hinaus zwischen der externen und der internen Perspektive zu unterscheiden.
Bei der Sicherheitsanalyse ist darüber hinaus zwischen der externen und der internen Perspektive zu unterscheiden.
Die externe Sicherheitsanalyse
Hier versucht der Security-Analyst möglichst viele Einfallstore entlang der Schnittstelle zwischen Internet und Unternehmensnetzwerk, z. B. auf Serversystemen, in Webanwendungen oder VPN-Zugängen, zu finden. Ziel ist es, diese Schwachstellen nach Erkennung kurzfristig zu schließen und potenzielle Angreifer so früh wie möglich von einer Attacke auf das Unternehmensnetzwerk abzuhalten. Dem liegt die Erfahrung zugrunde, dass die Opfer von Cyberattacken häufig eher zufällig gewählt werden. Oft werden vor allem die Systeme und Applikationen angegriffen, die einfach ausnutzbare und von automatisierten Angreifertools erkennbare, also offensichtliche und netzweit bekannte Schwachstellen aufweisen. Die Sicherheitsanalyse ist eine effiziente Maßnahme, um die über das Internet ausnutzbaren Einfallstore zu schließen und die Hürde für Angreifer um einiges anzuheben.
Die interne Sicherheitsanalyse
Ziel ist es, das aktuelle Sicherheitsniveau der IT-Infrastruktur gegenüber Angriffen aus dem internen Unternehmensnetzwerk zu bestimmen. Die interne Sicherheitsanalyse geht davon aus, dass sich ein Angreifer auf eine beliebige Art und Weise Zugang zum internen Unternehmensnetzwerk verschafft hat. Möglicherweise sind das interne oder externe Mitarbeiter, Angestellte eines Dienstleisters oder unbekannte Dritte. Erfahrungsgemäß ist der Schaden, der durch interne Angriffe für das Unternehmen entstehen kann, oft weitaus größer als bei Angriffen über das Internet. In der Regel sind interne Angriffe auch leichter durchzuführen, weil sich Unternehmen gegen externe Attacken schützen und mit internen Angriffen erfahrungsgemäß seltener rechnen.
Die Analyse erfolgt in der Regel durch den Anschluss von IT-Equipment der Security Analysts an das interne Netzwerk oder durch den simulierten Missbrauch eines kompromittierten Unternehmensarbeitsplatzes.
2.2 Der Penetrationstest
Tiefer Einblick in die tatsächlichen Risiken
Der Penetrationstest legt offen, inwieweit der Angreifer in die Infrastruktur vordringen und in welchem Ausmaß er die Organisation schädigen kann. Meist handelt es sich um ein zeitaufwendigeres Unterfangen als bei einer Sicherheitsanalyse.
Der Penetrationstest legt offen, inwieweit der Angreifer in die Infrastruktur vordringen und in welchem Ausmaß er die Organisation schädigen kann. Meist handelt es sich um ein zeitaufwendigeres Unterfangen als bei einer Sicherheitsanalyse.
Penetrationstests sind deshalb auch das Mittel der Wahl, wenn es darum geht, das Sicherheitsbewusstsein innerhalb der Organisation zu steigern oder dem Management einen Einblick in die tatsächlichen IT-Risiken eines Unternehmens zu geben.
2.2.1 Umfassende Bewertung des aktuellen IT-Sicherheitsniveaus
Oft genügt eine einzige Schwachstelle
Der Penetrationstest ist die kreativste Form des simulierten Cyberangriffs und damit die Kür unter den Sicherheitstests. Dem Security Analyst reicht häufig eine einzige Schwachstelle entlang der Schnittstelle zwischen Internet und Unternehmensnetzwerk, um einen umfassenden Angriff auf Infrastruktur, Systeme oder Applikationen zu starten, nachgelagerte Sicherheitsmaßnahmen auszuhebeln und sich bis zu geschäftskritischen Daten bzw. Systemen vorzuarbeiten. Ein Penetrationstest ermöglicht einen weitergehenden Blick auf die Sicherheitsmaßnahmen der Organisation und dadurch eine umfassendere Bewertung des aktuellen IT-Sicherheitsniveaus als eine Sicherheitsanalyse.
Der Penetrationstest ist die kreativste Form des simulierten Cyberangriffs und damit die Kür unter den Sicherheitstests. Dem Security Analyst reicht häufig eine einzige Schwachstelle entlang der Schnittstelle zwischen Internet und Unternehmensnetzwerk, um einen umfassenden Angriff auf Infrastruktur, Systeme oder Applikationen zu starten, nachgelagerte Sicherheitsmaßnahmen auszuhebeln und sich bis zu geschäftskritischen Daten bzw. Systemen vorzuarbeiten. Ein Penetrationstest ermöglicht einen weitergehenden Blick auf die Sicherheitsmaßnahmen der Organisation und dadurch eine umfassendere Bewertung des aktuellen IT-Sicherheitsniveaus als eine Sicherheitsanalyse.
2.3 Sicherheitsanalyse und Pentesting sind keine Vulnerability Scans
Mensch versus Maschine
Sicherheitsanalysen und Penetrationstests werden immer von Menschen durchgeführt, – im Gegensatz zu Vulnerability Scans, bei denen Anwendungen oder Systeme softwaregestützt und vollautomatisiert auf bereits bekannte Sicherheitslücken geprüft werden.
Sicherheitsanalysen und Penetrationstests werden immer von Menschen durchgeführt, – im Gegensatz zu Vulnerability Scans, bei denen Anwendungen oder Systeme softwaregestützt und vollautomatisiert auf bereits bekannte Sicherheitslücken geprüft werden.
Die geschulten und erfahrenen Security Analysts setzen bei Sicherheitsanalysen und Penetrationstests durchaus auch Tools ein, können jedoch aufgrund ihrer Erfahrung auch unbekannte Sicherheitslücken identifizieren, um ein realistisches und wirklichkeitsnahes Bild des Angriffspotenzials wiederzugeben. Der Prozess verläuft in der Regel dreistufig, bei Bedarf wird er auch mehrfach wiederholt, um neu gewonnene Kenntnisse in den anderen Phasen berücksichtigen zu können:
| 1. | Informationen sammeln |
| 2. | Sicherheitslücken identifizieren |
| 3. | Sicherheitslücken auswerten |
Insbesondere in Punkt 3 besteht der eigentliche Mehrwert von Sicherheitsanalysen und Penetrationstests: Denn dieser ermöglicht im Anschluss die Ableitung realistischer Gegenmaßnahmen mit dem Ziel, Sicherheitslücken zu eliminieren oder auf ein für die Organisation akzeptables Maß zu reduzieren, bevor ein echter Angreifer sie ausnutzen kann.
In Abbildung 2 ist ein Auszug aus dem Bericht eines Vulnerability Scans beispielhaft wiedergegeben.
3 Wie findet man den richtigen Dienstleister?
Up to date mit Blick auf aktuelle Angriffsszenarien?
Für die Durchführung und Auswertung technischer Sicherheitsanalysen und Penetrationstests braucht es Know-how, Erfahrung und einen kritischen Blick von außen. Wer Sicherheitsanalysen und Penetrationstests durchführt, muss so kreativ sein wie ein Hacker und die aktuellen Bedrohungsszenarien und technologischen Möglichkeiten genau kennen. Außerdem muss er up to date sein, was die Möglichkeiten anbetrifft, Sicherheitslücken zu entdecken und auszunutzen.
Für die Durchführung und Auswertung technischer Sicherheitsanalysen und Penetrationstests braucht es Know-how, Erfahrung und einen kritischen Blick von außen. Wer Sicherheitsanalysen und Penetrationstests durchführt, muss so kreativ sein wie ein Hacker und die aktuellen Bedrohungsszenarien und technologischen Möglichkeiten genau kennen. Außerdem muss er up to date sein, was die Möglichkeiten anbetrifft, Sicherheitslücken zu entdecken und auszunutzen.
