Penetrationstests – ein Einblick in die Praxis
Vor allem im Mittelstand merken Unternehmen, wie schnell Missstände in der eigenen digitalen Sicherheit zu einer Kompromittierung führen können. Ob falsche Priorisierung im Bereich der IT Security oder ob in der Vergangenheit zu wenig investiert wurde, feststeht: Unternehmen haben im Falle eines Cyberangriffs häufig sehr geringe Chancen, auf diesen angemessen und zeitnah zu reagieren. Hier muss sich in der gesamten deutschen Wirtschaft flächendeckend etwas ändern. Ein Penetrationstest kann dabei ein wichtiger Baustein von vielen sein.
Die verschiedenen Arten eines Penetrationstests
Grundsätzlich lässt sich zwischen den folgenden zwei Arten von Penetrationstests unterscheiden:
1. Externer Penetrationstest
Hierbei untersuchen Experten:innen ein Unternehmen ausschließlich von außen, das heißt ohne das Bürogebäude zu betreten. Sie kommen auch nicht in Kontakt mit Menschen und Maschinen der Firma. Sie suchen nach Lücken und Möglichkeiten, potenziell das Unternehmensnetzwerk zu infiltrieren. Dies geschieht bei dieser Form des Penetrationstests anhand der öffentlich zugänglichen Informationen über das Unternehmen respektive der im Internet zugänglichen IT-Infrastruktur.
In der Informationsbeschaffungsphase (Reconnaissance) werden genau diese Informationen mithilfe von Black-Box-Tests ermittelt. So wird das Prozedere der Hacker imitiert, wobei hier nicht aktiv gehackt wird. Es geht hier weiterhin um das Sammeln von Informationen über das Unternehmen und seine Netzwerke und Systeme sowie von Optionen für einen digitalen Angriff.
Zu den Informationen gehören unter anderem: E-Mail-Adressen, Technologie-Informationen, IP-Adressbereiche, DNS-Einträge und Metadaten aus Dokumenten. Sobald diese Reconnaissance abgeschlossen ist und Ziele für die folgende tiefergehende und aktive Prüfung spezifiziert wurden, finden die sogenannten Grey-Box-Tests statt. Jetzt werden alle relevanten Dienste und Systeme getestet, die ausschließlich über das Internet erreichbar sind. Dadurch kann man Schwachstellen finden und Möglichkeiten zur Verbesserung empfehlen. Zusätzlich kann hier über die Bereitstellung von Zugangsdaten und den Berechtigungen von Bestandskunden oder Mitarbeitenden auch eine Imitation von Angriffsszenarien erfolgen.
2. Interner Penetrationstest
An vielen Stellen fehlt die Priorisierung auf die interne IT-Sicherheit respektive auf die IT-Sicherheit in den Bürogebäuden der Unternehmen. Multipel sind die Möglichkeiten, um in die lokalen Firmennetzwerke einzudringen. Zum sogenannten Social Engineering, bei dem Menschen gezielt durch Täuschung manipuliert werden, um vertrauliche Informationen und Daten zu bekommen, gehört auch das Phishing.
Exploits, die im Internet publiziert werden, und das Phishing nutzen Cyberkriminelle regelmäßig, um Unternehmensnetze zu infiltrieren. Hackern wird es in der Praxis häufig zu leicht gemacht, denn nach erfolgter Kompromittierung der ersten Systeme, finden die Cyberkriminellen häufig flache Netzwerke ohne strenge Segmentierung oder/und längst überholte Software vor. Weitere Teile der Infrastruktur zu übernehmen und dem Unternehmen auf verschiedenste Wege zu schaden, ist dann meist nur noch eine Frage der Zeit. Eine Verschlüsselung von Dateien und die Publikation von sensitiven Daten sind nur die Spitze des Eisbergs.
Deshalb sollten interne Penetrationstests durchgeführt werden. So können Angriffe bereits im Keim erstickt werden und selbst im Worst Case – durch eine strenge Zonierung und durch die Einschränkung von Berechtigungen – den Schaden begrenzen. Sie sind komplementär zu den externen Penetrationstests auf die öffentlich im Internet exponierte Infrastruktur zu verstehen. Denn: Sie finden vor Ort beim Unternehmen statt und die Penetrationstester bekommen Zugänge zu den lokalen Netzwerken der Firma. Durch den direkten Einblick in die interne Netzwerkinfrastruktur werden Schwachstellen aufgespürt und dokumentiert. Diese werden auf ihre Kritikalität hin in verschiedene Stufen eingeteilt, um den Schwachstellen im Nachgang Prioritäten zuzuweisen und sie abzuarbeiten.
Das fehlt in der Praxis (noch)
Rein aus dem Internet erreichbare Systeme werden leider oft ungenügend abgesichert. Anpassungen an der Konfiguration sind zum Beispiel unabdingbar, um Applikationen abzusichern. Es mangelt in Unternehmen häufig an Strategien für die Systeme, die im Internet exponiert sind, beispielsweise für das Logging, Monitoring und Alerting. Nicht selten bekommen Unternehmen es lange gar nicht mit, wenn sie angegriffen worden sind und reagieren entsprechend viel zu spät. Die Multi-Faktor-Authentifizierung, als wichtiges Feature, wird oft nicht genutzt oder schlichtweg die öffentliche Benutzer-Registrierung nicht deaktiviert. Interne Entwickler verfügen außerdem oft über kein oder sehr wenig Wissen im Bereich der IT-Sicherheit. Sie übersehen folglich Schwachstellen oder bauen sogar selbst unwissentlich welche ein.
Regelmäßige Sicherheitsüberprüfungen sind immer nötig, um mit Blick auf neu auftretende Sicherheitslücken angemessen und zeitnah zu reagieren. Außerdem um mögliche Erkenntnisse beim Betrieb der eigenen Plattform umsetzen zu können. Die Praxis zeigt, dass Unternehmen manchmal davon ausgehen, dass sie nach einer einmaligen Überprüfung durch externe Experten:innen gleich jahrelang sicher sind. Das hat unter Umständen zur Folge, dass Systeme jahrelang nicht gepatcht werden. Das bedeutet, dass bereits identifizierte und bekannte Probleme und Schwachstellen mangels Aktualisierung quasi ignoriert werden und somit die Systeme und Netze extrem anfällig für Angriffe sind. Angreifer-Gruppen suchen gezielt nach großen Sicherheitslücken, um diese auszunutzen. Das geschieht heutzutage überwiegend automatisiert.
Penetrationstests bald Gesetz?
Legal sind Penetrationstests nur dann, wenn beide Parteien eine Vereinbarung getroffen haben. Sonst erfüllen sie gegebenenfalls einen Straftatbestand. Eine direkte Pflicht für Penetrationstests gibt es zwar (noch) nicht, indirekt lässt sich diese aus einigen Gesetzen und Verordnungen ableiten. Die DS-GVO regelt in Art. 32, Abs. 1 b, dass der Verantwortliche die Fähigkeit, Verfügbarkeit, Integrität, Vertraulichkeit und Belastbarkeit seiner Systeme und Dienste, die im Zusammenhang mit der Verarbeitung von personenbezogenen Daten stehen, sicherzustellen hat. Dies kann er nach aktuellem Stand vor allem durch regelmäßige Penetrationstests gewährleisten.
Mit einer Regierungsbeteiligung der FDP (und auch der Grünen) ist zu erwarten, dass in der IT-Sicherheit die Anforderungen an Behörden und auch Unternehmen viel spezieller werden. Penetrationstests könnten perspektivisch rechtlich verpflichtend werden. Verschiedene kundige Bundes- und Landesbehörden führen Penetrationstests durch, vor allem das BSI (Bundesamt für Sicherheit in der Informationstechnik). Das BSI hat auch einen Praxis-Leitfaden: IT-Sicherheits-Penetrationstest erstellt, in dem Penetrationstests für Durchführende erklärt werden.
Bildnachweis: ©istockphoto.com/gorodenkoff
Kommentare