Es scheint widersinnig, einen erfahrenen Hacker dafür zu bezahlen (und ihm zu danken!), dass er in Ihr Computersystem eindringt. Die Sicherheitstechnologie, die Sie einsetzen, sollte doch so konzipiert sein, dass kein Unbefugter Zutritt erlangt! Das stimmt natürlich, aber wie gut erfüllt sie ihre Aufgabe? Manchmal geht nichts über einen Praxistest, um Ihren Online-Schutz einmal richtig auf Herz und Nieren zu prüfen und mögliche Sicherheitslücken zu ermitteln, bevor Kriminelle sie finden können. Genau das ist der Zweck von Penetrationstests, kurz „Pentests“ genannt, bei denen sogenannte „White-Hat“-Hacker (mehr dazu später) ganz legal die Schwachstellen in Ihrem Online-Schutz suchen und ausnutzen.
Was sind Penetrationstests bzw. Pentests?
Das National Cyber Security Centre vergleicht Penetrationstests mit einer Finanzprüfung. Im Finanzbereich werden Ihre Einnahmen und Ausgaben von der Buchhaltung gebucht. Anschließend erfolgt eine externe Prüfung, bei der die Prozesse des internen Teams untersucht und bewertet werden. Ebenso können Sie mit Pentests Ihre IT prüfen und sicherstellen, dass die technischen Prozesse ausreichend sind. Kurz gesagt handelt es sich um einen simulierten, realen Angriff auf ein Netzwerk, eine Anwendung oder ein System, um eventuelle Schwachstellen darin zu ermitteln. Dabei stellt nicht (nur) ein Team von digitalen Stuntleuten die eigenen Hacking-Fähigkeiten unter Beweis. Es handelt sich um ein anerkanntes Verfahren zur Risikoquantifizierung und -minderung. Durch gute Pentests lassen sich Sicherheitslücken in der IT-Infrastruktur und den Anwendungen eines Unternehmens und insbesondere auch in den Prozessen und bei Mitarbeitern aufdecken. Denn auch die beste Sicherheitstechnologie kann nicht verhindern, dass Karin aus der Buchhaltung einen infizierten Anhang öffnet. Seriöse Penetrationstests helfen nicht nur bei der Ermittlung von Sicherheitslücken, sondern zeigen auch den Kontext von Sicherheitsverletzungen auf. Wodurch werden sie verursacht und welche Auswirkungen haben sie wahrscheinlich?
Penetrationstest, erste Phase: Planung und Auswahl der Tools
Jeder Hack-Versuch, ob ethisch oder nicht, erfordert sorgfältige Planung und eine Reihe von Penetrationstest-Tools. Man kann nicht einfach ein Ziel auswählen und dann einen Angriff mit dem verfügbaren Malware-Arsenal starten. Das Timing ist ebenso wichtig wie die richtige Auswahl der Tools. Beide müssen auf das jeweilige Unternehmen zugeschnitten sein. All das erfordert zunächst ein gründliches Auskundschaften. Verwendet das Zielunternehmen eine lokale Infrastruktur oder den Cloud-Service eines Drittanbieters? Wie viele Mitarbeiter hat es, und verwenden sie ihre eigenen Geräte? Wie viele Mitarbeiter arbeiten von zu Hause aus und zu welchen Systemen haben sie wie Zugang? All diese Informationen können von entscheidender Bedeutung sein und helfen dem Pentester, einen Plan zu erstellen. Es beginnt also mit zwei Schritten:
- Sammeln von Informationen. Das zu testende Unternehmen stellt dem Pentester allgemeine Infos zu sich und seiner IT zur Verfügung und benennt auch die Ziele, die in die Prüfung einbezogen werden sollen.
- In der Regel werden passive Penetrationstests durchgeführt. Es handelt sich um eine subtile Aufklärungsmission, die keine direkte Interaktion mit den Zielsystemen erfordert. Stattdessen nutzen Hacker öffentliche Ressourcen, um mehr zu Mitarbeitern und der verwendeten Technologie zu erfahren. Gängige Tools wie Wget können eine Website offline analysieren und z. B. Infos zu Betriebssystemen und Hardware geben. Der Tester könnte auch erweiterte Internetsuchen durchführen, um Informationen wie Benutzernamen, Kennwörter, versteckte Webseiten und Dateien mit Metadaten zu extrahieren. Ein bei ethischen und unethischen Hackern gleichermaßen beliebtes Tool ist diese Google-Hacking-Datenbank. Echte Cyberkriminelle untersuchen manchmal auch ausrangierte Firmengeräte und könnten sogar die Identität eines Benutzers annehmen!
Manchmal sind Penetrationstests aber auch aktiv. Dieser Ansatz ist direkter (also alles andere als subtil), da die Hacker eng mit den Systemen interagieren. Sie suchen nach Schwachstellen, versuchen, sich unbefugt Zugriff auf vertrauliche Daten zu verschaffen, und dringen in Firewalls oder Router ein. Nach dem Eindringen kartieren sie die Netzwerkinfrastruktur und nutzen etwa das Open-Source-Tool Nmap, um Hosts zu ermitteln und tiefer zu graben.
Penetrationstest, zweite Phase: Abtasten
Nachdem nun detaillierte Informationen über das Unternehmen und seine Infrastruktur vorliegen, ist es an der Zeit zu beurteilen, wie die Zielanwendung(en) auf Eindringversuche reagieren werden. Dies geschieht in der Regel auf zwei Arten:
- Statische Analyse. Der Tester inspiziert den Code einer Anwendung, um abzuschätzen, wie sie sich während der Ausführung verhalten wird. Tools können den gesamten Code in einem einzigen Durchgang scannen.
- Dynamische Analyse. Der Tester inspiziert den Code einer Anwendung während der Ausführung. Dies ist oft nützlicher, da er so einen Echtzeit-Überblick über die Leistung einer Anwendung erhält.
Mit dem Ende dieser Phase haben Penetrationstester die anfängliche Prüfung auf Sicherheitslücken abgeschlossen. Sie haben alle potenziellen Schwachstellen ermittelt, die einem Angreifer von außen den Zugang zum getesteten System ermöglichen könnten. Jetzt ist es an der Zeit, zur Tat zu schreiten und den inneren (digitalen) Ninja so richtig rauszulassen.
Penetrationstest, dritte Phase: Ausnutzung
Auf der Grundlage der Ergebnisse aus der Prüfung auf Sicherheitslücken greifen erfahrene Penetrationstester mit einer Reihe von Techniken die Zielsysteme an: von Cross-Site-Scripting über SQL-Injection bis hin zu Backdoor-Angriffen. Sie stehlen Daten, fangen den Datenverkehr ab und versuchen generell herauszufinden, wie viel Schaden sie anrichten können. Diese Phase muss für alle, die gerne virtuelles Unheil anrichten oder einfach nur einen sehr ausgefallenen Sinn für Humor haben, äußerst befriedigend sein. Das Personal einer Arztpraxis in englischen Kleinstadt war zum Beispiel verwundert, als eine mysteriöse Patientin in ihrem System auftauchte: Penny Test.
Ein weiteres Ziel in dieser Phase ist die Feststellung, wie lange die Hacker im Zielsystem unterwegs sein können. Hätte ein Krimineller genug Zeit, um richtig weit vorzudringen? Das ist ein wichtiger Prüfpunkt, da fortschrittliche, hartnäckige Bedrohungen monatelang in einem System verbleiben können und währenddessen hochsensible Daten gestohlen werden.
Penetrationstest, vierte Phase: Analyse und Nutzung der Ergebnisse
Nun ist es an der Zeit, alle Ergebnisse aus den vorangegangenen Phasen zusammenzutragen und einen detaillierten Bericht zu erstellen, der meist die folgenden Punkte enthält: Konkrete Sicherheitslücken, die erfolgreich ausgenutzt wurden, und die dafür verwendeten Methoden; sensible Daten, auf die zugegriffen wurde; und wie lange der Pentester im System unentdeckt bleiben konnte. Er beschreibt zudem den Umfang der Prüfung und gibt Empfehlungen für Verbesserungen.
Schließlich, und das ist vermutlich das Wichtigste, muss das Unternehmen anhand dieser Erkenntnisse seine Sicherheitslücken verstehen und die möglichen Auswirkungen analysieren. Entscheidend ist dabei die Bestimmung und Umsetzung von Korrekturmaßnahmen.
Black or White: Das ist nicht egal. Wir stellen die verschiedenen Penetrationstests vor
Den Testern stehen unterschiedlich viele Informationen über das Zielsystem zur Verfügung. Dies entscheidet über die Art des ausgeführten Penetrationstests mit seinen jeweiligen Vor- und Nachteilen.
White-Box-Tests: Sie werden manchmal auch als „Klartests“ oder „Glasboxtests“ bezeichnet, da die Tester alle relevanten Informationen über ihr Ziel erhalten und somit maximale Einsicht haben. Diese Art des Tests spart Zeit und kostet weniger. Außerdem hilft sie dem Unternehmen, bekannte Software-Sicherheitslücken und häufige Fehlkonfigurationen zu verwalten, und ist nützlich, um einen gezielten Angriff auf ein bestimmtes System zu simulieren oder so viele Angriffsarten wie möglich auszuprobieren.
Black-Box-Tests: Hierbei werden die Tester im wahrsten Sinne des Wortes im Dunkeln gelassen, da ihnen im Vorfeld keine Informationen über das Zielsystem mitgeteilt werden. Sie nehmen somit eine externe Perspektive ein und versuchen zu ermitteln, wie ein Hacker auf die internen IT-Ressourcen eines Unternehmens zugreifen könnte. Dieser Test kann länger dauern und mehr kosten, aber er modelliert genauer das Risiko, das von unbekannten Angreifern ausgeht.
Grey-Box-Tests: Dies ist eine Mischform der beiden oben beschriebenen Herangehensweisen. Der Tester erhält also nur eine begrenzte Menge an Informationen – in der Regel Anmeldedaten. Grey-Box-Tests sind nützlich, um zu verstehen, worauf ein privilegierter Benutzer alles zugreifen und welchen potenziellen Schaden er anrichten könnte. Sie sind die bevorzugte Methode, da sie ein ausgewogenes Verhältnis zwischen Tiefe, Effizienz, Kostenersparnis und Zeitaufwand bieten.
Vorsicht ist besser als Nachsicht: Die Vorteile von Pentests
Cyberangriffe sind unerbittlich und werden immer raffinierter. Eine Datenschutzverletzung kann Strafzahlungen aufgrund eines DSGVO-Verstoßes sowie Betriebsunterbrechungen und Reputationsverlust nach sich ziehen. Daher ist es verständlich, dass Unternehmen zunehmend auf Penetrationstests setzen, um Sicherheitslücken in ihrer IT-Schwachstellen zu erkennen und zu beheben – bevor es zu einem Angriff kommt. Diese Tests sind wie eine digitale Feueralarmübung. Sie helfen IT-Teams auch zu verstehen, welche Sicherheitstools sie wirklich benötigen und welche Protokolle sie und alle Benutzer befolgen sollten. Außerdem können Penetrationstests Entwicklern helfen, genau nachzuvollziehen, wie ein Angriff auf die von ihnen mitentwickelte Software gestartet wurde, damit sie in Zukunft die Sicherheit verstärken können.
Vertrauen ist das A und O: So wählen Sie Ihre Penetrationstests aus
Unabhängig davon, für welche Testart sich Ihr Unternehmen entscheidet, müssen Sie dabei bedenken, dass Sie Ihre kritische IT-Infrastruktur und vertrauliche Daten einem Dritten anvertrauen. Bevor Sie ein Unternehmen für Penetrationstests beauftragen, sollten Sie sich die folgenden Fragen stellen: Ist es seriös und verfügt über eine nachweisliche Erfolgsbilanz sowie über Sicherheitsakkreditierungen? Werden Ihre Daten vor, während und nach dem Test sicher gehandhabt und gespeichert? Werden alle Informationen im Zusammenhang mit dem Pentest nach Abschluss des Projekts vollständig gelöscht? Einige Anbieter zeigen Ihnen nur die gefundenen Sicherheitslücken auf. Es ist sinnvoll, einen auszuwählen, der Ihnen auch bei der Behebung helfen kann.
Sind Sie startklar? Dann viel Glück beim Kampf Ihrer Systeme mit den „White-Hat„-Hackern, die Sie vor den böswilligen „Black-Hats“, die dort draußen lauern, schützen möchten.
Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch