Fragen und Antworten zur Durchführung von Penetrationstests

Allgemeine Fragen und Antworten.

Das Bundesamt für Sicherheit in der Informationstechnik definiert Penetrationstest wie folgt:

Ein Penetrationstest ist ein kontrollierter, erlaubter Versuch, mit Hacker-Methoden in IT-Systeme und Netzwerke einzudringen, um Schwachstellen zu identifizieren.

Ein Penetrationstest unterscheidet sich dabei von einem Audit oder einem Sicherheitscheck insbesondere dadurch, dass der Penetrationstester gezielt die Sichtweise eines echten Angreifers annimmt, um mit dessen Methode und Werkzeugen Schwachstellen und Sicherheitsrisiken zu identifizieren. Insbesondere können dadurch technische Risiken aufgedeckt werden, die in einem Audit nicht überprüft würden.

Penetrationstests können nach sehr vielen Kriterien unterschieden werden. Die Studie „Durchführungskonzept für Penetrationstests“ des BSI definiert sogar sechs unterschiedliche Kriterien. Wir unterscheiden in der Regel nur nach der Art des Penetrationstests und den Informationen die wir vorab bekommen.

Ein externer Penetrationstest wird komplett remote über das Internet durchgeführt, ohne Zugang zum internen Netz des Auftraggebers. Das primäre Ziel ist in der Regel, einen Weg zum Eindringen in das Netzwerk zu finden. Ein interner Penetrationstest findet üblicherweise direkt im Netz des Auftraggebers, selten über VPN statt und hat oft das Ziel, nur mit einem Netzwerk- oder Benutzerzugang privilegierte Rechte zu erlangen. Bei einem Web Application Penetrationstest wird eine spezielle Webanwendung, z.B. ein Webshop oder ein Kundenportal gezielt auf Schwachstellen geprüft.

In einem White-Box Penetrationstest erhalten die Penetrationstester eine Reihe von Informationen, z.B. IP-Adressen oder Systemkonfigurationen. In einem Black-Box-Test erhalten die Tester keine Informationen und müssen sich alle Informationen selbst zusammensuchen. In der Regel ist ein White-Box-Test mit zumindest teilweisen Informationen effizienter.

Die Kosten eines Penetrationstests ergeben sich aus der Art des Penetrationstests, der gewünschten Prüftiefe und dem dadurch erwarteten Aufwand.

Bei einem externen Penetrationstest richten sich die Kosten in erster Linie nach der Anzahl der öffentlichen IP-Adressen. In einem externen Penetrationstest sind auch typische Content Management Systeme enthalten, aber keine komplexen Webanwendungen.

In einem internen Penetrationstest sind die Anzahl der (auch virtuellen) Server und die Anzahl der Subnetze, d.h. die verschiedenen Segmente wichtig. Clients werden in der Regel nicht alle komplett geprüft sondern lediglich einzelne ausgewählte Systeme. Auch hier sind komplexe Webanwendungen nicht enthalten. Außerdem sind die Anzahl der Tester vor Ort und natürlich Spesen und Reisekosten relevant.

Besonders schwierig wird es bei Webanwendungen. Eine einfache Webanwendung kann aus ein paar wenigen Formularen bestehen, die in kurzer Zeit überprüft werden können, aber auch aus hunderten API-Aufrufen, deren Prüfung selbst (teil-)automatisiert mehrere Tage oder Wochen umfassen kann. Eine sinnvolle Abschätzung des Aufwands ist manchmal erst möglich, wenn die Webanwendung vorgeführt wurde und die API-Dokumentation vorhanden ist.

Am besten sprechen Sie uns einfach an. Wir besprechen gerne mit Ihnen die konkrete Vorgehensweise und den erforderlichen Aufwand und erstellen Ihnen ein verbindliches Angebot.

Nein, in der Regel nicht.

Zum einen hängt das Ergebnis des Penetrationstests von vielen Aspekten ab. Dazu gehören insbesondere die Qualität der Penetrationstester, die Prüftiefe, also der Zeit die für den Test zur Verfügung steht und die Penetrationstest-Methodik, also die konkrete Vorgehensweise im Test.

Zum anderen ist ein Penetrationstest immer eine zeitliche Momentaufnahme. Im schlimmsten Fall werden am Tag nach dem Test neue, bisher unbekannte Schwachstellen gefunden, die im Test nicht sichtbar waren. Ein Penetrationstest ersetzt deshalb in keinem Fall ein Schwachstellenmanagement.

Falls Sie nicht nur die technische Sicherheit überprüfen sondern ganzheitlich das gesamte Unternehmen betrachten möchten, ist ein zwangsläufig technisch orientierter Penetrationstest vielleicht nicht ideal. In diesem Fall ist ein Cyber-Sicherheits-Check eine mögliche Alternative. Dabei werden sowohl technische Aspekte wie die Konfiguration von Firewall, Virenscanner und anderen Sicherheitssystemen, organisatorische Aspekte wie Nutzungs- und Sicherheitsrichtlinien sowie personelle Aspekte wie Awareness und Sensibilisierung der Mitarbeiter geprüft. Gegebenenfalls kann ein Cyber-Sicherheits-Check auch mit einem Vulnerability Scan oder einem automatisierten Penetationstest kombiniert werden.

Rechtliche Aspekte die bei der Durchführung beachtet werden müssen.

Ein Penetrationstest setzt verschiedene vertragliche Vereinbarungen voraus, insbesondere benötigen wir eine Einverständniserklärung zur Durchführung des Penetrationstests.

Etwas komplizierter wird die Antwort, wenn die Systeme nicht von Ihnen selbst betrieben, sondern in der Cloud gehostet werden. Für von Ihnen verwaltete Systeme in der Cloud (Infrastructure-as-a-Service, IaaS) gibt es von den meisten Cloud-Providern Vorgaben zur Durchführung von Penetrationstests ohne ausdrückliche Genehmigung des Cloud-Providers. Für nicht von Ihnen verwaltete Systeme (Platform-as-a-Service, PaaS oder Software-as-a-Service, SaaS) ist auf jeden Fall das Einverständnis des Cloud-Providers notwendig. Bei SaaS-Anwendungen ist diese Einverständniserklärung in der Regel jedoch nicht zu bekommen.

Sofern die Einverständniserklärung vorliegt und vollständig und gültig ist und ggf. die Vorgaben eines Cloud-Providers eingehalten werden ist ein Penetrationstest auf jeden Fall legal.

Wir verlangen für die Durchführung eines Penetrationstests in der Regel vier vertragliche Vereinbarungen:

Einverständniserklärung: Die Einverständniserklärung zum Penetrationstest ist die vertraglich und rechtlich notwendige Befugnis zur Abwehr der verschiedenen Strafrechtsparagraphen. Dabei ist darauf zu achten, dass alle beteiligten Parteien, z.B. Auftraggeber, Internet Provider (bei gehosteten Systemen) und Betreiber (z.B. bei Outsourcing) die Einverständniserklärung unterschrieben haben.

Vertraulichkeitsvereinbarung: Die Vertraulichkeitsvereinbarung hat die Aufgabe, die sensiblen Informationen des Auftraggebers zu schützen. In der Regel bindet die Vertraulichkeitsvereinbarung primär die Penetrationstester, da der Auftraggeber Informationen zu Schwachstellen ggf. an Dienstleister weitergeben muss, um die Behebung zu erreichen.

Haftungsfreistellung: Als Auftragnehmer benötigen wir eine Haftungsfreistellung für nicht von uns zu verantwortende Folgeschäden. Wenn beispielsweise durch den Penetrationstest ein System abstürzt und aufgrund fehlender oder unvollständiger Datensicherung ein höherer Schaden entsteht, können wir nicht dafür verantwortlich gemacht werden.

Auftragsverarbeitungsvereinbarung: Wenn die Penetrationstester im Rahmen des Tests Zugriff auf personenbezogene Daten, z.B. Benutzeraccounts und Passwörter erhalten können, sollte eine Vereinbarung zur Verarbeitung dieser Daten abgeschlossen werden. Hier kann auch geregelt werden, wie weit Penetrationstester in eine Lücke eindringen dürfen.

Was passiert während des Penetrationstests?

In größerem Umfang nie. Nicht bei professionellen Penetrationstestern. Allerdings lassen sich spontane Systemabstürze oder Neustarts von Systemen nicht immer vermeiden.

Bei externen Penetrationstests von Systemen im Internet werden die Systeme sowieso ständig von anderen im Internet gescannt und attackiert. Wenn Systeme so einfach gestört oder beschädigt werden könnten, hätten Sie das längst gemerkt.

In internen Penetrationstests sind vor allem Embedded Systeme, Steuerungen und Prozessleittechnik gefährdert. Das sind oft ältere Systeme mit langsamen Prozessoren und wenig RAM, die aggressive Angriffe schlecht vertragen. Um Schäden zu vermeiden benötigen wir ggf. Informationen von Ihnen, welche Netzsegmente nur Server und Clients enthalten und gefahrlos gescannt werden können und in welchen Netzbereichen auch Nicht-Standard-Systeme betrieben werden.

In Webanwendungen führen die meisten Schwachstellen zu unberechtigten Datenzugriffen, also einer Verletzung der Vertraulichkeit. Für den Nachweis beispielsweise einer SQL-Injection-Schwachstelle genügt es aber, Daten auszulesen. Eine Veränderung oder gar Löschung der Daten ist dafür nicht notwendig und unterbleibt natürlich.

Wenn wir eine ausnutzbare Schwachstelle gefunden haben, besprechen wir vorher mit Ihnen, ob wir einen Exploit testen können, da dadurch am ehesten ein Schaden entstehen kann. Sie können dann beurteilen, ob und ggf. wann der Angriff mit Exploit durchgeführt werden kann, um Ihr Risiko zu minimieren. In den allermeisten Fällen führt ein fehlgeschlagener Angriff lediglich zum Absturz des Systems, das in der Regel nur neu gestartet werden muss. In wenigen Fällen ist ein solcher Absturz auch mit einem Datenverlust verbunden.

Falls wir im Penetrationstest eine kritische Sicherheitslücke finden, z.B. eine Schwachstelle über die ein Angreifer in Ihre Systeme eindringen könnte, aber auch versehentlich auf der Webseite ungeschützte personenbezogene Daten, werden Sie von uns sofort informiert. Sie können dann auch direkt, noch während der Penetrationstest läuft, Gegenmaßnahmen einleiten, um Ihre Systeme abzusichern.

Wir prüfen anschließend selbstverständlich auch, ob die Lücke dadurch geschlossen wurde und nehmen alles in unseren Bericht mit auf.

Der Penetrationstest ist beendet, was passiert jetzt?

Der Penetrationstestbericht besteht in erster Linie aus den gefundenen potentiellen Schwachstellen mit Screenshots oder Logfiles. Jede Schwachstelle dokumentieren wir mit einer leicht verständlichen Erklärung der Schwachstelle und einer Risikobewertung dieser Schwachstellen, die sich aus der Eintrittswahrscheinlichkeit und dem möglichen Schaden ergibt. Außerdem erhalten Sie zu jeder Schwachstelle ein- oder mehrere Empfehlungen zur Beseitigung oder Reduzierung des Risikos und zur Absicherung Ihrer Infrastruktur. Diese Empfehlungen werden jeweils auch mit erwarteten Kosten bewertet.

Sie können jede der Schwachstellen in Ihr Ticketsystem übernehmen und dabei prüfen, ob und welche unserer Maßnahmenempfehlungen für Sie sinnvoll und wirtschaftlich sind. Wenn die kritischen Risiken bearbeitet wurden, besteht natürlich immer die Möglichkeit eines Nachtests.

Unsere Berichte bestehen mindestens aus diesen Kapiteln:

• Management Summary
• Vorgehensweise im Penetrationstest
• Potentielle Schwachstellen
• Ergebnisse mit Bewertung der Schwachstellen
• Zusammenfassung

Selbstverständlich erhalten Sie nach der Durchführung des Penetrationstests auch eine Bestätigung. Die Bestätigung enthält die geprüften Systeme oder Anwendungen, den Testzeitraum, die Prüftiefe, d.h. die Anzahl der Personentage im Test und das Ergebnis, z.B. keine Schwachstellen nach OWASP Top 10. Sofern der Penetrationstest nennenswerte Schwachstellen enthält, kann eine Bestätigung ggf. erst nach einem Nachtest ausgestellt werden.

Wir beantworten Ihnen gerne alle offenen Fragen und stellen Ihnen unsere Vorgehensweise und die Möglichkeiten eines Penetrationstests, gerne auch in einer Videokonferenz vor.

Vereinbaren Sie einfach einen Termin mit uns.