Penetrationstests

Penetrationstests dienen der Aufdeckung von Sicherheitslücken in IT-Systemen des Auftraggebers.

„Ein Penetrationstest ist der kontrollierte Versuch, mit den Mitteln und Techniken realer Angriffe in Computersysteme bzw. ‑netzwerke einzudringen um Schwachstellen zu identifizieren.“

Diese vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entlehnte Definition beschreibt den Schwerpunkt eines Penetrationstests, nämlich die Anwendung der Techniken realer Angreifer. Dabei sollen durch die simulierten oder tatsächlich durchgeführten Angriffe Schwachstellen in den IT-Systemen, der Infrastruktur oder der organisatorischen und personellen Sicherheit aufgedeckt werden.

Eine Sicherheitslücke ermöglicht es einem böswilligen Eindringling Informationen unberechtigt zu lesen oder zu verändern oder die Verfügbarkeit der Systeme zu beeinträchtigen. Durch einen Penetrationstest kann geprüft werden, inwieweit die Sicherheit der IT-Systeme durch Bedrohungen von Hackern, Crackern, etc. gefährdet ist bzw. ob die IT-Sicherheit durch die eingesetzten Sicherheitsmaßnahmen aktuell gewährleistet ist.

Die Qualität und der Nutzen eines Penetrationstests wird im Wesentlichen davon bestimmt, wie weit dieser auf die individuelle Situation des Auftraggebers eingeht, d. h. wie viel Zeit und Ressourcen auf die Ausforschung von Schwachstellen, die die konkrete IT-Infrastruktur betreffen, verwendet werden und wie kreativ dabei vorgegangen wird. Zur Durchführung der Penetrationstests verwenden wir deshalb nicht nur die gängigen, im Internet und im Handel verfügbaren Schwachstellenscanner, Hacker-Tools und Exploits sondern auch eigenentwickelte Software.

Zwar existieren keine Gesetze, die Firmen oder Behörden dazu verpflichten, Penetrationstests durchführen zu lassen. Es existieren jedoch verbindliche Vorschriften bezüglich der Sicherheit steuerrechtlich und handelsrechtlich relevanten Daten sowie zum Umgang mit personenbezogenen Daten. Allein durch die Etablierung gängiger Maßnahmen wie Sicherheitskonzepte, Virenscanner oder Firewallsysteme ist eine Erfüllung der gesetzlichen Vorgaben nach herrschender Meinung nicht gewährleistet. Erst durch die regelmäßige Durchführung von Penetrationstests erhalten Sie einen dauerhaften Überblick der Gefährdung Ihrer Systeme.

Zielsetzung

Die Zielsetzung eines Penetrationstest sollte im Vorfeld möglichst genau definiert werden. Die meisten Penetrationstests werden mit dem Ziel in Auftrag gegeben, die Sicherheit der technischen Systeme zu erhöhen. Diese Tests beschränken sich in der Regel auf die IT-Systeme und Anwendungen, also Firewall, Webserver, Webapplikationen, etc. Die organisatorische und personelle Infrastruktur wird nicht geprüft. Diese Vorgehensweise ist typisch, wenn z.B. gezielt geprüft werden soll ob Zugriffe aus dem Internet auf interne Systeme durch unautorisierte Dritte möglich ist.

Ein Penetrationstest kann aber auch zur konkreten Identifizierung von Schwachstellen eingesetzt werden. Diese Zielsetzung kommt häufig im Rahmen der Einführung neuer Produkte oder Techniken in einem Unternehmen zum Einsatz. Beispielsweise sehen viele Abnahmeverträge von für Unternehmen im Auftrag entwickelten Webanwendungen einen Penetrationstest der Anwendung zur Prüfung der Sicherheit vor.

Eine weitere Zielsetzung kann die Überprüfung der Sicherheit der Infrastruktur durch einen Dritten sein, beispielsweise im Vorfeld einer Zertifizierung nach ISO 27001. Dabei muss jedoch beachtet werden, dass ein Penetrationstest immer nur eine punktuelle Aufnahme der Sicherheit zu einem Zeitpunkt darstellt. Praktisch stündlich werden neue Sicherheitslücken entdeckt und Angriffe entwickelt. Regelmäßige Penetrationstests können jedoch eine Möglichkeit sein, die hohe Sicherheit der IT-System und Daten zu belegen.

Neben der reinen technischen Infrastruktur kann auch die Prüfung der organisatorischen oder personellen Sicherheit geprüft werden. Dazu gehört die angemessene Reaktion auf Social Engineering Angriffe und Phishing-Mails oder die Kontrolle der Eskalationsprozeduren. Die Prüfung der personellen Sicherheit ist in vielen Fällen mitbestimmungspflichtig. Ein Betriebs- oder Personalrat sollte in entsprechende Pläne deshalb frühzeitig eingeweiht werden um die konkrete Ausgestaltung z.B. bezüglich der Identifizierbarkeit einzelner Mitarbeiter abzustimmen.

Penetrationstestvarianten

Je nach Zielsetzung sind verschiedene Varianten zur Durchführung eines Penetrationstests möglich.

Infrastruktur-Tests

Penetrationstests der Infrastruktur dienen dazu, einen Überblick über alle vorhandenen Risiken und Schwachstellen zu bekommen. Bei einem Penetrationstest aus dem Internet prüfen wir u.a. Firewall-Systeme, VPN-Zugänge, Mailserver und die gesamte, aus dem Internet erreichbare Netzwerkstruktur. Bei einem internen Penetrationstest sind vor allem Domain Controller, Fileserver, interne Webserver aber auch Peripheriegeräte wie USVs unser primäres Angriffsziel.

Webanwendungen

Webanwendungen und Web-APIs sind heute aus den meisten Geschäftsprozessen nicht mehr wegzudenken. Entsprechend hoch sind mögliche Schäden bei einer Kompromittierung. In unseren Penetrationstests für Webanwendungen prüfen wir Eingabemöglichkeiten in Webanwendungen aber auch webbasierten APIs.

Mobile Apps

Anwendungen auf Tablets und Smartphones werden immer wichtiger. Entsprechend steigen die Anforderungen an Informationssicherheit und Datenschutz auch bei Mobile Apps. Wir prüfen Ihre Mobile Apps auf Risiken und Schwachstellen.

Individuelle Tests

Individuelle Tests bieten sich an, wenn z.B. neu installierte Systeme oder Anwendungen überprüft und abgenommen werden sollen. Hier können wir gezielt auf Ihre Wünsche und Anforderungen eingehen.

Vorgehensweise

Unsere Vorgehensweise zur Durchführung eines Penetrationstests ist grundsätzlich nach dem folgenden, auch vom Bundesamt für Sicherheit in der Informationstechnik empfohlenen Schema aufgebaut.

Vorbereitung des Penetrationstests

Gemeinsam mit Ihnen stimmen wir Vorgehensweise, Umfang und Ziel des Penetrationstests ab. Vertragliche Vereinbarungen zum Datenschutz und zur Vertraulichkeit schützen Sie und Ihre Daten. Zusätzlich werden Im Notfall jederzeit erreichbare Ansprechpartner bei uns und Ihnen bestimmt.

Informationsbeschaffung über die Zielsysteme

Im Falle eines Whitebox-Tests werten wir vorhandene Unterlagen aus und prüfen Konfigurationsdateien. Außerdem prüfen wir öffentlich zugängliche Informationen und Datenbanken. Auch Suchmaschinen sind eine beliebte Quelle versehentlich veröffentlichter vertraulicher Daten.

Scan der Zielsysteme

Mit einem Port-Scanner können wir das gesamte Netzwerk oder die zu überprüfenden Rechner auf offene Ports prüfen, die Rückschlüsse auf die zugeordneten Anwendungen zulassen. Über das Fingerprinting können Namen und Version von Betriebssystemen und Anwendungen auf den Zielsystemen in Erfahrung gebracht werden.

Schwachstellenanalyse

Mit einem oder mehreren Schwachstellenscanner wird gezielt nach potentiellen Sicherheitslücken gesucht. Moderne Scanner können Risiken häufig bereits direkt identifizieren und machen Vorschläge zu konkreten Angriffen.

Ausnutzen der Schwachstellen

Gefundene Schwachstellen können dazu genutzt werden, unberechtigten Zugriff zum System zu erhalten und weitere Angriffe vorzubereiten. Dieses unbefugte Eindringen wird mit „Penetration“ bezeichnet. Häufig führt nicht eine einzelne Schwachstelle zur Kompromittierung, sondern eine Kombination mehrerer, jede für sich alleine genommen harmlose Lücken.

Abschlussbericht

Wir dokumentieren und bewerten detailliert und nachvollziehbar alle Ergebnisse des Penetrationstests. Unsere Risikobewertung und Kostenschätzung können von Ihnen für die Priorisierung von Maßnahmen genutzt werden. In einer Managementpräsentation stellen wir Ihnen unsere Befunde vor.

Unsere Leistung

Wir prüfen die Sicherheit Ihrer IT-Systeme, Ihrer Webanwendungen und Ihrer Infrastruktur.

Das Ergebnis des Penetrationstests wird von uns in einem Bericht sowie einer ausführlichen Präsentation dargestellt. Sie beinhaltet die Darstellung der verwendeten Angriffsschemata, aller entdeckten Sicherheitslücken (so vorhanden) sowie eine Bewertung der Gefährdung und enthält Hinweise und Vorschläge zur Verbesserung der Sicherheit der getesteten Systeme. Alle erlangten Kenntnisse und die Ergebnisse des Penetrationstests behandeln wir selbstverständlich vertraulich und werden von uns nach Übergabe vernichtet. Da Funktionsstörungen der angegriffenen Systeme nicht immer ausgeschlossen werden können führen wir Penetrationstests gerne auch außerhalb Ihrer Geschäftszeiten oder am Wochenende durch.