Penetrationstests

Hacking Cycle

Penetrationstests dienen der Aufdeckung von Sicherheitslücken in IT-Systemen des Auftraggebers:

„Ein Penetrationstest ist der kontrollierte Versuch, mit den Mitteln und Techniken realer Angriffe in Computersysteme bzw. -netzwerke einzudringen um Schwachstellen zu identifizieren.“

Diese vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entlehnte Definition beschreibt den Schwerpunkt eines Penetrationstests, nämlich die Anwendung der Techniken realer Angreifer. Dabei sollen durch die simulierten oder tatsächlich durchgeführten Angriffe Schwachstellen in den IT-Systemen, der Infrastruktur oder der organisatorischen und personellen Sicherheit aufgedeckt werden.

Eine Sicherheitslücke ermöglicht es einem böswilligen Eindringling Informationen unberechtigt zu lesen oder zu verändern oder die Verfügbarkeit der Systeme zu beeinträchtigen. Durch einen Penetrationstest kann geprüft werden, inwieweit die Sicherheit der IT-Systeme durch Bedrohungen von Hackern, Crackern, etc. gefährdet ist bzw. ob die IT-Sicherheit durch die eingesetzten Sicherheitsmaßnahmen aktuell gewährleistet ist.

Die Qualität und der Nutzen eines Penetrationstests wird im Wesentlichen davon bestimmt, wie weit dieser auf die individuelle Situation des Auftraggebers eingeht, d. h. wie viel Zeit und Ressourcen auf die Ausforschung von Schwachstellen, die die konkrete IT-Infrastruktur betreffen, verwendet werden und wie kreativ dabei vorgegangen wird. Zur Durchführung der Penetrationstests verwenden wir deshalb nicht nur die gängigen, im Internet und im Handel verfügbaren Schwachstellenscanner, Hacker-Tools und Exploits sondern auch eigenentwickelte Software.

Das Ergebnis des Penetrationstests wird von uns in einem Bericht sowie einer ausführlichen Präsentation dargestellt. Sie beinhaltet die Darstellung der verwendeten Angriffsschemata, aller entdeckten Sicherheitslücken (so vorhanden) sowie eine Bewertung der Gefährdung und enthält Hinweise und Vorschläge zur Verbesserung der Sicherheit der getesteten Systeme. Alle erlangten Kenntnisse und die Ergebnisse des Penetrationstests behandeln wir selbstverständlich vertraulich und werden von uns nach Übergabe vernichtet. Da Funktionsstörungen der angegriffenen Systeme nicht immer ausgeschlossen werden können führen wir Penetrationstests gerne auch außerhalb Ihrer Geschäftszeiten oder am Wochenende durch.

Security Audits

Ein Penetrationstest kann die üblichen IT-Sicherheitsprüfungen und selbstverständlich auch ein Sicherheitskonzept nicht ersetzen. Beispielsweise kann ein Berechtigungs- oder ein Datensicherungskonzept nur durch andere Maßnahmen effektiv und effizient geprüft werden. Falls bei Ihnen noch kein Sicherheitskonzept vorliegt ist es vor allem bei einer komplexen IT-Landschaft fragwürdig, ob die Durchführung eines Penetrationstests überhaupt sinnvoll ist. Voraussichtlich wäre es für eine Steigerung der IT-Sicherheit viel effizienter, zunächst ein geeignetes Sicherheitskonzept zu erarbeiten und umzusetzen.

„Die Abwesenheit von Sicherheitslücken lässt sich nicht beweisen, nur ihre Anwesenheit“

Diese Aussage des niederländischen Informatikers Edsger Wybe Dijkstra gewinnt gerade in der heutigen Zeit immer mehr an Bedeutung. Neben dem klassischen Penetrationstest von Sicherheitssystemen empfiehlt sich deshalb ein Security Audit, das die Konfiguration und Installation, den aktuellen Patchlevel, die implementierten Regeln und die umgebende Infrastruktur betrachtet.

Im Rahmen eines Reviews des Sicherheitskonzepts und der Konfiguration und Installation der Systeme, am besten zusammen mit den verantwortlichen Administratoren können Empfehlungen (sogenannte Best Practices) besprochen werden. Diese Audits bieten die Möglichkeit, u.a. Risiken von Ihnen zu entdecken, da eine Reihe von Lücken nur so festgestellt werden können.