Stärkung der Informationssicherheitsstruktur mittels Pentest

© Worawut – stock.adobe.com

Eine gute Strategie in Sachen IT-Sicherheit ist heute eine der Grundvoraussetzungen, um noch so fähige Hacker von den eigenen Daten und Informationen fernzuhalten. Nicht nur der Gewinn ist wichtig, sondern vor allem der Schutz der Ressourcen, die ihn ermöglichen.

Wie das am besten geht, zeigen Unternehmen wie die Redlings GmbH, die sich auf Pentests spezialisiert haben. Durch solche Tests lässt sich eine IT-Sicherheitsbewertung durchführen und Schwachstellen aufspüren.

IT-Sicherheit ist nicht in allen Unternehmen ein Thema

Laut einer vom Digitalverband Bitkom initiierten Umfrage besitzt nur etwas mehr als die Hälfte aller Unternehmen ein Notfall-Management für den Fall eines Hackerangriffs. Dabei wäre es gerade für Institutionen, die im Bereich der sogenannten kritischen Infrastruktur arbeiten, also etwa Energieversorger, Krankenhäuser oder Forschungseinrichtungen wichtig, besonders hohe Sicherheitsstandards zu besitzen. Dr. Ewan Fleischmann, Gründer von Redlings sagt:

Je besser ihre IT-Umgebung vor unberechtigtem Zugriff geschützt ist, desto geringer das Risiko, von Hackern bestohlen, erpresst oder sabotiert zu werden.

Unternehmen könnten und müssten mehr Engagement in diesem Bereich an den Tag legen, denn es geht darum, die wichtigsten Ressourcen, wie Kundendaten und -informationen, durch die Stärkung der Informationssicherheitsstruktur zu schützen.

Die IT-Umgebung und die Informationssicherheitsstruktur sind das bevorzugte Einfallstor für Cyber-Kriminelle, die versuchen, die IT-Infrastrukturen zu infiltrieren, um so an sensible Daten zu gelangen, Schadsoftware zum Zweck der Erpressung zu platzieren oder Ransomware mit dem Ziel der Sabotage einzuschleusen.

Um solche Angriffe effektiv abzuwehren, nutzt beispielsweise die Redlings GmbH den Penetrationstest. Dr. Ewan Fleischmann erläutert dazu:

Unsere IT-Sicherheitsexperten setzen bei Penetrationstests genau die Waffen ein, die auch von Hackern genutzt werden.

Begriffserklärung: Ein Penetrationstest (auch Pentest genannt) ist ein gezielter, erlaubter Versuch, in IT-Systeme einzudringen, um die IT-Sicherheit zu verbessern bzw. Sicherheitslücken zu identifizieren.

Mögliche Pentest-Szenarien

Soll ein Netzwerk mittels Penetrationstest überprüft werden, kann der ausführende IT-Sicherheitsexperte unterschiedliche Szenarien als Grundlage wählen:

  • externer Angriff (über das Internet)
  • kompromittierter Web-Server der DMZ
  • interner Angriff (mittels eines kompromittierten Rechners oder böswilligen Mitarbeitenden)
  • interner Angriff (etwa mithilfe eines mobilen Endgerätes, das an eine freie Netzwerkdose angeschlossen wird)

Sehr häufig werden Hackerangriffe über das sogenannte „Social Engineering“ gestartet. Dabei versucht der Hacker, einen ahnungslosen Mitarbeitenden des Unternehmens zu einer Herausgabe von Informationen zu bewegen. Dazu nutzt er Phishing-Mails oder entwirft Spear-Phishing-Mails, also täuschend echte, aber dennoch gefälschte und personalisierte Mails irgendwelcher Banken, Versicherungen oder ähnlicher Institutionen. Mit diesen versucht er, zum Beispiel Zugang zu den Bankdaten des Empfängers zu erhalten.

Faktencheck: Laut dem Manager Magazin entsteht jährlich ein Schaden von 55 Milliarden Euro durch Cyberangriffe auf deutsche Unternehmen.

Gründe, die für Pentests sprechen

Die IT-Abteilungen von Unternehmen wissen natürlich, dass es immer Schwachstellen gibt, selbst bei noch so guten Sicherheitsvorkehrungen wie etwa Secure Coding Standards, Application-Layer Firewalls oder AV/AM Software. Solche Instrumentarien berücksichtigen vor allem den Blickwinkel des Unternehmens.

Bei einem Pentest hingegen wechseln die durchführenden IT-Sicherheitsexperten sozusagen die Perspektive und können so auch solche Sicherheitsaspekte testen, die beim IT-Personal des beauftragenden Unternehmens vielleicht nicht im Fokus standen. Insofern kann der Pentest einen wichtigen, ergänzenden Bestandteil eines IT-Sicherheitskonzeptes darstellen.

Führt ein Unternehmen neue Tools oder ganze Systeme, lässt sich mit einem Penetrationstest herausfinden, ob die bisherigen Sicherheitsmechanismen weiterhin greifen oder ob sich durch die neuen Komponenten neue Schwachstellen gebildet haben. Hier arbeitet ein Pentest wesentlich effizienter als etwa ein automatisierter Schwachstellenscan. Dieser ist lediglich in der Lage, die klassischen Standard-Schwachstellen zu identifizieren. Der Penetrationstest macht auch bisher unentdeckte Schwachstellen ausfindig und deckt darüber hinaus Zero-Day-Exploits auf.

Ein weiterer Grund für die Durchführung von Penetrationstests sind die von Unternehmen zu erfüllenden Compliance-Anforderungen, zum Beispiel:

  • Gesetze
  • Richtlinien
  • Regelungen (freiwillig, zum Teil branchenspezifisch)

Der Pentest kann einem Unternehmen beispielsweise dabei helfen, die internationale Norm ISO/IEC 27001 zu erfüllen. Diese beschreibt ein ISMS (Informationssicherheits-Managementsystem). Ein solches System setzt sich zusammen aus:

  • Leit- und Richtlinien
  • Prozessen und Verfahren
  • Dokumenten und Aufzeichnungen
  • Kontrollmechanismen und Leistungsbewertungen
  • Maßnahmenzielen und Maßnahmen (zum Beispiel den Penetrationstest)

Hier lässt sich der Penetrationstest einsetzen, um mithilfe der externen, testenden IT-Sicherheitsexperten zu verifizieren, dass das Unternehmen ein IT-Sicherheitskonzept besitzt, das mit der ISO/IEC 27001 konform geht.

Wie läuft ein Pentest ab?

Prinzipiell können einzelne Bereiche der IT-Infrastruktur (Web-Application, Cloud, Mobile & API) oder die gesamte IT-Umgebung (Netzwerk-Pentest) getestet werden. Dabei gibt es drei verschiedene Varianten des Pentests. Diese werden als Black-Box-Pentest, White-Box-Pentest und Grey-Box-Pentest bezeichnet.

Der Black-Box-Pentest wird allgemein als der Test angesehen, der der Realität am nächsten kommt, denn die Hacker besitzen meist gar keine Informationen zum System, in das sie eindringen möchten. Allerdings spielt hier auch die Zeit eine wesentliche Rolle, denn ein beauftragter Pentester hat in der Regel maximal 2 Wochen Zeit, ein Cyber-Krimineller hingegen kann seinen Angriff über Monate hinweg vorbereiten, einschließlich der Informationsbeschaffung. Der Black-Box-Penetrationstest ist hilfreich, wenn es um die Aufdeckung von Schwachstellen in einer bestimmten Spezifikation geht, etwa einer Schnittstelle einer Web-API.

Beim White-Box-Pentest stellt das beauftragende Unternehmen den IT-Sicherheitsexperten vor Beginn des Pentests umfassende Informationen zur IT-Struktur zur Verfügung. Dieses Vorgehen spart vor allem Zeit und nicht zuletzt auch Kosten.

Wird ein Grey-Box-Pentest beauftragt, werden Informationen nur in sehr begrenztem Umfang weitergegeben. Der Pentester soll bei dieser Test-Variante auf Basis seines „Halbwissens“ verschiedene, risikorelevante Aspekte selbst entdecken und wenn möglich ausnutzen.

Ein Pentest kann auch als Red Team versus Blue Team stattfinden. Bei dieser Pentest-Variante “kämpfen” zwei Teams gegeneinander. Das Red Team übernimmt die Rolle der Hacker, die versuchen, in die Informationssicherheitsstruktur einzudringen. Das Blue Team, bestehend aus allen für die IT-Sicherheit des Unternehmens verantwortlichen Mitarbeiter, soll die Angriffe sozusagen „live“ abwehren, die IT-Sicherheit optimieren und aufgedeckte Schwachstellen schließen. Ein Ziel dieses Team-Pentests ist es, die Art der Verteidigung sowie die Reaktionszeit des Blue Teams zu ermitteln. So soll eine Stärkung der Informationssicherheitsstruktur in ihrer Gesamtheit herbeigeführt werden.

Eine wichtige Unterscheidung bei dieser Testvariante besteht darin, ob der Pentest angekündigt wird oder ob er unangekündigt stattfindet. Bei einem angekündigten Test reagieren die IT-Abteilungen bei unvorhergesehenen Ereignissen fast immer sehr schnell und zielgerichtet, weil sie bereits ahnen, dass die Ereignisse mit dem Pentest zusammenhängen. Sehr viel spannender und ergebnisträchtiger ist ein nicht angekündigter Pentest, denn bei einem solchen geht es darum, herauszufinden, ob und wie effektiv implementierte Überwachungsmaßnahmen funktionieren.

Rechtsfragen zum Pentest

„Unser Unternehmen führt Pentests ausschließlich auf Grundlage eines vorher aufgesetzten Dienstleistungsvertrages durch. In einem solchen muss vor allem die explizite Einwilligung des beauftragenden Unternehmens festgehalten sein. Zudem sind Art, Umfang und Zeitraum des Pentests festzuhalten. Besonders wichtig ist die Klärung, welche Systeme, Tools und Dienstsysteme sich im Eigentum des beauftragenden Unternehmens befinden. Systeme oder Tools zu testen, deren Eigentums- oder Nutzungsrechte auch von Dritten wahrgenommen werden, ist gesetzlich unzulässig. Wesentlicher Bestandteil eines Pentest-Vertrages sollte darüber hinaus immer ein Verschwiegenheitserklärung sein“, beschreibt Dr. Ewan Fleischmann die Grundbedingungen für die Durchführung eines Pentests.