„Ein IT-Penetrationstest umfasst die Prüfung der Sicherheit möglichst aller Systembestandteile und Anwendungen eines IT-Systems mit Mitteln und Methoden, die ein Angreifer anwenden würde, um unautorisierten Zugriff auf das System zu bekommen.”
Fast zwei Drittel aller Unternehmen werden Opfer von Cyberkriminalität. Die Idee eines Penetrationstests ist es, ein IT-System vorsorglich zu überprüfen und anschließend mit abgeleiteten Maßnahmen abzusichern.
Das Ziel kann sowohl die Verifizierung der bereits etablierten Sicherheitsstandards sein, insbesondere im Rahmen des Risiko-Managements, als auch das Aufdecken von Sicherheitslücken, die es zu schließen gilt.
IT-Penetrationstests können grundsätzlich nach vier Kategorien klassifiziert werden:
Externer Test vs. Interner Test
Externe Tests zielen auf die Systembestandteile ab, die extern über das Internet vernetzt und somit exponiert sind. Dazu gehören Webanwendungen, Homepages und E-Mail Server. Das Ziel ist es, sich in Anlehnung an einen echten Angreifer Zugriff zum System zu verschaffen, die Kontrolle zu übernehmen oder wertvolle Daten zu extrahieren.
Beim internen Test wird ein Angriff innerhalb des Firmennetzes simuliert. Dies kann in der Realität nicht nur durch einen bösartigen Mitarbeitenden geschehen. Trickreiche Angreifer finden immer wieder Wege sich Zugang zum geschützten Bereich zu verschaffen, bspw. durch Social Engineering oder Phishing-Mails.
Closed-box Test vs. Open-box Test
Beim Closed-box Test wird dem Tester lediglich das zu testende Ziel genannt, ohne zusätzliche Informationen über das System oder dessen Struktur. Dies hat den Vorteil, dass die gleichen Startbedingungen wie bei einem üblichen externen Angreifer gelten und somit eine ähnliche Vorgehensweise angewandt wird.
Bei einem Open-box Test werden dem Tester weitere Informationen zu Systemen oder internen Strukturen bereitgestellt. Oftmals wird der Quellcode einer explizit zu prüfenden sicherheitskritischen Anwendung bereitgestellt. Damit kann sowohl ein feindlich agierender Mitarbeitender als auch ein sehr ausdauernder Angreifer simuliert werden.
Im Folgenden wird der typische Ablauf eines Externen (Closed-Box) IT-Penetrationstest skizziert:
Die Phasen eines externen IT-Penetrationstests
Planung
Zunächst werden die Ziele des Tests definiert. Dabei ist es wichtig, dass Kunde und Tester diesen Prozess gemeinsam gestalten, um beidseitig Missverständnisse zu verhindern und den Kundenbedürfnissen entsprechend zu testen.
Übliche Ziele eines Penetrationstests sind:
- Schwachstellen identifizieren sowie die Sicherheit des Firmennetztes und der inbegriffenen Systeme zu steigern
- Die IT-Sicherheit von einem erfahrenen externen Expertenteam testen lassen
- Verbessern und/oder zertifizieren der Sicherheit der IT-Infrastruktur
Scan
Im ersten technischen Schritt werden die definierten Ziele gescannt. Automatisierte Skripte ermöglichen die schnelle und einfache Erfassung der extern zugänglichen Systeme und die Identifizierung der darauf ausgeführten Dienste. Zusätzlich können veraltete Software sowie bekannte Schwachstellen in der Software erkannt werden. Nach abgeschlossenem Scan hat der Tester einen Überblick über die exponierten Dienste und kann sich mögliche Angriffe auf potenzielle Schwachstellen überlegen.
Angriff
Der Angriff ist der empfindlichste Schritt, der mit viel Sorgfalt geplant und durchgeführt werden muss. Der Angriff dient der Verifizierung der beim Scann identifizierten potenziellen Schwachstellen. Entsprechend der getroffenen Vereinbarung wird der Tester das Produktivsystem des Kunden mit abzusprechender Aggressivität angreifen. Dabei gilt es in Absprache zwischen der Vermeidung von (kurzfristigen) Schäden am System und dem Aufdecken von Schwachstellen abzuwägen. Wiederherstellungsprozesse müssen für den Ernstfall bereitstehen.
Analyse
Durch die Evaluierung der Schwachstellen anhand der durchgeführten Angriffe ist der Tester in der Lage, die sich ergebenen Sicherheitsrisiken zu bewerten. Üblicherweise sind jeweils Ausnutzbarkeit und Risiko zu bewerten. Zusätzlich kann der Tester Empfehlungen, bspw. zu möglichen Aktualisierungen oder zur Verbesserung von Konfigurationen geben. Da ein Test stark durch die Faktoren Testobjekt, Testzeitraum und Aggressivität beschränkt ist, sollte der Tester diese Umstände in die Analyse einfließen lassen und dokumentieren. Dies soll dem Kunden ein genaues Verständnis der Prüfung sowie der Aussagekraft für das Risikomanagement ermöglichen.
Reporting
Im letzten Schritt gilt es die Ziele, den Umfang, die Vorgehensweise und Funde zu dokumentieren. Idealerweise folgt die Struktur des Berichtes der Vorgehensweise des Tests. Zu Beginn werden die vereinbarte Zielsetzung und der Umfang des Tests beschrieben. Es folgt die Scan Methodik und deren Ergebnisse. Anschließend werden die bewerteten Ergebnisse geordnet nach Risiko präsentiert. Letztlich sind die empfohlenen Maßnahmen und ein abschließendes Fazit anzubringen.
Ein Bericht sollte sich auf die folgenden Teile konzentrieren:
- Formulierung des Ziels, Umfangs und Beschränkungen des Testverfahrens
- Einzelheiten zu jedem Verfahrensschritt und den dabei erlangten Erkenntnissen
- Einzelheiten zu allen erkannten Schwachstellen und Risiken samt Bewertung
- Empfehlungen zur Verbesserung der Sicherheit
- Eine Gesamtzusammenfassung des IT-Penetrationstests
Fazit
Ein Penetrationstest ist die beste Möglichkeit, den aktuellen Sicherheitsstatus eines IT-Systems zu überprüfen. Aufgrund des stetigen technologischen Fortschritts müssen Sicherheits- und Risikobewertungen jedoch immer als kontinuierlicher Prozess verstanden werden. Wie auch die zugrundeliegende Soft- und Hardware, müssen diese regelmäßig kontrolliert werden. Daher wird empfohlen, die Infrastruktur eines Unternehmens jährlich zu testen. Idealerweise werden dabei Angriffsmethoden und Verteidigungsstrategien nach dem neusten Stand der Technik angewandt.