Anzeige

Patrick JungBei der Konzeption einer nachhaltigen IT-Sicherheitsstrategie sind Penetrationstests ein wichtiger Bestandteil, um zu gewährleisten, dass Schwachstellen in der IT-Infrastruktur entdeckt werden, bevor Angreifer dies tun. Ein Kommentar von Patrick Jung, Leiter Professional Services bei secion.

Damit ein umfassender, individualisierter Penetrationstest sowohl für den Kunden als auch für den Tester nachhaltig erfolgreich ist, empfehlen wir von secion zehn essentielle Verhaltens- bzw. Maßnahmenregeln. In der Konsequenz wird Penetrationtesting zum Bestandteil eines erweiterten Maßnahmenpakets.

Erst kürzlich haben neue Bedrohungen wie die schnelle Verbreitung des Erpressungstrojaners Locky gezeigt, dass ausschließlich passive und punktuell durchgeführte Schutzmaßnahmen längst nicht mehr ausreichen, um die IT-Infrastruktur von Firmen und Organisationen dauerhaft zu schützen. Die Problematik: IT-Sicherheitsüberprüfungen wie Penetrationstests finden in der Regel nur unregelmäßig statt. Der Zeitraum zwischen den einzelnen Audits ist zu lang, um neue Angriffe auszuschließen. Die zentrale Frage lautet daher: Wie kann sich ein Unternehmen heutzutage bestmöglich und nachhaltig absichern? Um in der heutigen IT-Systemlandschaft sicher zu sein, müssen Schwachstellen fortlaufend, proaktiv und automatisiert geprüft werden. Daher empfehlen wir unseren Kunden, den Penetrationstest als Basis eines erweiterten Maßnahmenpakets einzusetzen.

Um dieses Maßnahmenpaket zu vervollständigen, bieten sich 24/7-Schwachstellenanalysen als ressourcenschonendes Security-as-a-Service-Modell an. Eine entsprechende Lösung sollte zudem automatisch individualisierte Reports generieren sowie Handlungsempfehlungen konkret und priorisiert benennen. Zu empfehlen ist darüber hinaus ein separater Report für die Geschäftsführung bzw. das Management, der weniger in die technische Tiefe geht, sondern einen umfassenden Überblick über die derzeitige Sicherheitslage der IT-Infrastruktur gibt.

Generell gilt es, bei der Planung bzw. Durchführung eines Penetrationstests folgende Punkte zu beachten, um die Erwartungen des Kunden mit einem effizienten Ergebnis zufriedenzustellen oder gar zu übertreffen:

  1. Enge Zusammenarbeit zwischen Kunden und Dienstleister: Informationen müssen schnell, am besten telefonisch, ausgetauscht werden, da die Reaktionszeit so gering wie möglich gehalten werden muss (bspw. bei der Identifizierung kritischer Schwachstellen). Benennen Sie feste Ansprechpartner auf beiden Seiten und nutzen Sie den kurzen Dienstweg.
     
  2. Definieren Sie die Ziele des Audits! Auf welche Fragen möchten Sie eine Antwort erhalten? Werden beispielsweise bestimmte Compliance-Vorgaben eingehalten? Funktioniert das Patch-Management? Wie regelmäßig werden Server gewartet? Und nicht zu vergessen: Welche Zielgruppe wird den Audit-Bericht erhalten?
     
  3. Nutzen Sie zweistufige Pen-Tests (Blackbox + Whitebox bzw. Greybox), um die realen Bedrohungen mit Ihrer Wahrnehmung abzugleichen. So ist feststellbar, ob ein Angreifer ein bestimmtes Ziel fokussiert. Nutzen Sie auch Tests mit Zugangsdaten, um die Gefahren und Möglichkeiten eines internen Angreifers einschätzen zu können.
     
  4. Definieren Sie Handlungsgrenzen: Darf eine Schwachstelle ausgenutzt oder soll sie nur theoretisch bewertet werden? Geben Sie konkrete Zeitrahmen für die aktiven Tests vor, damit gewährleistet ist, dass die betreffenden Fachabteilungen bzw. Ressourcen effizient besetzt bzw. eingeplant sind. secion empfiehlt, grundsätzlich eine moderate „Angriffsstärke“ zu wählen.
     
  5. Informationen über kritische Schwachstellen, die durch einen Penetrationstest aufgedeckt wurden, müssen sofort an den Kunden weitergegeben werden. Nur so kann gewährleistet werden, dass sie ohne Verzögerung behoben werden.
     
  6. Besprechen Sie Pen-Tests auch mit Ihren Dienstleistern und lassen Sie auch deren Infrastruktur prüfen. Häufig bezahlen Sie für bestimmte Sicherheitsdienstleistungen. So können Sie prüfen, ob diese richtig umgesetzt und wirksam sind.
     
  7. Bereits gemeldete und beseitigte Schwachstellen sollten im Audit-Bericht entsprechend deklariert sein. Nur so kann das Management die Dringlichkeit der zu treffenden Maßnahmen einschätzen. Außerdem wird die Arbeit der IT-Verantwortlichen positiv hervorgehoben.
     
  8. Nutzen Sie die Ergebnispräsentation vor Ort, damit sowohl das Management als auch die Administratoren ihre Fragen platzieren können und ein Know-how-Transfer stattfindet.
     
  9. Regelmäßiges Re-Audit, z.B. alle sechs Monate, zeigen, ob die beschlossenen Maßnahmen erfolgreich durchgeführt wurden oder ob Nachbesserungen erforderlich sind. Generell ist zu beachten, dass sich die Ist-Situation hinsichtlich bestehender und neuer Schwachstellen ständig ändert. Re-Audits stellen sicher, dass regelmäßig auf den gegenwärtigen Ist-Zustand reagiert wird.
     
  10. Planen Sie genügend Vorlauf ein, da einige Dokumente zusätzlich zur Beauftragung geprüft und unterzeichnet werden müssen (u.a. Datenschutzerklärung, Haftbarkeits- und Vertragsvereinbarungen). Hier sind i.d.R. die Rechtsabteilung und die Geschäftsleitung beteiligt, daher sollten vier Wochen vor Beginn des Audits alle Unterlagen vorliegen bzw. auf Vollständigkeit geprüft werden.

Weitere Informationen:

Wie die IT-Sicherheitsexperten im Bereich Next Generation Pentesting vorgehen, lesen Sie hier.

www.secion.de


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

DDoS

DDoS-Attacken in Q4 2019 gegenüber Vorjahr fast verdoppelt

Die Anzahl der durch Kaspersky DDoS Protection blockierten Angriffe im vierten Quartal 2018 macht nur 56 Prozent der im selben Quartal 2019 entdeckten und blockierten Angriffe aus. Mehr als ein Viertel (27,65 Prozent) der Attacken fand dabei am Wochenende…
Offenes Schloss

IT-Schwachstellen nehmen weiter zu und es ist keine Lösung in Sicht

Um kontinuierlich neue Sicherheitslücken ausfindig zu machen, verwenden Sicherheitsunternehmen häufig interne Softwarelösungen, die Informationen aus verschiedenen Datenquellen wie Schwachstellendatenbanken, Newslettern, Foren, sozialen Medien und mehr…
Apps Digital

Apps treiben digitalen Wandel in Europa voran

Gemäß der sechsten Ausgabe des „State of Application Services“ (SOAS) Reports haben 91 Prozent der befragten Unternehmen der EMEA-Region explizite Pläne für die digitale Transformation in Arbeit. Im Vergleich dazu sind es 84 Prozent in den USA und 82 Prozent…
DDoS

DDoS-Report: Steigende Komplexität und Volumen der Attacken

Der Anteil komplexer Multivektor-Attacken ist auf 65 % gestiegen, der größte abgewehrte Angriff erreichte ein Maximum von 724 Gbps, so der Bericht der IT-Sicherheitsexperten.
Businessman Kämpfer

Was ist der beste Schutz vor Sabotage, Diebstahl oder Spionage?

Die deutsche Wirtschaft ist sich einig: Wenn es künftig um den Schutz vor Sabotage, Datendiebstahl oder Spionage geht, braucht es vor allem qualifizierte IT-Sicherheitsspezialisten. Praktisch alle Unternehmen (99 Prozent) sehen dies als geeignete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!