Penetrationstest: Ethisch korrektes Hacking für die IT-Sicherheit von Unternehmen

Jedes Unternehmen ist heute auf vielfältigste Weise mit der Welt außerhalb seiner eigenen Strukturen verbunden, sei es durch immer komplexer werdende Webanwendungen, mobile Anwendungen oder Verbindungen zu Kunden, Geschäftspartnern und Zulieferern. 

Selbst Personen, die sich während des Publikumsverkehrs im Gebäude befinden, stellen eine potenzielle Gefahr dar. Sie könnten vorhandene Schwachstellen ausnutzen, um das Unternehmen auf seiner Infrastruktur- und Anwendungsebene anzugreifen. Um solche Schwachpunkte aufzudecken und zu schließen, bietet ein sogenannter Penetrationstest (auch als Pentest bezeichnet), eine Sicherheitsbewertung aller vorhandenen Strukturen, eine Möglichkeit, die IT-Sicherheit zu optimieren.

Anzeige

 

Interner bzw. externer Penetrationstest: Sicherheitsbewertung für alle Unternehmensebenen

Angriffe auf die IT-Infrastruktur eines Unternehmens und besonders exponierte Netzwerkdienste können von innen wie von außen erfolgen. Daher braucht es eine Möglichkeit, alle denkbaren Angriffspunkte auf mögliche Schwachstellen hin zu überprüfen und Sicherheitslücken zu schließen. Beim Penetrationstest werden Methoden verwendet, die auch von Hackern genutzt werden. Ein solcher Test ist im Grunde ethisch korrektes Hacking mit dem Ziel größerer Sicherheit für die IT-Infrastrukturen eines Unternehmens.

 

Durch Penetrationstests Markenimage und Kundenbindung stärken

Sicherheitsexperten wie sie das Unternehmen Redlings zur Verfügung stellt, versuchen, mit umfangreichen Penetrationstests die IT-Strukturen von Unternehmen vor unzulässigen Zugriffen zu schützen. Das gelingt dadurch, dass die Experten dem beauftragenden Unternehmen dabei helfen, sämtliche Stärken und Schwächen der unternehmenseigenen Sicherheitsarchitektur und damit die grundlegenden Problembereiche hinsichtlich eines optimalen Schutzes zu kennen.

Letztlich geht es darum, die vom Unternehmen für die IT-Sicherheit bereitgestellten Ressourcen möglichst zielgerichtet eingesetzt werden können. Dazu werden nicht nur Sicherheitsbewertungen aus der Perspektive möglicher Angreifer durchgeführt, sondern auch defensive Sicherheitsdienste sowie umfassende Beratung angeboten. Hauptziel der Bemühungen ist es dabei, Vertrauen in das Unternehmen zu wecken, das Image des Unternehmens zu schützen und zeitgleich die Kundenbindung zu stärken.

Solche Pentests können auf verschiedenen Ebenen eines Unternehmens durchgeführt, etwa in den Bereichen Web Application, Mobile & API, Cloud sowie WLAN. Auf Wunsch führen die Fachexperten auch Szenario-basierte Tests (ATT&C) durch. Für jeden der genannten Bereiche verfügen Unternehmen wie Redlings über spezialisierte Experten.

 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Externer Penetrationstest – Sicherheitsbewertung aus Blickwinkel des Angreifers

Der externe Teil beim Pentest besteht darin, sich in die Rolle des Angreifers zu versetzen. Er nutzt meist öffentlich zugängliche IT-Infrastrukturen, die er zunächst analysiert, um dann auf sie zuzugreifen. Der Test analysiert den Ist-Zustand der Unternehmenssicherheit mithilfe verschiedener Aktionen wie Enumeration, also dem Erkennen sämtlicher IT-Systeme und Dienste, mit dem das Unternehmen arbeitet sowie dem Abrufen aller DNS-Einträge, mit denen sich weitere Systeme identifizieren lassen.

Wichtige Schritte der Sicherheitsbewertung sind die Identifikation und Ausnutzen von vorhandenen Schwachstellen. Dazu werden zugängliche Versionsinformationen von laufenden Diensten identifiziert. Zudem wird eine Interaktion mit diesen Diensten initiiert, um Informationen hinsichtlich ihrer Konfiguration zu erhalten.

Eine weitere Aufgabe besteht beim externen Penetrationstest in der Prüfung der externen Dienste hinsichtlich bekannter Schwachstellen oder fehlerhaften Konfigurationen. Werden Exploits, also Schadprogramme oder Befehlsfolgen gefunden, mit denen Manipulationen möglich sind, überprüfen die Tester sie auf mögliche Auswirkungen auf die Stabilität der entsprechenden Zieldienste.

Anschließend wird getestet, inwieweit sich die gefundene Schwachstelle mithilfe des Exploits nutzen lässt. Ist dies möglich, muss geprüft werden, ob sich die Zielsetzung des externen Pentests noch erreichen lässt. Außerdem werden weitere Schwachstellen, falls vorhanden, identifiziert und daraufhin geprüft, ob mit ihnen ein Zugreifen auf das interne Netzwerk des Unternehmens möglich ist. Wenn dem so ist, wird ein interner Test gestartet, diesmal aus dem Blickwinkel eines Angreifers, der Zugang zum internen Netzwerk hat.

Ein externer Pentest macht vor allem dann Sinn, wenn ein Unternehmen bereits Schritte unternommen hat, seine externen Begrenzungen undurchlässiger zu gestalten, z. B. durch die sichere Konfiguration von genutzten Diensten oder umfangreiches Patchen der entsprechenden Software.

 

Interne IT-Sicherheitsbewertung durch Penetrationstest

Für die interne Sicherheitsbewertung werden vor allem häufig wiederkehrende Szenarien verwendet, vor allem die Host-Kompromittierung, die Kompromittierung eines DMS-Servers sowie ein Angriff durch Personal. Für die Host- und DMS-Server Analyse stellt das Unternehmen Benutzerkonten zur Verfügung, für den Angriff über einen unternehmensinternen Arbeitsplatz verwenden die Sicherheitsexperten zumeist einen eigenen, für die Dauer des Tests in die IT-Infrastruktur integrierten Computer. Auch für den internen Test werden die Schritte ausgeführt, die ein Angreifer gehen würde.

Zunächst erfolgt eine, auf einen bestimmten Bereich begrenzte, Identifikation von Systemen innerhalb des internen Netzwerks sowie der Netzwerksysteme, die für die Ausführung zuständig sind. In einem nächsten Schritt evaluieren die Experten Konfigurations- und Versionsinformationen bezüglich laufender Netzwerkdienste. Zudem wird nach Netzwerkfreigaben gesucht, über die sich auf vertrauliche Daten zugreifen lässt. Darüber hinaus werden in der internen Domäne des Unternehmens nach Systemen gesucht, über die Benutzer Administrationsrechte erhalten können.

Der nächste Schritt der internen Sicherheitsbewertung besteht darin, bekannte Schwachstellen sowie falsch konfigurierte, gerade laufende Netzwerkdienste ausfindig zu machen und zu prüfen, inwieweit sich diese ausnutzen lassen. Hier wird mit dem Unternehmen vorher geklärt, bei welchem System und in welchem Zeitfenster die Überprüfung ohne Risiko möglich ist. Außerdem wird überprüft, ob der während der externen Bewertung durchgeführte Exploit ein Erfolg war.

Auch in dieser Phase wird geprüft, ob sich aufgrund der bisherigen Ergebnisse die vorher formulierten Zielsetzungen des internen Pentests noch realisieren lassen. Ist es den Sicherheitsexperten gelungen, auf ein weiteres System der Unternehmensumgebung Zugriff zu erhalten, besteht der nächste Schritt darin, den ganzen Prozess neu zu starten.

Ein intern durchgeführter Pentest erweist sich vor allem für Unternehmen als hilfreich, die Informationen sammeln möchten, was potenzielle Angreifer tun und auf welche Systeme sie Zugriff erlangen könnten, wenn es ihnen gelingt, diese zu kompromittieren.

 

Gesetzgeber schafft Grundlagen für mehr IT-Sicherheit

Auch der Gesetzgeber hat Maßnahmen ergriffen, um der Cyberkriminalität entgegenzuwirken. So wurde im März 2021 ein Entwurf für das „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ zur Beratung und Stellungnahme in die jeweiligen Ausschüsse gegeben. So sollen die Bemühungen von Anbietern für IT-Sicherheitsbewertungen mit einer entsprechenden Gesetzgebung untermauert werden und gleichzeitig deutlich gemacht werden, dass der Staat der Sicherheit im Bereich der IT grundlegende Bedeutung beimisst.

Hier gehen Gesetzgeber und Sicherheitsbranche Hand in Hand. Denn die Zahl der Delikte im Bereich Cybercrime nimmt täglich zu und die Methoden, mit denen sich Hacker Zugang zu Unternehmenssystemen verschaffen, entwickeln sich in einem kaum vorstellbaren Tempo. 

Daher sind Maßnahmen wie der Penetrationstest aus Sicht der Angreifer so wesentlich für die Aufrechterhaltung der IT-Sicherheitsarchitektur in Unternehmen, Behörden und Organisationen.

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.