Dem Hacker auf der Spur: Mit dem Pentest Sicherheitslücken aufdecken

Das Internet ist gleichzeitig ein wichtiges Kommunikationsmittel und eine Gefahrenzone. Bei steigendem Traffic nehmen auch Sicherheitsbedrohungen und Angriffe beständig zu. Mit Pentests lassen sich vorhandene Schwachstellen frühzeitig erkennen, noch bevor Hacker die Systeme attackieren können.

Pandemien wie die Corona-Pandemie hat es in der Menschheitsgeschichte schon viele gegeben und die meisten wurden wohl unter anderem dadurch gelöst, dass Menschen sich isoliert haben. Auch wir haben das schmerzlich erfahren müssen, als im Jahr 2020 der erste Lockdown verhängt wurde, bei dem es nicht geblieben ist. Eine schlimme Auswirkung einer solchen Isolierung ist, dass Menschen vereinsamen können. Aber dank des Internets – Fernunterricht, Click&Collect, Onlinespiele mit Freunden, Streamingabende, TV-Sendungen und Sportevents rund um die Uhr, Videokonferenzen und virtuelle Meetings, Nachrichten und Social Media – können wir heute menschliche Verbindungen aufrechterhalten und auch im Lockdown weiter arbeiten und mit Freunden, Familie und Kollegen im Kontakt bleiben.

Anzeige

Das Internet: Rettungsanker und Gefahrenzone

Das Internet ist uns ein stabiler, schon selbstverständlicher Begleiter, aber die zunehmende Nutzung von Remotezugriffen ist auch hier nicht spurlos geblieben. Laut Gartner hat der Internettraffic im Frühjahr 2020 innerhalb nur weniger Wochen um 30 Prozent zugenommen – ein Trend, der sich im Laufe des Jahres mit diversen Spitzen fortgesetzt hat. Das Internet ist damit für uns ein wahres Erfolgsrezept und ein wichtiger Rettungsanker. Doch leider tummeln sich auch im Internet nicht nur „die Guten“, denn mit steigendem Traffic haben auch Angreifer mehr Möglichkeiten, ihre Enterhaken auszuwerfen und uns alle, von Privatpersonen über kleine Unternehmen bis hin zu Großunternehmen und Behörden, zu bedrohen. Und je besser ein Angreifer sein Ziel kennt, desto leichter kann er es attackieren. Für Unternehmen kann ein Angriff nicht nur die Daten kompromittieren und die DSGVO-Compliance beeinträchtigen und damit erhebliche Kosten verursachen, sondern auch den Ruf langfristige schädigen. Vor allem Unternehmen müssen sich also umfassend vor solchen Angriffen schützen – je früher, desto besser.

Pentest – ethisch korrektes Hacking

Die beste Methode, Hacker und ihre Methoden zu verstehen, ist, genauso zu handeln wie sie. Dies geschieht bei Penetrationstests, kurz „Pentests“, bei denen Sicherheitsexperten alle Systemkomponenten und Anwendungen in einem Netzwerk oder Softwaresystem mit den Mitteln und Methoden prüft, die ein Hacker verwenden würde, um in das System einzudringen. Damit ermittelt der Pentest, wie empfindlich das System für Angriffe ist. Anhand der erkannten Muster und Schwachstellen können die Experten Folgenabschätzungen erstellen und Abschlussberichte mit Vorschlägen zur Risikominimierung und technischen Sicherheitslösungen vorlegen. Und da Angreifer immer gewiefter werden und ihre Verfahren ständig erneuern, um neue Sicherheitsbarrieren zu überwinden, sollten Unternehmen solche Pentests in regelmäßigen Abständen durchführen. Damit reduzieren sich Netzwerkausfallzeiten, Sanierungskosten und das Risiko eines Imageschadens für das Unternehmen.

Je nach Unternehmensgröße oder Projekt lassen sich Pentests in drei Arten unterteilen, die jedoch auch miteinander kombiniert werden können:

1. Pentests für Webanwendungen

Ein Web-Pentest konzentriert sich ausschließlich auf eine Web- oder API-Anwendung und nicht auf ein Netzwerk. Ziel ist es, Sicherheitslücken in der Web-Anwendung aufzudecken und Verteidigungsmechanismen zu stärken. Dabei werden das Frontend und das Backend mit allen zugrunde liegenden Datenbanksystemen und den entsprechenden Schnittstellen (API) getestet. Solche Tests sollten sich mindestens am Praxis-Leitfaden für IS-Penetrationstests des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und an den Vorgaben der Datenschutz-Grundverordnung (DSGVO) orientieren. Nur so lässt sich verhindern, dass durch einen möglichen Datenklau eine meldepflichtige Datenpanne entsteht, die empfindliche Bußgelder nach sich ziehen kann.

2. Pentests für Mobile Apps

Mobile Apps sind heute aus dem Alltag der Menschen nicht mehr wegzudenken. Die Sicherheit dieser Apps ist damit ein Eckpfeiler für den Schutz von unternehmenseigenen und privaten Mobilgeräten. Bei diesen Tests liegt der Schwerpunkt unter anderem auf der Sicherheit der Architektur, der sicheren Datenspeicherung und dem Datenschutz, der Verschlüsselung von Daten bei der Netzwerkkommunikation und der Manipulationssicherheit. Neben den bereits bei Webanwendungen erwähnten Leitfäden für Datensicherheit orientieren sich Mobile-Pentests am Mobile Application Security Verification Standard (MASVS).

3. Pentests für Infrastrukturen

Große Unternehmen arbeiten häufig mit sehr komplexen Netzwerken, die fehleranfällig sein können. Insbesondere kritische Infrastrukturen (KRITIS) sind ein wichtiges Asset eines Unternehmens und benötigen daher besonderen Schutz. Mithilfe manueller und automatisierter Scans werden die Firewall analysiert, Versionsupdates verwaltet, die Verschlüsselung von Kommunikationskanälen wie dem VPN überprüft, Berechtigungen geprüft, die Manipulation des Routings von Nachrichten und Daten verhindert, unbeabsichtigte Beziehungen in der Active-Directory-Umgebung (AD) identifiziert, und die Sicherheit von IoT-Geräten (Internet of Things) analysiert. Richtlinien wie die DSGVO und die Leitlinien des BSI dienen neben anderen Standards (z. B. OSSTMM, NIST, PCIDSS und PTES) auch hier als Grundlage.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Strukturiertes Vorgehen

Je umfassender, länger und regelmäßiger Pentests durchgeführt werden, desto besser lassen sich Sicherheitslücken erkennen und verhindern. Der genaue Ablauf und die Art des Penetrationstest ist ein agiler Prozess, der auf das Unternehmen, seine Größe, seine Infrastruktur und aktuelle Projekte angepasst werden muss. Ohne eine strukturierte Vorgehensweise geht es allerdings nicht. Diese Schritte sollte jeder Pentest umfassen:

1. Kick-off. Bei einem Vorbereitungsgespräch werden die Anforderungen und Rahmenbedingungen festgelegt, Ansprechpartner sowie notwendige Zugriffe auf Benutzerkonten ermittelt und Eskalationswege definiert, damit der Pentest-Prozess einem detaillierten Pfad folgen kann.

2. Manual & Automated Scans. Die Sicherheitsexperten erfassen so viele Informationen über die Webanwendungen, mobilen Apps und Infrastrukturen wie möglich, um Analysestrategien zu entwickeln, anhand derer mögliche Angriffsvektoren ermittelt werden. Diese werden sodann in umfassenden Tests auf Schwachstellen untersucht.

3. Manual Exploitation. Nun geht es ans Eingemachte: Die Schwachstellen werden im Test ausgenutzt. Der Sicherheitsexperte verschafft sich also mithilfe vorhandener oder neu erstellter Exploits Zugriff auf das Zielsystem. Manche Lücken erweisen sich als False Positives; aber bestätigte Schwachstellen werden in einen Bericht aufgenommen und anhand ihres Schweregrads bewertet.

4. Report. In einer Business-Risk-Analyse, einem Managementbericht und einer umfassenden Test- und Schwachstellenbeschreibung werden die Kritikalität der Schwachstellen und Handlungsempfehlungen aufgeführt.

5. Remediation. Anhand des Analyseberichts erfolgt nun optional die Beseitigung der Schwachstellen mit der Unterstützung des Pentest-Anbieters oder Sicherheitsexperten Dritter.

6. Nachprüfung. Wurden die Empfehlungen umgesetzt, sollten die Sicherheitslücken erneut überprüft werden, damit neue oder „ungestopfte“ Lücken erkannt werden.

7. Abschlussgespräch. Der gesamte Pentest-Prozess sowie die Ergebnisse werden besprochen, und gegebenenfalls erhält das Unternehmen ein Zertifikat als Nachweis.

Sicherheit mithilfe von Pentests

„Da Hacker immer geschickter und ausgeklügelter werden, ist es die Aufgabe der Geschäftsinhaber, dafür zu sorgen, dass ihre Sicherheitssysteme effektiv vor Bedrohungen schützen können“, davon ist Jan Kahmen, Gründer und Geschäftsführer von turingpoint überzeugt. Mithilfe eines Penetrationstests können Unternehmen versteckte System-Schwachstellen aufdecken, bevor echte Hacker sie entdecken. Somit lassen sich Netzwerkausfallzeiten reduzieren und Sanierungskosten einsparen. Das Unternehmen hält die Sicherheitsvorschriften ein, spart damit erhebliche Kosten für mögliche Bußgelder, schützt den Ruf des Unternehmens und bewahrt sich das Vertrauen seiner Kunden. Ein Unternehmen, das mithilfe von Pentests effiziente Sicherheitsmaßnahmen entwickelt, investiert in einen der wichtigsten Unternehmensbereiche.
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.