Schwachstellenscans vs. Penetrationstests

Es kommt vergleichsweise häufig vor, dass der Stellenwert von Schwachstellenscans mit dem von Penetrationstests verwechselt wird. Schwachstellenscans ersetzen weder Penetrationstests, noch können Penetrationstests allein das gesamte Netzwerk absichern. Beide haben auf der jeweiligen Ebene ihre Berechtigung, werden zur Risikoanalyse gebraucht und sind in Standards wie etwa PCI, HIPAA, ISO 27001 und so weiter vorgeschrieben.

Bei Penetrationstests werden Schwachstellen innerhalb der jeweiligen Systemarchitektur ausgenutzt, während Schwachstellenscans (oder Assessments) nach bekannten Schwachstellen suchen und anschließend ein Bericht zur aktuellen Risikoexposition erstellt wird.

Ob Penetrationstests oder Schwachstellenscans anstehen, hängt im Wesentlichen von drei Faktoren ab:

1. Umfang
2. Risiko und Gefährdungsgrad der Assets/Systeme
3. Zeit und Kosten
    

Penetrationstests

Penetrationstests sind ihren Umfang nach zielgerichtet, und es ist immer ein menschlicher Faktor involviert. Es gibt keine automatisierten Penetrationstests. Sie erfordern den Einsatz von speziellen Tools, manchmal sogar von sehr vielen verschiedenen. Aber um einen Penetrationstest durchzuführen, reichen Tools nicht aus – man braucht zusätzlich extrem erfahrene Fachleute. Ein guter Penetrationstester wird immer zu einem bestimmten Zeitpunkt während des Tests ein Skript erstellen, die Parameter des Angriffs ändern oder die Einstellungen der verwendeten Tools anpassen.

Das passiert auf Anwendungs- oder Netzwerkebene, aber auch spezifisch für eine Funktion, Abteilung oder eine Anzahl von Assets.  Man kann theoretisch die gesamte Infrastruktur und alle Anwendungen einbeziehen. Allerdings ist das aus Kosten- und Zeitgründen kaum praktikabel. Der Umfang wird an Hand einer Reihe von Faktoren bestimmt, die hauptsächlich auf dem zugeordneten Risiko und dem Wert des jeweiligen Assets/Systems basieren.

Es ist weder praktikabel noch wirtschaftlich, sehr viel in Systeme mit einem geringem Risiko zu investieren – und ein solcher Exploit kann mehrere Tage dauern. Penetrationstests erfordern ein hohes Maß an Fachwissen und sind entsprechend kostspielig. Die Tester nutzen oft eine neue Schwachstelle aus oder decken solche auf, die in den normalen Geschäftsprozessen noch nicht identifiziert werden konnten. Penetrationstests dauern üblicherweise von einigen Tagen bis hin zu Wochen, sie werden meist einmal im Jahr durchgeführt, und die Berichte sind kurz und prägnant. Was bleibt ist ein überdurchschnittlich hohes Risiko, dass es zu Ausfällen kommt.
 

Schwachstellenscans

Bei Schwachstellenscans hingegen werden potenzielle Schwachstellen in Netzwerkgeräten wie Firewalls, Routern, Switches, Servern und Anwendungen identifiziert. Die Tests laufen automatisiert ab und konzentrieren sich darauf, potenzielle und bekannte Schwachstellen im Netzwerk oder auf der Anwendungsebene zu finden. Schwachstellenscanner identifizieren lediglich potenzielle Schwachstellen, nutzen sie aber nicht aus. Schwachstellen-Scans sind also nicht dazu ausgelegt, Zero-Day-Exploits zu finden. Schwachstellenscans laufen unternehmensweit ab und erfordern automatisierte Tools, um eine große Zahl von Assets zu managen. Sie sind breiter angelegt als Penetrationstests. Wer Schwachstellenscans effektiv nutzen will, kommt ohne produktspezifische Kenntnisse nicht aus. Deshalb werden diese Scans  normalerweise von Administratoren oder Sicherheitsexperten mit guten Netzwerkkenntnissen durchgeführt. Und das meist bei einer beliebigen Anzahl von Assets, um sicherzustellen, dass sämtliche bekannte Schwachstellen entdeckt und gepatcht werden. So lassen sich schwerwiegendere Schwachstellen bei wertvollen Ressourcen zügig beseitigen. 

Eine wirksame Methode, um Schwachstellen zu beheben, ist, den Schwachstellenmanagement-Lebenszyklus einzuhalten. Die Kosten für einen Schwachstellenscan sind im Vergleich zu Penetrationstests gering bis moderat, und es handelt sich um eine aufdeckende Kontrolle im Gegensatz zu einer präventiven.

Um möglichst effektiv zu patchen, lassen sich die Ergebnisse des Schwachstellenmanagements in das Patch-Management einspeisen. Patches müssen vor dem Rollout in die Produktion auf einem Testsystem getestet werden.
 

Kontrollen & Standards

Sicherheitskontrollen und Standards unterstreichen die Bedeutung von Schwachstellenscans. Zum Beispiel fordert die Center for Internet Security (CIS) Control #3, “Continuous Vulnerability Management“ von Sicherheitsexperten “kontinuierlich neue Informationen abzurufen, zu bewerten und Maßnahmen zu ergreifen, um Schwachstellen zu identifizieren, zu beheben und das Zeitfenster für Angreifer zu minimieren.”

Anforderung 11.2 des Payment Card Industry Datensicherheitsstandards (PCI-DSS) behandelt das Scannen. Darin heißt es: „Ausführen interner und externer Netzwerk-Scans mindestens einmal pro Quartal und nach jeder wesentlichen Netzwerkänderung.“
 

Fazit

Sowohl Schwachstellenscans als auch Penetrationstests können und sollen in den Prozess der Risikoanalyse einfließen. Beide tragen dazu bei, die Sicherheitskontrollen zu bestimmen, die für das Unternehmen, die Abteilung oder eine bestimmte Anwendungspraxis am besten geeignet sind. Sie alle sollten zusammenspielen, um das Cybersicherheitsrisiko zu senken. Es ist aber wichtig, die Unterschiede zu kennen, denn beide Ansätze verfolgen einen anderen Zweck und führen zu anderen Ergebnissen.

Dazu kommen Schulungen. Die simple Bereitstellung von Tools bedeutet ja nicht zwangsläufig, dass die Umgebung jetzt sicher ist. Mangelnde Kenntnisse im effektiven Umgang mit einem oder mehreren Tools sind ein nicht zu unterschätzendes Sicherheitsrisiko. Fundierte Kenntnisse im Umgang mit bestimmten Werkzeugen bedeuten höhere Qualität, einen guten Überblick über die Sicherheitslage im Unternehmen, und sie senken Kosten und Zeitaufwand für unnötige Fehlerbehebungen.