IT-Systeme unterliegen einem stetigen Wandel. Nicht nur strukturelle Veränderungen, beispielsweise der Einzug neuer Assets oder Software, sondern auch die Aktualisierung vorhandener Produkte kann immer wieder neue Schwachstellen zutage fördern. Das wissen auch Cyberkriminelle, die genau solche Schwachstellen ausnutzen, um in IT-Netzwerke einzudringen und sich dort auszubreiten. Um etablierte Sicherheitsmaßnahmen auf die Probe zu stellen und neu hinzugekommene Gefahrenpotenziale sichtbar zu machen, ist ein Penetrationstest deshalb unerlässlich.
Mehr Vorabinformationen für aussagekräftigere Ergebnisse
Bei der Durchführung von Pentests können Unternehmen auf verschiedene Angriffsszenarien zurückgreifen, die sich zunächst einmal hinsichtlich des Vorwissens der Penetrationstester über den Kunden und dessen IT-Infrastruktur unterscheiden.
Beim sogenannten Whitebox-Penetrationstest stellt der Kunde dem Auftragnehmer vorab alle wichtigen Informationen über die IT-Infrastruktur seines Unternehmens bereit. Zusätzlich werden seine Mitarbeitenden im Vorfeld über die Durchführung des Tests informiert.
Der Whitebox-Test, der auch vom Bundesamt für Sicherheit in der Informationssicherheit (BSI) ausdrücklich empfohlen wird, bietet einige Vorteile gegenüber dem Blackbox-Test. So wird die Gefahr, dass aufgrund fehlender Informationen Schwachstellen oder mögliche Angriffspunkte für Innentäter übersehen werden, deutlich reduziert.
Dennoch kann auch ein Blackbox-Penetrationstest wichtige Informationen liefern, insbesondere dann, wenn dem Auftraggeber grundlegende Informationen zu Verwundbarkeiten und potenziellen Eindringungspunkten fehlen. Da die Pentester dabei allerdings ohne genauere Informationen zur IT-Infrastruktur an die Arbeit gehen, nimmt ein aussagekräftiger Blackbox-Test deutlich mehr Zeit in Anspruch.
Der Greybox-Penetrationstest ist eine Kombination beider Welten. Bei dieser Herangehensweise erhalten die Pentester zunächst lediglich Teilinformationen zu vorhandenen IT-Systemen und ermitteln fehlende Daten selbständig. Erst im zweiten Schritt erhalten sie Detailinformationen und Zugangsdaten zur IT-Infrastruktur, die beim weiteren Vorgehen zum Einsatz kommen. Durch diese Aufteilung kann zunächst festgestellt werden, wie einfach und schnell grundlegende Verwundbarkeiten für Angreifer zu entdecken sind. Im zweiten Schritt wiederum besteht die Möglichkeit, gleichfalls das Angriffsszenario des bspw. gut informierten Innentäters anzuwenden.
Demnach gilt: Je mehr Informationen den Penetrationstestern im Vorfeld zur Verfügung gestellt werden, desto aussagekräftiger sind die Ergebnisse und die Möglichkeit, verlässliche Aussagen zur Verwundbarkeit und Verbesserungspotenzialen zu treffen.
Prinzip: „Assumed Compromise“
Häufig gehen Penetrationstester nach dem Prinzip „Assumed Compromise“ vor. Dabei geht man davon aus, dass bereits eine Kompromittierung eines Systems innerhalb der Infrastruktur stattgefunden hat. Ausgehend z. B. von einer Workstation mit einem Active Directory Account machen sich die Pentester daran, sich innerhalb der IT-Infrastruktur weiter auszubreiten. Immer davon ausgehend, dass präventive Schutzmaßnahmen wie Firewalls, Antiviren- und Intrusion-Detection-Systeme (IDS) versagen, können Verwundbarkeiten, Schwachstellen oder unzureichende Erkennungsfähigkeiten für ein Worst-Case-Szenario sichtbar gemacht werden.
8com bietet Ihnen verschiedene IT-Sicherheitsüberprüfungen an:
Web Application Penetration Test
Beim Web Application Penetration Test gilt es, Schwachstellen in öffentlichen Webseiten und Online-Shops zu identifizieren. Immer wieder gelingt es Cyberkriminellen über öffentlich erreichbare Internetauftritte und dort schlummernde Sicherheitslücken, an nicht-öffentliche Informationen zu gelangen, sensible personenbezogene Daten zu stehlen oder sogar in nicht-öffentliche IT-Systeme einzudringen.
Auf Grundlage der aktuellen Liste der Top-10-Bedrohungen für Webanwendungen des OWASP (Open Web Application Security Project) untersuchen wir, wie verwundbar die untersuchte Web-Anwendung ist.
Mobile Application Penetration Test
Beim Mobile Application Penetration Test gilt es, Schwachstellen in mobilen Anwendungen, wie sie auf Smartphones und Tablets zum Einsatz zu kommen, aufzudecken und zu bewerten. Der Testzyklus umfasst dabei immer sowohl die Analyse der Anwendung selbst als auch die Kommunikation mit anderen Systemen.
Der Test hilft dabei, Schwachstellen in Android- und iOS-Anwendungen zu erkennen und zu beheben. Um den Penetrationstest möglichst effizient durchführen zu können, werden vorab Rahmenbedingungen festgelegt. Dadurch wird gewährleistet, dass die mobile Anwendung auch während des Penetrationstests durchgehend zur Verfügung stehen kann.
Perimeter Penetration Test
Beim Perimeter Penetration Test werden öffentlich über das Internet erreichbare Systeme (Perimeter-Systeme) auf Schwachstellen untersucht. Das sind Dienste wie der Webserver, der eine Webseite bereitstellt oder der Mailserver, über den Mitarbeitende ihre E-Mails verschicken. Mithilfe eines Netzwerk-Portscans werden spezielle Datenpakete an Server geschickt und geprüft, ob und welche Netzwerk-Ports geöffnet sind. Die Port- und Schwachstellenscans werden durch Automatisierung unterstützt und in einem weiteren Schritt manuell geprüft und verifiziert.
Corporate Net Penetration Test
Ein Corporate Network Penetration Test dient dazu, Schwachstellen in der Sicherheit der internen IT-Infrastruktur aufzudecken. Dabei können je nach Absprache Fehler in der Konfiguration und der Konzeption von IT-Systemen, wie Netzwerkstruktur, Firewall-Regelwerk, Router und Switches, untersucht werden. Auch auf Server- und Client-Systemen verfügbare Dienste können auf Schwachstellen und Fehlkonfigurationen hin geprüft werden.
Client-Side Penetration Test
Ziel eines Client-Side Penetration Tests ist die Identifizierung, praktische Prüfung und Bewertung von sicherheitsrelevanten Schwachstellen, die es Angreifern aus dem Internet erlauben könnten, Zugriff auf ein Unternehmensnetzwerk zu erlangen. Dabei wird über einen öffentlich zugänglichen Kommunikationskanal der PC eines Mitarbeitenden infiziert, über den ein Angreifer dann weiter ins Firmennetz vordringen könnte. Im Mittelpunkt eines Client-Side-Angriffs stehen also immer die Arbeitsplatzrechner von einzelnen Mitarbeitern.
Regelmäßige Durchführung
Am Ende eines jeden Penetrationstests steht eine ausführliche Dokumentation in schriftlicher Form. Der Abschlussbericht beinhaltet eine Beschreibung der identifizierten Schwachstellen samt Bewertung und zeigt Maßnahmen und Empfehlungen zur Verbesserung des aktuellen Sicherheitsniveaus auf. Auf Grundlage eines Penetrationstests können IT-Verantwortliche priorisierte Entscheidungen zur Härtung von Systemen treffen und das Gefahrenpotenzial für Cyberangriffe so erheblich senken. In einer ganzheitlichen Sicherheitsstrategie sollten regelmäßige Penetrationstests deshalb nicht fehlen, da sie ein wichtiges Instrument sind, um die Sicherheit von Systemen und Netzwerken zu bewerten und anschließend zu verbessern.
---
Grafik (c) Who is Danny / Adobe Stock