Der simulierte Cyber-Angriff: Pen-Test Der simulierte Cyber-Angriff: Pen-Test
Penetrationstest

Pen-Tests: Auf Cyberangriffe gut vorbereitet

Penetrationstests sind für Unternehmen und öffentliche Einrichtungen eine zentrale Maßnahme, um sich gegen Attacken auf Ihre IT-Systeme zu schützen und wertvolle Erkenntnisse über die eigene Abwehrkraft zu sammeln. Lesen Sie hier, worauf es bei der Planung und Ausführung ankommt.


Die Europäische Arzneimittel-Behörde (EMA), verschiedene US-Ministerien wie das Handels- oder Finanzministerium oder sogar das Pentagon, die Justus-Liebig-Universität Gießen: Dies sind nur einige Beispiele für Opfer von Cyberattacken, die in den letzten Monaten stattgefunden haben.  

Für viele Unternehmen und öffentliche Einrichtungen gehören Angriffe dieser Art heute zum Alltag. In einer repräsentativen Forsa-Umfrage im Auftrag des GDV (Gesamtverband der Versicherungswirtschaft) unter 500 Unternehmen gab ein Viertel (26%) der befragten Mittelständler an, bereits Opfer von Cyberattacken gewesen zu sein. Und laut „Lagebericht zur IT-Sicherheitslage in Deutschland 2020“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bleibt die IT-Sicherheit „angespannt.“

Nahezu sämtliche Untersuchungen hierzu zeigen auf, dass die Gefahr, Ziel eines solchen Angriffs zu werden, zunehmend steigt. Nicht ausreichend gesicherte IT-Systeme ermöglichen potenziellen Angreifern das Eindringen in die Organisation. Die Folgen einer Cyberattacke können erheblich sein: Direkte finanzielle Schäden durch Produktionsausfall, Lösegelder für die Entsperrung von Daten über Rating-Abstufungen bis hin zu Image- und Reputationsverlusten.

Um IT-Systeme ausreichend zu schützen und damit Angriffen und dessen Auswirkungen zu vermeiden, empfiehlt sich die Durchführung eines Penetrationstests. Der Penetrationstest – auch kurz Pen-Test genannt – simuliert einen Cyberangriff auf ein Unternehmen oder eine öffentliche Einrichtung und soll so bisher unbekannte Angriffspunkte identifizieren.

Er soll so eine Risikobewertung über die aktuelle Sicherheitslage eines IT-Systems ermöglichen und Schlüsse darüber zulassen, ob und wenn inwieweit sich Unbefugte (Externe oder auch eigene Mitarbeiter) Zugang zu vertraulichen Informationen und Daten beschaffen können: Schwachstellen in Netzwerken, Anwendungen, Netzdiensten oder Datenbanken sollen so beseitigt und das größtmögliche Maß an IT-Sicherheit erreicht werden.

Black-Box, White-Box, Grey-Box:
Penetrationstests unterscheiden sich durch Vor-Informationen

Für die Durchführung eines Penetrationstests benötigt ein IT-Sicherheitsanalytiker den ausdrücklichen Auftrag des Kunden. Erhält er keine weiteren Informationen über Beschaffenheit bzw. Zustand der IT-Systeme, handelt es sich um einen sogenannten Black-Box-Test. Demgegenüber steht der White-Box-Test, bei dem der IT-Experte grundlegende Informationen über das System, das er penetrieren soll, sowie auch das IT-Sicherheitskonzept mit der Dokumentation der zugehörigen IT-Infrastruktur erhält. Wird nur ein gewisser Teil der möglichen Informationen vorab zur Verfügung gestellt, wird auch von einem Grey-Box-Test gesprochen.

Zusätzlich existieren noch folgende Formen:

  • Social Engeneering: Diese Angriffsform fokussiert sich auf mögliche menschliche Schwächen. Technische Hürden werden in dieser Form des Pen-Tests umgangen, indem die oft unwissentliche Unterstützung der Mitarbeiter durch gezielte soziale Interaktion erlangt wird.
  • Innentäter-Audit: Diese Testart prüft die Organisation aus Sicht eines internen Mitarbeiters oder Personen, die Zugriff auf das Netzwerk haben, um herauszufinden, welche Sicherheitslücken von Angestellten im Falle von Unzufriedenheit etc. ausgenutzt werden könnten.
  • Red Team Test: Experten bilden ein sogenanntes Red Team und führen einen realistischen Angriff auf das Unternehmen durch. Organisatorische Prozesse und die Awareness der Mitarbeiter können damit auf die Probe gestellt werden.

Gestaltung des optimalen Penetrationstests

Welches ist nun das ideale Testverfahren? Eine Pauschalantwort hierauf gibt es nicht. Entscheidend sind die individuellen Anforderungen der Kunden. Die IT-Sicherheitsexperten setzen sich dazu mit den Projektverantwortlichen der Organisation zusammen, um Vorgaben und Ziele, Prüfmethoden und -geräte sowie Angriffsauswahl festzulegen.

Hierbei ist die klare Empfehlung, den Handlungsrahmen so breit wie möglich zu halten und auf Einschränkungen weitestgehend zu verzichten. Nur so können Pen-Tests im optimalen Umfang durchgeführt werden. Je weniger Einschränkungen es von Organisationsseite gibt, desto ergebnisreicher sind die Resultate.

Hier gilt: Kriminelle Energie ist – leider – äußert kreativ. Kein Hacker denkt daran, sich einzuschränken. Entsprechend sollten Pen-Tests so breit wie möglich angelegt werden.

 

Ablauf und Dokumentation des Pen-Tests

Die Durchführungsdauer eines Penetrationstests liegt bei einem Arbeitsaufwand von ca. einem Tag. Wichtig sind hierbei feste Ansprechpartner auf beiden Seiten, deren Erreichbarkeit während der Testphasen sichergestellt werden muss. Nur so ist z.B. im Falle der Identifizierung kritischer Schwachstellen gewährleistet, dass Informationen mit schnellstmöglichen Reaktionszeiten zwischen Pen-Testern und Kunden ausgetauscht werden können.

Der eigentliche Penetrationstest beginnt in der Regel mit einem toolbasierten Scan des Netzwerks. Die Tools liefern die Informationen für die System- und Anwendungsanalyse. Auf Basis dieser Informationen können identifizierte Schwachstellen gezielt angegriffen beziehungsweise penetriert werden. Anschließend erfolgt die Dokumentation der gefundenen Risiken, bei der alle Eindringungsversuche protokolliert, Sicherheitseinschätzungen vorgenommen sowie Empfehlungen zur Optimierung der IT-Sicherheit zusammengestellt werden. Diese werden in einer Abschlusspräsentation dem Projektteam des Kunden zur Verfügung gestellt.

Penetrationstest – Was folgt danach?

Mit einem einfachen Pen-Test ist es aber in der Regel nicht getan. Grundsätzlich empfiehlt sich die Durchführung eines Re-Tests nach einem gemeinsam mit dem Kunden definierten Zeitraum, z. B. nach 3 oder 6 Monaten. Mit dieser Form des Pen-Tests gilt es zu prüfen, ob die zuvor aufgezeigten IT-Schwachstellen erfolgreich beseitigt worden sind oder sich neue Sicherheitslücken ergeben haben.

Der Penetrationstest von Allgeier IT Solutions ermöglicht es, IT-Schwachstellen aufzuzeigen, zu beseitigen und damit das Sicherheitsniveau signifikant zu erhöhen. Dem Expertenwissen unserer Pen-Tester liegt eine umfangreiche Projekterfahrung und vielfältiges Branchenwissen zugrunde. Unsere Referenzen reichen von den Bereichen Banken und Versicherungen, Logistik, Forschung und Web-Entwicklung über Medizin, Industrie, Medien und Nahrungsmittel bis zu Sport und gemeinnützigen Einrichtungen.

Der Penetrationstest ist eine der zahlreichen Lösungen, die Allgeier IT Solutions im Geschäftsfeld IT-Security & Compliance bietet. Unsere aufeinander abgestimmten, leicht implementierbaren Produkte bilden ein integriertes Konzept, wenn es um das Thema IT-Sicherheit geht.





Keine Kommentare

Fragen oder Anmerkungen? Schreiben Sie einen Kommentar: