![\"Penetrationstests](\"https:\/\/www.m-q.ch\/wp-content\/uploads\/2021\/02\/Penetrationstests-decken-IT-Sicherheitsluecken-rechtzeitig-auf.jpg\")
<\/p>\n<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
C<\/strong><\/em>ybersecurity und IT-Sicherheit geh\u00f6ren nach wie vor zu den wichtigsten Digitalthemen 2016. Zu Recht, wie auch eine aktuelle Umfrage des Branchenverbandes Bitkom (www. bitkom.org) zeigt. \u00dcber zwei Drittel der befragten Industrieunternehmen gaben darin an, in den letzten zwei Jahren Opfer von Datendiebstahl, Wirtschaftsspionage oder Sabotage geworden zu sein.<\/p>\n <\/p>\n Wie gef\u00e4hrdet aber ist das eigene Unternehmen? Um das realistisch einsch\u00e4tzen und rechtzeitig gegensteuern zu k\u00f6nnen, empfiehlt sich die Durchf\u00fchrung eines Penetrationstests. \u00c4hnlich einer Brandschutz\u00fcbung wird dabei der Ernstfall simuliert, in diesem Fall ein Angriff auf die Daten- und IT-Systeme des Unternehmens. Ziel ist es, Schwachstellen in ITSystemen, Software oder deren Konfiguration pr\u00e4ventiv zu erkennen. Im Falle eines tats\u00e4chlichen Angriffs k\u00f6nnten diese Sicherheitsl\u00fccken sonst von Hackern ausgenutzt werden, um Zugriff auf die Systeme zu erhalten, an sensible Informationen zu gelangen oder die Verf\u00fcgbarkeit von Systemen und Anwendungen einzuschr\u00e4nken.<\/p>\n Der Ernstfall wird simuliert<\/strong><\/p>\n <\/p>\n Mit der professionellen, an realistischen Szenarien orientierten Durchf\u00fchrung eines Penetrationstests werden in der Regel externe, auf Sicherheitstests spezialisierte Dienstleister beauftragt. Deren Vorgehen folgt wie das tats\u00e4chlicher Angreifer einem bestimmten Muster: Am Anfang steht die Informationsbeschaffung, dazu werden \u00f6ffentlich zug\u00e4ngliche Informationen \u00fcber die Zielsysteme ausgewertet, z.B. aus DNS- und WHOIS-Datenbanken und Google-HackingTechniken sowie durch Mitschneiden des Netzwerkverkehrs (Sniffing). \u00dcber Portscans erfolgt dann die Identifizierung offener TCP- und UDP-Ports. Welche Betriebssystem- und Softwareversionen im Unternehmen verwendet werden, l\u00e4sst sich mittels Banner-Grabbing und SoftwareFingerprints bestimmen. Die so identifizierten Netzwerkdienste und Betriebssystemversionen werden dann zun\u00e4chst mit automatisierten Schwachstellenscannern auf bekannte Schwachstellen hin \u00fcberpr\u00fcft. Die Ergebnisse dieser Scans werden dann durch manuelle \u00dcberpr\u00fcfungen verifiziert \u2013 um \u00abFalse Positives\u00bb zu eliminieren, aber auch um m\u00f6gliche zus\u00e4tzliche Schwachstellen auszumachen.<\/p>\n Worauf ist zu achten, wenn man einen externen Dienstleister mit einem Penetrationstest beauftragt?<\/strong><\/p>\n <\/p>\n Zun\u00e4chst einmal sollten die Testinhalte und -ziele m\u00f6glichst konkret vorgegeben sein. Solche Vorgaben k\u00f6nnten sein:<\/p>\n Risiken erkennen und minimieren<\/strong><\/p>\n Der letzte Punkt macht deutlich, dass Penetrationstests immer auch mit Risiken verbunden sind. Denial-of-Service-Angriffe werden in der Praxis nur durchgef\u00fchrt, wenn der Auftraggeber dies ausdr\u00fccklich w\u00fcnscht. Aber auch ohne solch hochriskante Angriffe kann ein Penetrationstest zum Verlust der Verf\u00fcgbarkeit von Systemen f\u00fchren, wenn etwa das betroffene System nach einem Absturz erst durch einen lokalen Administrator manuell neu gestartet werden muss. Eine weitere unbeabsichtigte Folge eines Penetrationstests kann Datenverlust sein.<\/p>\n <\/p>\n Abh\u00e4ngig von der Zielumgebung k\u00f6nnen diese Gefahren ein nicht zu akzeptierendes Risiko darstellen. F\u00fcr Produktionssysteme gilt das in besonderem Masse. Diese Systeme k\u00f6nnen dann von riskanten Tests ausgenommen werden. Dies mindert jedoch auch immer die Aussagekraft des Tests, denn reale Angreifer machen nicht halt vor den Produktivsystemen. Kritische Schwachstellen k\u00f6nnten \u00fcbersehen werden. Eine Alternative dazu ist es, den Test ausserhalb der Gesch\u00e4ftszeiten durchzuf\u00fchren oder in einer identischen Testumgebung, die die Produktivumgebung 1:1 nachbildet. Ein m\u00f6glicher Schaden f\u00fcr Produktivsysteme im Falle eines Ausfalls l\u00e4sst sich so vermeiden oder zumindest verringern.<\/p>\n <\/p>\n Da ein Restrisiko f\u00fcr die untersuchten Systeme und Daten jedoch nie vollst\u00e4ndig ausgeschlossen werden kann, ist es essenziell, Penetrationstests vorab sehr gr\u00fcndlich von der IT-Abteilung des Auftraggebers und dem Penetrationstester gemeinsam zu planen. W\u00e4hrend der Durchf\u00fchrung sollte laufend ein technischer Ansprechpartner zur Koordination erreichbar sein.<\/p>\n Durchf\u00fchrungsoptionen richtig kombinieren<\/strong><\/p>\n <\/p>\n Penetrationstests k\u00f6nnen in mehreren Varianten durchgef\u00fchrt werden, meist werden dabei m\u00f6gliche Optionen kombiniert.<\/p>\n Black-Box vs. White-Box<\/strong><\/p>\n <\/p>\n Zun\u00e4chst lassen sich \u00abBlack-Box\u00bb- und \u00abWhite-Box\u00bb-Tests unterscheiden. Im Falle des Black-BoxTests werden dem externen Dienstleister nur die n\u00f6tigsten Informationen, wie etwa der Name des zu testenden IT-Verbunds zur Verf\u00fcgung gestellt \u2013 um die M\u00f6glichkeiten eines externen Angreifers m\u00f6glichst realistisch nachzustellen. Der Angreifer recherchiert dann den IP-Adressbereich und m\u00f6gliche \u00abEinfallstore\u00bb. Auch die \u00dcberpr\u00fcfung der Funktionsweise von IDS\/IPS-Systemen sowie des Verhaltens und der Reaktionsgeschwindigkeit der eigenen Mitarbeiter kann ein Teilziel eines BlackBox-Tests darstellen.<\/p>\n <\/p>\n Allerdings ist diese Vorgehensweise sehr zeitaufwendig und damit sehr kostenintensiv. Beim tats\u00e4chlichen Angreifer ist davon auszugehen, dass sie sich die n\u00f6tige Zeit f\u00fcr die Planung und Vorbereitung nehmen w\u00fcrden. Deren Angriffe werden zunehmend komplexer und technisch ausgefeilter und meist werden auch Social-Engineering-Methoden zur Informationsbeschaffung genutzt. Nicht immer sind diese Methoden leicht zu erkennen, so werden zum Beispiel die Absenderadressen von E-Mails anderer Firmen gef\u00e4lscht und genau auf den Empf\u00e4nger, dessen Interessen und Bekanntenkreis zugeschnittene Pishing-Mails versendet (Spear Pishing), um Schadsoftware zu injizieren. Mithilfe der injizierten Schadsoftware werden alle ben\u00f6tigten Informationen aus dem angegriffenen ITVerbund alle erforderlichen Informationen beschafft.<\/p>\n <\/p>\n Um diesen \u00abVorteil\u00bb potenzieller Hacker gegen\u00fcber dem in begrenztem Zeitrahmen agierenden IT-Dienstleister auszugleichen, greift man bei der Durchf\u00fchrung von Penetrationstests auf das White-Box-Verfahren zur\u00fcck. Dabei werden dem Penetrationstester ausf\u00fchrliche Informationen \u00fcber die zu testenden Systeme und die Netzwerkinfrastruktur zur Verf\u00fcgung gestellt. Damit ist der Tester zu Beginn der Penetrationstests auf dem Informationsstand eines realen Angreifers nach wochenlanger Arbeit. So lassen sich auch Schwachstellen finden, die sonst in einem reinen Black-Box-Test m\u00f6glicherweise nicht erkannt w\u00fcrden. In der Praxis kommt meist ein Mix aus Black-Box- und White-Box-PenTest zum Einsatz.<\/p>\n On-Site vs. Off-Site<\/strong><\/p>\n <\/p>\n Die zweite Unterscheidung betrifft den Punkt, von dem aus getestet\/angegriffen wird. Penetrationstests k\u00f6nnen off-site \u00fcber das Internet oder aber im Inneren des Unternehmensnetzes selbst, also on-site, durchgef\u00fchrt werden.<\/p>\n <\/p>\n Off-Site-Penetrationstests haben den Vorteil, dass sie sehr kosteng\u00fcnstig sind und dem Angriffsvektor eines potenziellen Angreifers aus dem Internet entsprechen. Ihre Aussage ist jedoch eingeschr\u00e4nkt: Ein verwundbarer Dienst etwa, der w\u00e4hrend des Tests von einer vorgelagerten Firewall geblockt wurde, w\u00fcrde nicht identifiziert werden.<\/p>\n <\/p>\n Mit einem On-Site-Test aus der demilitarisierten Zone (DMZ) heraus l\u00e4sst sich dagegen simulieren, dass ein Angreifer ein System, z. B. einen Webserver, bereits \u00fcbernommen hat. Im Falle einer solchen mehrstufig aufgebauten Sicherheit, mit einer Firewall zwischen Internet und DMZ sowie zwischen DMZ und Office, l\u00e4sst sich die Sicherheit wesentlich umfassender pr\u00fcfen. Eine hiernach verifizierte Defense-InDepth-Sicherheit bietet auch bei der Kompromittierung eines Systems aus der Sicherheitskette noch ausreichenden Schutz zur Abwehr eines Angreifers. Zudem lassen sich \u00fcber On-Site-Tests auch die Bedrohungen durch Innent\u00e4ter oder Insider pr\u00fcfen \u2013 ein nicht zu untersch\u00e4tzendes Risiko: Laut der eingangs erw\u00e4hnten Bitkom-Umfrage standen in 65 Prozent der F\u00e4lle aktuelle oder ehemalige Besch\u00e4ftigte hinter den Angriffen.<\/p>\n <\/p>\n Den wirkungsvollsten und umfassendsten Ansatz bietet letztlich die Kombination der verschiedenen Optionen: Black-\/ White-Box, Off-Site-\/On-SiteTests, um alle Bedrohungsszenarien abzudecken, sowie die Erg\u00e4nzung automatischer Scanner durch manuelle Methoden. Ein sorgf\u00e4ltig geplanter Penetrationstest ist somit eine wirksame Massnahme zur Absicherung gegen potenzielle Bedrohungen und f\u00fcr diesen Zweck auch effizienter und kosteng\u00fcnstiger als ein vollst\u00e4ndiges Systemaudit \u2013 vorausgesetzt nat\u00fcrlich, die identifizierten Schwachstellen werden anschliessend behoben.<\/p>\n","protected":false},"excerpt":{"rendered":" Cybersecurity und IT-Sicherheit geh\u00f6ren nach wie vor zu den wichtigsten Digitalthemen 2016. Zu Recht, wie auch eine aktuelle Umfrage des Branchenverbandes Bitkom (www. bitkom.org) zeigt. \u00dcber zwei Drittel der befragten Industrieunternehmen gaben darin an, in den letzten zwei Jahren Opfer von Datendiebstahl, Wirtschaftsspionage oder Sabotage geworden zu sein. Wie gef\u00e4hrdet aber […]<\/p>\n","protected":false},"author":66,"featured_media":12134,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[4],"tags":[4791],"class_list":["post-12132","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-risikomanagement","tag-11-2016"],"acf":[],"yoast_head":"\n\n