IT-Systemsicherheit gewinnt an Bedeutung. Fortschreitende Digitalisierung und damit einhergehend die Thematik der Cybersicherheit wird immer wichtiger. Elementarer Bestandteil der Überprüfung eigner Systeme ist das Penetration-Testing – der fachsprachliche Ausdruck für die Durchführung eines umfassenden Sicherheitstests einzelner Rechner oder Netzwerke. Cybersicherheit ist in der Chefetage angekommen. Mit zunehmend vernetzten Endgeräten, etwa Servern, Notebooks, Mobiltelefonen bis hin zu Maschinensteuerungen und damit immer größeren (Firmen-)Netzwerken steigt das Angriffspotential durch „Hacker“ enorm.
Überblick
Definition „Penetrationstest“
Bei Penetrationstests werden die IT-Systeme oder Netzwerke von Unternehmen, Behörden und anderen Organisationen einer umfassenden Prüfung unterzogen, welche die Empfindlichkeit der Systeme gegenüber potenziellen Angreifern feststellen soll. Eine Besonderheit hierbei ist, dass sämtliche Methoden und Techniken auch von echten, unautorisierten Angreifern verwendet werden könnten – Ziel ist demnach eine Diagnose der Systemsicherheit unter Realbedingungen.
Warum sollte man einen Penetrationstest einsetzen?
Penetrationstests sind für eine Vielzahl unterschiedlicher Systeme und Anwendungen sinnvoll und schützen Daten, Strategien und vieles mehr in Unternehmen. Die Tests sind in der Lage, Schwachstellen aufzudecken und Gefährdungspotentiale besser einzuschätzen.
Der Fokus liegt darauf, wichtige Systeme besser zu schützen. Organisationen setzen bereits seit Jahren auf digitale Infrastruktur und genau diese muss geschützt werden, oder würden Sie Dokumente zu Unternehmenszielen und Strategien offen dem Wettbewerb präsentieren
Vergleichbar ist ein Penetrationstest demnach mit einem Test oder einer Überprüfung, ob ihre Firmenzentrale ausreichend gesichert ist, oder ob potentielle Diebe bei einem Einbruch leichtes Spiel hätten. Bedeutende Unterschiede dieser Überprüfung liegen darin, dass Hacker erstens meist nicht vor Ort sein müssen, um sensible Daten zu stehlen und ihnen zweitens deutlich mehr Möglichkeiten offenstehen, unbemerkt in Ihre Systeme und Netzwerke einzudringen.
Aufgrund der ständigen Änderung der Bedrohungsbilder, wie auch der sicherheitsrelevanten Faktoren in der Informationstechnik müssen Unternehmen einen Penetrationstest als Momentaufnahme verstehen. Extremfälle zeigen, dass Unternehmen auch unmittelbar nach einem Penetrationstest und der Behebung etwaiger Risiken durch neue Sicherheitslücken verwundbar sein können. Iterativer, stetiger Ausbau der Sicherheitsvorkehrungen und das Schließen von Lücken ist unabdinglich.
Arten von Penetrationstests
Grundsätzlich gibt es viele unterschiedliche Arten von Penetrationstests. Hierzu zählen unter anderem unterschiedliche Zielbereiche wie die IT oder Webanwendungen sowie eine Unterteilung in beispielsweise Black-Box oder White-Box Penetrationstests.
IT-Infrastruktur-Penetrationstest
Zu dieser Kategorie zählt das Testen von z.B. Server-Systemen, Firewalls, WLAN-Netzen, VPN-Zugängen oder Firewall auf Sicherheitslücken.
Webanwendungs-Penetrationstest
Webanwendungen sind interaktive Anwendungen, die über das Web zugänglich sind. Meist kann mittels eines Browsers mit der Anwendung gearbeitet werden. Kennzeichnend für eine Webanwendung ist, dass Benutzer mit dem System plattformübergreifend interagieren können. Hierbei werden beispielsweise Fehler in der Zutrittskontrolle, Informationslecks oder Schwächen in der Web-Software getestet.
Black-Box-Penetrationstest
In diesem Fall weiß der Tester nicht, welche Systeme und Sicherheitsmaßnahmen ihn erwarten. Er hat keine Kenntnisse über die IT-Infrastruktur. Der Tester muss demnach genauso wie Hacker vorgehen und sich selbst ein Bild über die Infrastruktur schaffen.
White-Box-Penetrationstest
Genaues Gegenteil zum Black-Box Penetrationstest – Hier weiß der Tester alles über die IT-Infrastruktur: Welche Server, Betriebssysteme, Dienste und Anwendungen laufen, welche Ports offen sind/sein sollten. Da der Tester alle Informationen hat, ist die Effektivität viel höher als bei einem Black-Box-Penetrationstest. Es kann genau auf die bekannten Systeme hin getestet werden. Der Soll-Ist-Vergleich der IT-Sicherheit tritt hier am klarsten zu Tage.
Selbstverständlich gibt es weitere Arten des Penetrationstests. Da sich diese Tests auf die jeweils vorliegenden Bedürfnisse und Wünsche von Unternehmen und die Zielsetzungen des autorisierten Angriffs beziehen, sind sie individuell ausbaubar. Unternehmen können so selbst entscheiden, welche Art des Penetrationstests vollzogen werden soll.
Ziele eines Penetrationstests
Grund für einen Penetrationstest sind entweder bereits bestehende Bedenken bezüglich der Nützlichkeit der verwendeten Sicherheitssysteme oder die wichtige und richtige allgemeine Vorsicht. Tendenziell sollten Unternehmen eher mehrere Tests durchführen, anstatt nur einem, denn der Schaden durch unautorisierte Angriffe beträgt meist ein Vielfaches der Kosten eines Tests.
Zusammenfassend lassen sich die Ziele eines Penetrationstests in drei Punkte unterteilen:
- Ein zentraler Punkt ist selbstverständlich die Identifikation von Schwachstellen, sprich das Erkennen potentieller Risiken im Sicherheitssystem des Unternehmens.
- Daran anknüpfend sind potentielle Fehler, die sich aus der (fehlerhaften) Bedienung von Geräten und Programmen durch Mitarbeiter ergeben, von großer Bedeutung. Häufig gelangen Angreifer über Links zu falschen Websites zu den Anmeldedaten und erhalten so Zugriff auf Netzwerke des Unternehmens.
- Ein weiteres Ziel ist die Bestätigung der IT-Sicherheit durch einen externen Dritten und das frühzeitige Bemerken potentieller Gefahren. Eine externe Durchführung des Penetrationstests ist häufig zu empfehlen, da diese Tests objektiver durchgeführt werden und so in keinem Interessenskonflikt stehen.
Auf die genannten Ziele folgt anschließend häufig die Beseitigung der diagnostizierten Schwachstellen, welche jedoch nicht zwingend Teil eines Penetrationstests sind. Häufig erfolgt dies durch neue Sicherheitssysteme und Vorkehrungen, die ein Eindringen in Systeme verhindern. Hierzu zählen ebenfalls Schulungen für Mitarbeiter, da diese nicht selten erstes Ziel eines Angriffs sind.
Werden diese Ziele nicht erreicht, können Unternehmen schwere Schäden davontragen, denn die Prävention solcher Angriffe ist von großer Bedeutung. Hohe Ausfallszeiten und Systemstörungen erschweren nicht nur die Arbeit für Mitarbeiter, sondern senden zugleich ein schlechtes Signal an Kunden. Genau deshalb muss es Ziel sein, bereits im Vorhinein Risiken zu reduzieren, um schnell und effektiv auf potentielle Störungen oder Angriffe reagieren zu können.
Wie läuft ein Penetrationstest ab?
Penetrationstests lassen sich in fünf Schritte aufteilen, welche den gesamten Prozess vom Start der Zusammenarbeit bis zu abschließenden Tests beinhalten.
- START – Zu Beginn führt die Organisation mit dem Unternehmen, das den Penetrationstest durchführt, ein ausführliches Gespräch über die Zielsetzung des Tests. Wichtig ist hierbei, die rechtlichen Aspekte eines solchen Tests zu berücksichtigen. Zu solchen zählt beispielsweise, dass keine IT-Systeme oder Netze von Dritten getestet werden dürfen, mehr hierzu später unter rechtliche Rahmenbedingungen. Bedeutend ist daher die klare Abgrenzung der zu testenden Bereiche seitens des Auftraggebers.
- TEST – Zweiter Schritt ist die Durchführung des Tests. Hierbei werden Systeme so angegriffen, wie es auch potentielle Angreifer tun würden. Im Umkehrschluss bedeutet dies, dass sämtliche Bereiche, wie (W)LAN, Cloud-Systeme oder IP-Range getestet werden.
- DOCU – Bereits während des Tests ist die lückenlose Dokumentation von Bedeutung. Lückenlos bedeutet in diesem Fall, dass sowohl die Art und Weise der Durchführung als auch die angegriffenen Systeme und dessen Abwehrfähigkeit dokumentiert werden. Wichtig ist dies deshalb, weil Auftraggeber- und -nehmer anschließend über Konsequenzen und Möglichkeiten des verbesserten Schutzes sprechen.
- SHOW – Aufzeigen und erläutern dieser Möglichkeiten passiert in einer Präsentation, welche anhand der Dokumentation exakte Schwachstellen präsentiert und Möglichkeiten zur Lösung oder Reduzierung bestimmter Risiken gibt. Das Beseitigen der Schwachstellen und die Durchführung von Härtungsmaßnahmen der IT ist nicht Bestandteil des Penetrationstests, folgt jedoch logischerweise nach der Aufdeckung von Schwachstellen.
- RETEST – Auf Nachbesserungen der IT-Sicherheit folgt meist mindestens ein, häufig jedoch mehrere Retests, welche die Sicherheit von Netzwerken nach dem Ausbau von Schutzsystemen analysiert. Während klassische Banktresore vor ggf. 15 potentiellen Gefahrensituationen ausgehen, existieren im digitalen Zeitalter tausende Möglichkeiten ein System anzugreifen und wertvolle Daten zu stehlen. Dahingehend gilt es zu verstehen, dass es keinen vollständigen Schutz vor Cyberattacken gibt, man deren Einschlagskraft und Häufigkeit jedoch durch kontinuierliche Verbesserungen im Sicherheitssystem reduzieren kann.
Rechtliche Rahmenbedingungen
Selbstverständlich muss vor der Durchführung eines Penetrationstests zwischen Auftraggeber und Auftragnehmer ein Vertrag vorliegen, welcher die zentralen Punkte des Penetrationstests umfasst. Ohne eine solche Vereinbarung sind Penetrationstests illegal und können eine Straftat darstellen. Wichtig für beide Seiten ist es darauf zu achten, dass sich der Test nur auf Objekte beziehen darf, die unter der tatsächlichen Hoheit der zu testenden Organisation stehen. Demnach dürfen keine IT-Systeme oder Netze von Dritten getestet werden, obgleich diese ebenfalls ein Sicherheitsrisiko darstellen können.
Von Unternehmen in Anspruch genommene Dienstleistungen, unterschiedliche Software oder auch Cloud-Dienste erschweren eine klare Abgrenzung zwischen dem was getestet werden darf und was nicht. Wichtig ist daher, einen solchen Test bereits im Vorhinein ausreichend zu planen und sich unter Umständen Einverständniserklärungen einzuholen. Stellen genau jene externen Systeme ein Sicherheitsrisiko dar, kann es lohnenswert sein, sich zumindest bezüglich der digitalen Infrastruktur von diesen Drittpersonen zu trennen oder stärker abzusichern.
Ausblick 2021
Cybersicherheit gewinnt Jahr für Jahr zunehmend an Bedeutung. Technologische Vernetzung zwischen Systemen und Netzwerken birgt neue Risiken, zugleich ergeben sich für potentielle Angreifer immer mehr Möglichkeiten, in Systeme einzudringen. In den Digital Trust Insights 2021 hat die Wirtschaftsprüfungsgesellschaft PwC einen Ausblick auf das Jahr 2021 und darüber hinaus gegeben. In der Umfrage wurden 3.249 Führungskräfte aus den Bereichen Wirtschaft, Technologie und Sicherheit von Juli bis August 2020 befragt.
Den Umfrageergebnissen zufolge haben 98% der Unternehmen ihre Cyber-Sicherheitsstrategie aufgrund von COVID-19 geändert. Die COVID-19-Pandemie ist zu einem Katalysator für die Digitalisierung und das mobile Office geworden. Je nachdem wie lang und nachhaltig die Effekte der Corona-Pandemie sind, werden sich diese Veränderungen vermutlich langfristig in Unternehmen verankern. Zugleich wollen laut Umfrage knapp über 50% der Unternehmen ihre Budgets für Cybersicherheit im Jahr 2021 weiter erhöhen. Klar ist, Cybersicherheit ist in der Chefetage angekommen. Bereits 59% der CEOs wollen eng mit ihren Chief Information Security Officer (CISO) zusammenarbeiten, um die Widerstandsfähigkeit ihres Unternehmens zu erhöhen.
Haben Sie Interesse oder Fragen bezüglich der Systemsicherheit in Ihrem Unternehmen oder planen Sie Projekte in der IT um Ihre Cybersicherheit zu evaluieren? Melden Sie sich gerne ganz unverbindlich bei uns. Wir beraten Sie gerne und stellen Kontakt zu ausgewählten Fachexperten her.