Mühelos gelangen die Hacker:innen in das Firmennetz: Die schon länger nicht mehr aktualisierte Firewall ist löchrig wie ein Schweizer Käse. Und dank Insider-Informationen einer unlängst gekündigten Mitarbeiterin ist auch die Buchhaltungssoftware schnell geknackt. Mit ungläubigem Staunen muss die Geschäftsführung mit ansehen, wie in Sekunden Millionenbeträge vom Firmenkonto ins Ausland überwiesen werden.
Glück gehabt: Der Millionendiebstahl war nur eine Übung und die Attacke das Werk von versierten Sicherheitsspezialist:innen im Auftrag des Unternehmens selbst. Kein Cent ist wirklich auf Auslandskonten gelandet – obwohl es leicht möglich gewesen wäre.
Weil die Gefahr von Hackingangriffen weltweit steigt, verlassen sich Immer mehr Firmen und Organisationen nicht mehr allein auf standardisierte Testprogramme oder die grüne Ampel im Anzeigefenster ihrer Firewall.
Viele Unternehmen unterziehen ihre Systeme mittlerweile regelrechten Stresstests, bei denen Sicherheitsexpert:innen die Hard- und Software kreativ und mit allen zur Verfügung stehenden Hacking-Werkzeugen angreifen. Genauso, wie es auch echte Cyberkriminelle machen würden.
Das Besondere dabei: Die Expert:innen testen die Unternehmen als Ganzes. Pentests decken beispielsweise Schwachstellen in den Sicherheitsschulungen der Mitarbeitenden auf – oder Angriffspunkte im firmeneigenen Internet of Things. Am Ende wird dann Bilanz gezogen: Wo besteht dringender Nachbesserungsbedarf? Wo könnten schon morgen echte Hacker:innen die Firmenkonten plündern? Und mit welchen Mitteln und Prozessen lassen sich Sicherheitsprobleme in Zukunft beheben, noch bevor sie das Unternehmensnetz überhaupt gefährden?
Was ist ein Penetrationstest?
Das „Penetration Testing” (Englisch für Eindringtest oder Durchbruchstest) ist der Versuch, in geschützte IT-Systeme einzubrechen, um Schwachstellen dieser Strukturen und ihrer Sicherheitsarchitektur aufzudecken. Häufig wird anstelle der Begriffe Penetration Testing und Penetrationstest die Kurzform Pentest verwendet. Auch der Begriff des White-Hat-Hackings ist hier gebräuchlich. Denn White-Hat-Hacker:innen richten im Unterschied zu Black-Hat-Hacker:innen keinen Schaden an, sondern decken Sicherheitsrisiken auf.
In der Regel beauftragt das Unternehmen einen Pentest für seine IT-Systeme. Entsprechend hierfür ausgebildete Sicherheitsexpert:innen führen den Pentest dann durch. Ein Penetrationstest besteht aus einem ganzen Bündel von Eindringversuchen in die IT-Architektur. Jeder einzelne Versuch basiert dabei auf anderen Voraussetzungen und anderen Kenntnissen über die vorhandene Hard- und Software.
Im Unterschied zu einem einfachen automatisierten Vulnerability Scan folgt ein Pentest keinem immergleichen Algorithmus. Die Sicherheitsexpert:innen sammeln im Testverlauf alle erreichbaren Daten über das anzugreifende System. Für jeden einzelnen Testschritt nutzen sie das Wissen, das sie bei vorherigen Testschritten gewonnen haben, um darauf aufbauend gezielt nach Lücken in der Sicherheitsarchitektur zu suchen. Dadurch ist ein Pentest einer typischen manuellen Hackingattacke sehr viel ähnlicher als ein simpler Vulnerability Scan. Gleichwohl kann ein Vulnerability Scan Bestandteil eines Pentests sein.
Jeder Pentest ist außerdem holistisch angelegt. Er betrachtet nicht nur isoliert Internetzugänge, Arbeitsplatzrecher, Speichersysteme und Server, sondern das gesamte Unternehmensnetzwerk und dessen Anwender:innen. Dazu gehören auch die Mitarbeitenden und ihr Umgang mit Passwörtern, ferner die Schnittstellen zu Geschäftspartner:innen und Kund:innen sowie die gesamte Technik im Unternehmen, soweit sie für Cyberattacken in irgendeiner Form missbraucht werden könnte. Somit finden Pentests auch solche Sicherheitslücken, die einzeln harmlos sind, aber in Kombination mit anderen Sicherheitslücken das Eindringen in Firmennetze ermöglichen. Denn die allermeisten Attacken werden durch Nachlässigkeiten oder übersehene Schwachstellen ermöglicht.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt Pentests deshalb ein „geeignetes Verfahren, um die aktuelle Sicherheit eines IT-Netzes, eines einzelnen IT-Systems oder einer (Web-)Anwendung festzustellen.”
Penetrationstests: Diese Arten gibt es
Ein Pentest ist stets eine Kombination aus vielen unterschiedlichen Testverfahren. Er setzt sich zusammen aus Angriffen von außen über das Internet sowie Einbruchversuchen von innen heraus, beispielsweise per Social Engineering.
Beim Social Engineering werden ganz gezielt Mitarbeitendende, Geschäftspartner:innen oder Kund:innen des betroffenen Unternehmens unter einem Vorwand angesprochen. Ziel ist es, sie dazu zu bringen, den Eindringversuch unwissentlich zu unterstützen. Weil dies erschreckend gut funktioniert, setzen Hacker:innen zunehmend auf Social Engineering.
Black Box, White Box und Grey Box
Bei den systematischen Tests wird unterschieden zwischen Black-Box-, White-Box- und Grey-Box-Tests. So erfolgt ein Teil der Tests, ohne dass die Angreifenden den inneren Aufbau der IT-Struktur kennen. Diese Kombination aus „Black Box Pen Test”, „White Box Pen Test” und „Grey Box Pen Test” simuliert ein möglichst breites Spektrum unterschiedlicher Hacking-Strategien:
- Black-Box-Penetrationstests entsprechen Attacken von Hacker:innen, die das anzugreifende System überhaupt nicht kennen und vielleicht nicht einmal wissen, welche Organisation sie gerade angreifen. Auch den Pentester:innen ist bei solchen Angriffen über das Netz daher lediglich die IP-Adresse der Firmenwebsite bekannt.
- White-Box-Penetrationstests bilden die Attacken von Angreifer:innen nach, die bereits über umfangreiches Insiderwissen verfügen. Das könnte die Konkurrenz oder auch ein ausländischer Nachrichtendienst sein, der sich sein Ziel genau ausgesucht und zuvor längere Zeit ausgeforscht hat. Auch Attacken ehemaliger Unternehmensmitarbeiter:innen, die interne Schwachstellen kennen, fallen in diese Kategorie und werden durch solche White-Box-Pentests simuliert.
- Grey-Box-Tests simulieren Hacker:innen, die nur Teilinformationen oder veraltete Informationen mittels Social Engineering, Sniffing oder auf anderen Wegen gewinnen konnten und trotzdem einen Angriffsversuch starten.
Social Engineering als Pentest-Werkzeug
Pentests umfassen eine breite Palette von direkten und indirekten Ansätzen, um per Social Engineering Unternehmensnetze zu penetrieren. Bei den direkten Attacken versuchen die Sicherheitsexpert:innen des Pentest-Dienstleisters, selbst an Passwörter oder freie Netzwerkzugänge zu kommen.
Dazu tarnen sie sich beispielsweise als Mitarbeitende des Unternehmens. So dringen sie in unzureichend gesicherte Serverräume ein, suchen in Mülleimern („Dumpster Diving”) nach Passwörtern und Zugangsdaten oder fangen auch schon mal Kurierlieferungen ab, die Zugangskarten oder -daten enthalten könnten.
Bei indirekten Attacken werden die Mitarbeitenden selbst unwissentlich zum Werkzeug. Die Tester:innen geben sich am Telefon als Mitarbeitende der Unternehmens-IT aus und fordern die Angerufenen dazu auf, angebliche Sicherheitssoftware zu installieren. Oder die Tester:innen bauen echte Webseiten nach, um Passworteingaben abzufangen. Auch die Phishing-E-Mail gehört zu den indirekten Attacken. Deren Dateianhang installiert beim Öffnen beispielsweise Spionagesoftware auf den Computern der Opfer.
Mit zunehmender Unternehmensgröße sehen Sicherheitsexpert:innen ein überproportional wachsendes Risiko für Hackingattacken von innen heraus. Als Täter:innen kommen aktuelle oder ehemalige Mitarbeitende infrage; aber auch Kund:innen und Dienstleister, die auf dem Firmengelände Zugang zu Unternehmenshardware haben oder hatten. Besonders gefährdet sind hierbei Organisationen wie Krankenhäuser, Behörden, Bildungseinrichtungen und andere Institutionen mit viel Besuchsverkehr oder häufig wechselnder Belegschaft.
Der Pentest prüft auch, ob ein Netzwerk robust gegen typische Benutzungsfehler und damit verbundene Sicherheitsrisiken ist. Dazu gehören beispielsweise schwache Passwörter und ungesicherte Verbindungen oder der Verlust von Büroschlüsseln, Zugangskarten und Geräte-Dongles. So ist das unwissentliche Herunterladen von Malware wie beispielsweise Ransomware durch Mitarbeitende eine der größten Gefahren für Netzwerke überhaupt. Ist das Unternehmen erst einmal infiziert, bleibt oft nur die Zahlung von Lösegeld.
Auch das BSI warnt: „In den letzten Jahren hat sich die Bedrohungslage durch Ransomware deutlich verschärft. Weil der Leidensdruck für die Betroffenen so hoch ist, zahlen Opfer in vielen Fällen das geforderte Lösegeld. Dieser Erfolg der Täter führt dazu, dass mittlerweile Kapazitäten aus dem ‚Banking-Trojaner-Geschäft‘ abgezogen werden und die Botnetze nun Ransomware verteilen.”
Wie ist ein Pentesting aufgebaut?
Eine besondere Stärke des Penetrationstests ist die sorgfältige Dokumentation aller Einzelschritte. Während reale Hacker:innen bemüht sind, ihre Datenspuren bestmöglich zu verwischen, ist der Pentest im Nachhinein völlig gläsern. Jeder Schritt einer Attacke im Rahmen des Pentest ist später also genau nachvollziehbar.
Exakte Vorplanung entscheidend für den Testerfolg
Wie bei einem wissenschaftlichen Experiment oder bei der Marktforschung zu einem neuen Produkt bestimmt auch beim Penetrationstest eine sorgfältige Vorbereitung maßgeblich über den Erfolg. Am Beginn des Pentesting steht daher die gemeinsame Testplanung. Das beauftragende Unternehmen bespricht mit dem Dienstleister die Ziele und die zur Zielerreichung angewendeten Strategien für den eigentlichen Pentest.
Die einzelnen Dienstleister unterscheiden sich im Aufbau ihrer Pentests. Als allgemeinen Planungsrahmen gibt es Teststandards wie den „Penetration Testing Execution Standard“ (PTES) oder den BSI-Leitfaden „IT-Sicherheits-Penetrationstest“. Das BSI untergliedert das Pentesting in fünf aufeinander aufbauende Phasen:
- Phase 1: Spezifikation und Vorbereitung
- Phase 2: Passiver Penetrationstest
- Phase 3: Feinplanung und Risikoanalyse
- Phase 4: Praktische Eindringversuche
- Phase 5: Abschlussanalyse
Phase 1: Zielvereinbarung und Spezifikation
In Vorbereitungsgesprächen stimmen Kunde und Anbieter Ziele und Verfahren des Pentests ab. Welche Strukturen sollen getestet werden? Sind stichprobenartige Tests gewünscht oder soll Arbeitsplatz für Arbeitsplatz überprüft werden? Wie weit sollen die Tests gehen? Gibt es beispielsweise Produktionssysteme, die aus Sicherheitsgründen von den Tests ausgenommen oder in einem separaten Test untersucht werden sollen?
Betroffen hiervon sind etwa Organisationen des Gesundheitswesens oder Unternehmen der Grundversorgung. Dort dürfen Pentests beispielsweise keine Systeme gefährden, die den laufenden Betrieb sicherstellen oder von denen Menschenleben abhängen.
Weitere Fragen zur Vorbereitung: Welche gesetzlichen oder branchenspezifischen Vorgaben und Sicherheitsstandards gelten für das zu untersuchende Unternehmen? Inwieweit soll der Pentest deren Einhaltung validieren oder mögliche Schwachstellen aufdecken, die im Widerspruch zu gesetzlichen Vorgaben stehen? Solche branchenspezifischen Sicherheitsstandards werden beispielsweise definiert durch:
- ISO/IEC 27001 und ISO/IEC 27019 unter anderem für Unternehmen der Energiewirtschaft
- Payment Card Industry Data Security Standard (PCI DSS)
- BSI TR-03161 für Anforderungen an Anwendungen im Gesundheitswesen und den Health Insurance Portability and Accountability Act (HIPAA)
- Vorschriften zur IT-Security der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)
Die Überprüfung auf derartige Branchenstandards sollte idealerweise Bestandteil des Pentest-Dienstleistungsvertrages sein.
Auch das Aggressivitätslevel der Tests wird im Vorfeld besprochen. Sollen die Tests hauptsächlich passiv ablaufen und lediglich vorhandene Lücken ausnutzen? Oder dürfen die Tester:innen beispielsweise gezielt Schadsoftware im Unternehmen installieren und damit Daten herunterladen, sofern sie Angriffspunkte finden? Sind nur indirekte Social-Engineering-Attacken per Mail und Telefon erlaubt? Oder soll wirklich aktiv ins Unternehmen eingedrungen werden? Dürfen die Tester:innen Spionage-Hardware wie Keylogger, Minikameras oder „Rogue Access Points” für das WiFi-Spoofing im Unternehmen verstecken?
Der Pentest-Dienstleister sichert sich mit dieser Vereinbarung auch selbst ab. Denn in Deutschland ist bereits die Vorbereitung eines Hacking-Angriffs grundsätzlich strafbewehrt (§ 202 STGB). Der Dienstleister benötigt also einen genau umrissenen schriftlichen Auftrag des Unternehmens, dessen Netze er angreifen soll.
Sofern sensible Unternehmensdaten oder schützenswerte persönliche Daten im Sinne der Datenschutzgrundverordnung (DSGVO) oder des Bundesdatenschutzgesetzes (BDSG) betroffen sind, ist auch hierfür zu klären, wie diese Daten während der Attacken bestmöglich geschützt werden.
Auch eine Vertraulichkeitsklausel ist Bestandteil eines solchen Pentest-Auftrags. Schließlich haben die Sicherheitsexpert:innen durch ihre Hackingattacken Zugriff auf alle sensiblen Daten des Unternehmens.
Phase 2: Passiver Penetrationstest
In der Phase des passiven Penetrationstests werden alle bereits im Vorfeld erreichbaren Informationen über die zu testenden Strukturen gesammelt. Außerdem wird der organisatorische Ablauf des Pentests in einem groben Rahmen definiert.
Umfangreiche Penetrationstests in großen Organisationen können sich durchaus über mehrere Wochen hinziehen. Daher muss bereits an dieser Stelle entschieden werden, welche Systeme wann getestet werden, inwieweit das Unternehmen für die Dauer der Tests Ersatzsysteme braucht und welche Tests überhaupt zwingend im laufenden Betrieb stattfinden sollten.
Ein Unternehmen mit Saisongeschäft wird seine Pentests vielleicht in Zeiten mit geringem Geschäftsaufkommen legen. Oder es möchte einen Pentest bewusst unter höchster Last fahren. Denn dann ist auch das Risiko größer, dass Mitarbeitende und Unternehmens-IT Sicherheitsprozeduren ausfallen lassen oder Updates verschieben und so temporäre Sicherheitslücken entstehen. Auch Angriffe, die die Überlastung von Systemen ausnutzen, sind dann aussagekräftiger. Um derartige Risiken aufzuspüren, wird das Unternehmen seine Testung also möglicherweise gezielt in die passende Saison legen.
Phase 3: Feinplanung und Risikoanalyse
Die Sicherheitsexpert:innen des Pentest-Dienstleisters bewerten die in Phase 2 gesammelten Informationen und erstellen auf dieser Grundlage eine Risikoanalyse. Mit Blick auf die in Phase 1 definierten Zielvorgaben planen sie im Detail ein möglichst wirtschaftliches und effizientes Vorgehen für die einzelnen Tests.
Sollen die Expert:innen vor allem Risiken identifizieren, die den Geschäftsbetrieb oder Unternehmenswerte gefährden? Dann können sie nachrangige Systeme, die in keiner Verbindung zu vitalen Strukturen stehen, in dieser Phase von den Tests ausschließen.
Ein solches unwichtiges System im Sinne der Pentests wäre beispielsweise im Einzelhandel ein Point-of-Sale-Informationsterminal, das keinen Internetzugang hat, keine Kundendaten oder andere sensible Informationen speichert und auch nicht mit weiteren Systemen des Unternehmens verbunden ist.
Phase 4: Praktische Eindringversuche
In dieser Phase erfolgen die eigentlichen Eindringversuche in die zuvor ausgewählten Systeme. Die Tests laufen mehrstufig ab. Für jeden Test werden andere Herangehensweisen gewählt. Zum Schutz laufender Produktionssysteme kann es geboten sein, während der Tests erkannte Lücken beispielsweise durch entsprechende Updates und Patches schließt. Systemsicherheit geht hierbei vor Testerfolg.
Mit einmaligem Zugriff per Hackingattacke erste Schwachstellen erkennen
Hacker:innen verfügen über einen reichhaltigen Software-Werkzeugkasten für das Eindringen in fremde Netze. Den selben Baukasten kennen und nutzen auch Sicherheitsexpert:innen, um Hackingattacken nachzustellen:
- Mit Denial-of-Service-Attacken (DoS) überlasten die Expert:innen die Unternehmenswebseite mit einer Vielzahl von Aufrufen in ganz kurzer Zeit so stark, dass die Seite nicht mehr erreichbar ist. Ähnliche Attacken fahren sie auch gegen das interne Netzwerk oder einzelne Hardware-Komponenten. Das kann etwa der VPN-Tunnel sein, über den sich Mitarbeitende von unterwegs einzuwählen. Bei diesen Tests geht es nicht darum, Daten mit Hackingmethoden auszuspionieren. Ziel ist es vielmehr, die Robustheit des Unternehmensnetzes zu testen.
- Im Rahmen sogenannter Code-Reviews testen die Expert:innen alle im Unternehmen verwendeten Programme unter Sicherheitsgesichtspunkten. Ein Beispiel: Anwendungen, Web-Oberflächen oder Makros, die intern genutzt werden, sollten beispielsweise keine Passwörter oder Personendaten im Klartext übertragen. Denn die Gefahr ist groß, dass dieselben Anmeldedaten, die für ein internes Schulungs-Tool oder ein internes Fußball-Tippspiel verwendet werden, von denselben Mitarbeitenden auch für ihren Zugang zum Mailkonto oder zur Firmen-Cloud genutzt werden. Schon hätten Hacker:innen damit Zugriff auf das Firmen-Netz. Aber auch Daten von Kund:innen dürfen in Deutschland nicht unverschlüsselt weiterverarbeitet und gespeichert werden, weil dies gegen die DSGVO verstößt.
- Mit Sniffer-Programmen („Netzwerk-Schnüfflern”) lesen manche Kriminelle die Kommunikation im Firmennetz mit. Die Sicherheitsexpert:innen stellen auch dieses Szenario nach, sofern das zu testende Unternehmen solche aggressiven Tests genehmigt hat.
- Per Portscanning analysieren die Expert:innen genau wie reale Hacker:innen die einzelnen Datenkanäle (Ports) der Kommunikation über das Internet-Protokoll (TCP/IP) näher, um Informationen über die verwendete Software zu sammeln und möglicherweise ungeschützte Ports für direkte Angriffe zu finden.
- Mittels Session Hijacking, IP-Spoofing und Man-in-the-Middle-Angriffen kapern echte Kriminelle bestehende Internetverbindungen oder täuschen Mitarbeitende des Unternehmens darüber, mit wem sie im Internet kommunizieren. Expert:innen simulieren auch diese Attacken und probieren aus, ob sie damit Erfolg haben.
- Hacker:innen infiltireren über das Internet gezielt Webanwendungen und Datenbanken des Unternehmens mit Schadcode, um unerlaubt Zugriff auf diese Systeme zu erlangen. Beispiele hierfür sind Format-String- und Buffer-Overflow-Attacken oder SQL-Injections. Mittels Software simulieren die Pentest-Expert:innen auch diese Angriffe und finden so Lücken.
- Getestet werden nicht nur die IT-Strukturen des Unternehmens selbst, sondern auch die Produkte des Unternehmens, soweit diese digitale Inhalte oder beispielsweise eingebettete Steuerungen haben. Für solche Tests können auch Digital Twins dieser Produkte genutzt werden.
Im ersten Schritt spüren die Sicherheitsexpert:innen mit diesen Werkzeugen aus der Praxis echter Hacker:innen nur die Einfallstore für Attacken auf. Erst In einem zweiten Schritt schleusen sie zu Testzwecken entsprechende Malware (Spyware, Ransomware) ein. Oft wird dieser zweite Schritt aber ausgelassen, weil die Sicherheitslücke im ersten Schritt bereits hinreichend erwiesen ist und durch die Pentests keine Einfallstore für echte Hacker:innen geschaffen werden sollen.
Ein verbreitetes Werkzeug von Hacker:innen sind sogenannte Exploits. Das sind im Internet oder Darknet verfügbare Codes, die Schwächen verbreiteter Programme wie Webbrowser oder Büro-Software ausnutzen. Auch hier klären die Expert:innen vorher ab, ob solche Exploits tatsächlich zu Testzwecken installiert werden sollen. Denn viele dieser Exploits sind noch gar nicht vollständig erforscht und könnten beispielsweise unbekannten Schadcode enthalten.
Das BSI warnt in seinem Pentest-Leitfaden: „Ist der Exploit unsicher programmiert, so kann er Schaden an der IT-Anwendung anrichten. Im einfachsten Fall kann ein Absturz die Folge sein, es können aber auch Speicherbereiche überschrieben werden, die für das Funktionieren der IT-Anwendung oder des gesamten IT-Systems erforderlich sind und damit die IT-Anwendung oder das gesamte IT-System unbrauchbar machen. Hier muss genau abgewogen werden, ob ein Exploit eingesetzt wird.“
Simulierte APTs für mehr Einblicke in Schwachstellen
Einige Hackingattacken benötigen nur wenige Sekunden für ihre Umsetzung: Dazu zählen der Diebstahl von Kryptowährung, das Leeren von Firmenkonten oder das Einspielen von Ransomware . Andere Hackingattacken dauern hingegen Monate oder Jahre. Dazu gehören:
- Das Kapern von Unternehmens-Rechnern für Botnets
- Das Einspielen von Schläfer-Malware, die erst zu einem festgesetzten Datum oder auf eine Aktivierung von außen hin ihre schädliche Arbeit aufnimmt
- Das dauerhafte Mitlesen des internen Mailverkehrs
- Das permanente Abschöpfen von Management-, Finanz- oder Produkt- und Forschungsdaten eines Unternehmens
Solche langfristigen Attacken werden auch als „Advanced Persistent Threats” (kurz: APT)) bezeichnet, was mit „fortgeschrittene, andauernde Bedrohung” übersetzt werden kann.
Integraler Bestandteil von Pentests ist die Suche nach solchen Bedrohungen, die möglicherweise schon lange in den Tiefen des Unternehmensnetzwerks schlummern. Gefährliche Schnüffel-Software kann sich beispielsweise in Freeware verstecken, die Mitarbeitende mit lokalen Administrationsrechten auf ihren Systemen installiert haben. Aber auch digitale Steuerungen sowie programmierbare Sensoren und Aktoren, die mit dem Netzwerk direkt oder indirekt verbunden sind, werden auf Lücken und möglichen Schadcode gecheckt.
Auch ausländische Nachrichtendienste, die für ihre heimische Industrie Wirtschaftsspionage betreiben oder gezielt deutsche Regierungsbehörden ausspionieren, können hinter solchen APT-Attacken stecken. Pentest-Dienstleister kennen die in der Fachliteratur und Veröffentlichungen von Sicherheitsbehörden dokumentierten Fälle von APT-Attacken und suchen daher gezielt nach Datenspuren solcher Angriffe.
Phase 5: Abschlussanalyse
Nach dem Ende aller Einzeltests erfolgt die Abschlussanalyse. Der Auftraggeber erhält einen ausführlichen Bericht, in dem der Pentest-Anbieter alle entdeckten Lücken aufführt. Auch Gefährdungen die bereits während der Testphase durch die Expert:innen beseitigt wurden, werden hier genannt. Denn nur so können mögliche strukturelle Schwächen identifiziert werden.
Gab es beispielsweise Probleme beim unternehmensweiten Ausspielen von Updates auf Arbeitsplatzrechnern, so hat der Pentest diesen Fehler zwar beseitigt. Er könnte beim nächsten Update aber erneut auftreten. In einem solchen Fall wäre die logische Konsequenz also, dass die IT Updates zukünftig auch kontrollieren und für alle vorhandenen Computer dokumentiert muss.
Auch die Social-Engineering-Attacken liefern wichtige Erkenntnisse: Haben Mitarbeitende erkannt, dass sie ausgeforscht wurden und haben sie diese Kontaktaufnehmen gemeldet? Hat die Unternehmens-IT, sofern sie von den Pentests nichts wusste, diese trotzdem bemerkt und ihre Schutzmaßnahmen entsprechend verstärkt?
Ein Pentest ist immer ein Test des ganzen Unternehmens, bestehend aus den dort tätigen Menschen und der genutzten Hard- und Software. Die Bereiche mit dem geringsten Sicherheitslevel bestimmen dabei die Verwundbarkeit des Gesamtsystems. Ein Pentest ist außerdem immer nur eine Momentaufnahme. Sie sollten ihn daher in regelmäßigen Abständen wiederholen.
Pentest-Tools: Geeignete Tools und ihre Funktionen auf einen Blick
Inzwischen gibt es eine Vielzahl von Softwarepaketen für Pentests und Vulnerability Scans. Zu den bekanntesten gehören Metasploit, Invicti, Acunetix, Qualys, Intruder und Burp Suite. Diese Pentest-Tools testen beispielsweise, ob alle Webanwendungen über die neuesten Patches verfügen, ob es offene Ports und Einfallstore für SQL Injections gibt und wie sicher eine eventuell vorhandene Cloud-Anbindung an AWS oder Azure gelöst ist.
Grundsätzlich eignen sich die meisten dieser Programme für regelmäßig angesetzte oder dauerhaft laufende Tests der eigenen Hardware. Sie sind aber kein Ersatz für einen professionellen Pentest, der genau auf das jeweilige Unternehmen zugeschnitten ist und nationale Branchen-Sicherheitsstandards berücksichtigt. Außerdem sollte der Test Social-Engineering-Komponenten beinhalten, die eine Software naturgemäß nur sehr eingeschränkt bieten kann. Insbesondere können solche Pentest-Programme nicht die kriminelle Kreativität echter Hacker:innen simulieren – denn diese programmieren täglich neue Exploits , mit denen sie Pentest- und Antivirenprogramme ausmanövrieren.
Wenn Sie sich vergewissern möchten, dass Ihr Unternehmensnetzwerk wirklich sicher ist und auch die Mitarbeitenden alle Risiken kennen und abwehren, sollten Sie daher die Dienste eines professionellen Pentest-Anbieters in Anspruch nehmen und nicht allein auf ein Software-Tool vertrauen.
Pentesting in der Übersicht
- Pentests bilden Hackingattacken auf das Unternehmensnetzwerk nach.
- Die Testverfahren umfassen eine Vielzahl sehr unterschiedlicher Angriffe, die verschiedene Formen von Hackingangriffen nachbilden.
- Pentests setzen sich zusammen aus Angriffen über das Netz, Angriffen aus dem eigenen Netzwerk heraus und Social-Engineering-Attacken.
- Für Pentests gibt es verschiedene Durchführungsstandards wie beispielsweise den BSI Leitfaden IT-Sicherheits-Penetrationstest.
- Pentests unterscheiden sich von automatisierten Testverfahren, weil die Tester:innen gezielt Lücken aufspüren und ausnutzen. Sie sind daher nicht mit reinen Vulnerability Scans zu verwechseln.
Quelle:
https://www.vodafone.de/business/featured/digitales-business/digitale-geschaeftsprozesse/pentests-wie-sie-sicherheitsluecken-in-der-unternehmens-it-via-penetrationstest-aufdecken/