Pentests: Aufdecken von Sicherheitslücken
5. August 202118. Oktober 2022
1
In Compliance, Fakten

Pentests: Aufdecken von Sicherheitslücken

Die zunehmende Digitalisierung und die damit verbundenen Cyberangriffe machen es zu einer Notwendigkeit, die unternehmenseigenen Systeme auf einem angemessenen und hohen Sicherheitsstandard zu halten. Das Internet stellt hierbei, neben seiner Bedeutsamkeit als wichtigstes Kommunikationsmittel, auch gleichzeitig eine Gefahrenzone dar, da bei steigendem Datenverkehr auch die Sicherheitsbedrohungen und Angriffe stetig zunehmen. Um diesen Sicherheitsstandard gewährleisten zu können, ist es unabdingbar, dass die IT-Netzwerke regelmäßig einer Überprüfung unterzogen werden. Mittels einer solchen Überprüfung können Schwachstellen im eigenen System rechtzeitig erkannt und behoben werden. In welchem Ausmaß das System auf Angriffe empfindlich reagiert, kann durch einen Penetrationstest (Pentest) überprüft werden. 

Ein Pentest ist die Bezeichnung für einen umfassenden Sicherheitstest der IT-Systeme. Hierbei wird der Zustand der Verarbeitungssysteme mit Mitteln und Methoden getestet, die ein Angreifer („Hacker“) anwenden würde, um unautorisiert in das System einzudringen (Penetration). Ein Pentest kann sowohl von innen als auch von außen durchgeführt werden. Bei der äußerlichen Simulation wird überprüft, welche Systeme von außen erreichbar sind, welche Informationen sich von außen beschaffen lassen und inwieweit das System auf Anfragen von außen reagiert. Da vermehrt Angriffe auch aus dem internen Kreis im Unternehmen stammen, werden Sicherheitslücken von Systemen, Anwendungen und Diensten auch aus Sicht eines internen Angreifers überprüft. Interne Täter haben bei ungesicherten Netzwerken ein leichtes Spiel, auf Anwendungen zuzugreifen, Daten zu manipulieren, zu entwenden oder das gesamte Netzwerk lahm zu legen. 

Der Pentest dient folglich der Identifizierung von Sicherheitslücken, um Gefährdungen einer besseren Einschätzung unterziehen und entsprechende Maßnahmen zur Verbesserung der IT-Sicherheit aufzeigen zu können. 
Im Rahmen des Penetrationstests können verschiedene Methoden zum Einsatz kommen. So basieren z.B. „White-Box-Tests“ auf der Grundlage der vom Auftraggeber bereitgestellten Informationen über die zu testende Infrastruktur. „Black-Box-Tests“ wiederum dienen der Beurteilung des Systems aus externer Sicht ohne Kenntnis der Interna. Es können u.a. Steuer- und Kontrollsysteme einer Überprüfung unterzogen werden, sodass ein Test von IP-basierten ICS Geräten mit exponierter Sicherheitslage erfolgt. Auch das sog. „Social Engineering“ kann mittels verdeckter Angriffe mit USB-Sticks oder gefälschten E-Mails und Anrufen einer Überprüfung unterzogen werden. Ebenfalls besteht die Möglichkeit einer OSINT Aufklärung, wobei es sich um die Nachrichten- und Informationsgewinnung aus öffentlich zugänglichen Quellen handelt. Dabei wird untersucht, was über das jeweilige Unternehmen an verwertbaren Informationen zu finden ist, welches Angreifer gegen dieses Unternehmen verwenden könnten. 

Der Ablauf eines Penetrationstests erfolgt in nachfolgenden Schritten:

1. Vorbereitung: Festlegung des Testgegenstandes und des Umfanges

2. Informationsbeschaffung: Ermittlung von allgemein verfügbaren Informationen und Abgleich mit dem Testgegenstand

3. Bewertung: Auswertung der gesammelten Informationen sowie Identifizierung von Risiken, potentiellen Schwachstellen bei Versuchen des Eindringens und nicht-sicherheitsrelevanten Auffälligkeiten

4. Eindringungsversuche: Auswahl aller potentiellen Schwachstellen und Besprechung der Wirksamkeit von vorhandenen Sicherheitsmaßnahmen sowie der Durchführung einer aktiven und nicht-destruktiven Tiefenprüfung

5. Dokumentation: Protokollierung aller Eindringungsversuche, Sicherheitseinschätzung und Verfassen von Handlungsempfehlungen zur Verbesserung der IT-Sicherheit

6. Präsentation/ Diskussion: Besprechung mit IT-Abteilung und Management

Die Systeme innerhalb eines Unternehmens befinden sich in einer ständigen Weiterentwicklung, insbesondere durch Updates, Upgrades, Systemerweiterungen oder -neuerungen, sodass Penetrationstests in regelmäßigen Abständen durchgeführt werden sollten. Aber auch die Angreifer werden mit der Zeit immer raffinierter und erneuern ihre Vorgehensweisen, um Sicherheitsbarrieren zu überwinden und Schaden anzurichten. Dementsprechend können nur regelmäßige Überprüfungen aufzeigen, ob ergriffene Maßnahmen korrekt umgesetzt wurden und ein zeitgemäßes Sicherheitsniveau besteht.

Niedrige und mit Lücken behaftete Sicherheitsstandards können für Unternehmen nicht nur kompromittierte Daten, Netzwerkausfallzeiten und eine Beeinträchtigung der DSGVO-Compliance bedeuten. Sie können selbstverständlich ebenso zu erheblichen Kosten führen, auch mit Blick auf mögliche Bußgelder. Zudem sind langfristige Rufschädigungen eine mögliche Folge, die sich u.a. durch sinkendes Vertrauen der Kunden ausdrücken können.
Pentests sind ein effektives Mittel gegen diese Gefahren. Kontaktieren Sie uns gern, wenn Sie mehr erfahren möchten oder unsere Unterstützung wünschen.

Essenz

  • Verstärkte Sicherheitsbedrohungen durch zunehmende Digitalisierung und damit einhergehende Cyberangriffe
  • Notwendigkeit eines hohen Sicherheitsstandards der IT-Systeme
  • Gewährleistung des Sicherheitsstandards durch regelmäßige Überprüfungen in Form von Pentests (umfassende Sicherheitstests)
  • Identifizierung von Sicherheitslücken, um Gefährdungen einer besseren Einschätzung zu unterziehen und entsprechende Maßnahmen zur Verbesserung der IT-Sicherheit aufzeigen zu können
  • Erhebliche Risiken bei niedrigen und mit Lücken behafteten Sicherheitsstandards: kompromittierte Daten, Netzwerkausfallzeiten, Beeinträchtigung der DSGVO-Compliance, beträchtliche Kosten, Verlust an Reputation und Vertrauen seitens der Kunden etc.