Managed Services unterstützen Unternehmen bei der IT-Security Mit Security Testing die IT-Sicherheit verbessern

Autor / Redakteur: Fred Tavas / Peter Schmitz

IT-Security gehört zum Pflichtprogramm eines jeden Unternehmens. Schließlich können Cyberangriffe ganze Unternehmen lahmlegen und zu hohen Schäden führen. Um Schwachstellen zu beheben und Cyberangriffe zu verhindern, sollten Unternehmen ihre IT- sowie die physische Security stets im Blick behalten. Dafür eignen sich verschiedene Security-Testing-Verfahren.

Firmen zum Thema

Damit Unternehmen die IT- und physische Security gewährleisten können, sollten regelmäßig Security Testings durchgeführt werden.
Damit Unternehmen die IT- und physische Security gewährleisten können, sollten regelmäßig Security Testings durchgeführt werden.
(© Елена Мирзоева - stock.adobe.com)

Immer wieder kommt es vor: Hacker verschaffen sich unberechtigten Zugang zu IT-Systemen von Unternehmen, installieren eine Schadsoftware, und schon ist es geschehen: Innerhalb kurzer Zeit haben sie wichtige Daten gestohlen, IT-Systeme verschlüsselt oder spionieren das Unternehmen aus. Können Angreifer sich sogar Zugang zum Firmengebäude verschaffen, stehen ihnen weitere Türen offen – für Hardware-Diebstahl oder Datenklau direkt vor Ort. Der Schaden ist in allen Fällen hoch, sowohl in personeller Hinsicht – da persönliche Daten von Unbefugten verarbeitet wurden – als auch in finanzieller Hinsicht, wenn in neue Geräte investiert werden muss.

Vermehrte Cyberattacken haben in den letzten Jahren dazu beigetragen, dass die IT-Security in Unternehmen zunehmende Aufmerksamkeit bekommt. Um zu testen, wie sicher das IT-System eines Unternehmens ist, werden verschiedene Testing-Methoden durchgeführt: Automated Testing, Penetration Testing, Red Teaming und Purple Teaming.

Automated Testing als Grundvoraussetzung

Zuerst sollte ein Unternehmen automatisiertes Testing durchführen. Hierbei katalogisieren automatische Scans die Internetverbindungen sowie die internen Assets eines Unternehmens und identifizieren mögliche Schwachstellen. Diese Scans können zu jeder Zeit durchgeführt werden, ohne dass die Arbeit dafür unterbrochen werden muss.

Automated Testing ist eine Voraussetzung für Penetrationstests und andere, fortschrittliche Verfahren. Mit diesen Tests lassen sich Sicherheitsstandards etablieren und ein Maßstab für die weitere Entwicklung festlegen. Je nach Ressourcen, Auslastung und Know-how kann ein Unternehmen diese Tests selbst durchführen oder ein externes Team von Experten beauftragen, um die Tests remote oder vor Ort in Zusammenarbeit mit der IT-Abteilung umzusetzen.

Pen Testing – den Ernstfall simulieren

Auch das Penetration Testing beinhaltet ein gewisses Maß an automatisierten Verfahren. Doch den richtigen Mehrwert bringt diese Vorgehensweise erst, wenn Sicherheitsexperten diese Automatisierung mit fortschrittlichen Tools, manuellen Taktiken und mit ihrem eigenen Fachwissen kombinieren, um herauszufinden, welche Wege ein Angreifer wählen kann, um seine Zielumgebung zu kompromittieren.

Während einfachere, automatisierte Tests meist potenzielle Schwachstellen identifizieren, zeigen Pen Tests, wie diese Schwachstellen zu Kompromittierungen führen können. Dazu kommen verschiedene Techniken zum Einsatz, wie elektronisches Social Engineering, Passwort-Brute-Forcing, systemspezifische Sicherheitslücken, detaillierte Anwendungsanalysen auf Netzwerkebene sowie Angriffe auf veraltete Protokolle.

Da durch dieses Verfahren auch in der Vergangenheit bereits viele Angriffe hätten verhindert werden können, sollten Unternehmen regelmäßig Penetrationstests durchführen, um frühzeitig mögliche Schwachstellen zu entdecken und Gegenmaßnahmen umsetzen zu können.

Red Teaming: Ein gezielter Angriff prüft die Verteidigung

Zu den eher spektakulär anmutenden Testverfahren, wie sie beispielsweise oftmals im Fernsehen zu sehen sind, gehört das Red Teaming. Hierbei starten Security-Experten als Red Team einen gezielten Angriff, um eine IT-Infrastruktur zu kompromittieren. Im Gegensatz zu Pen Tests, die oftmals noch weitgehend automatisiert sind, nutzen die Experten beim Red Teaming die ganze Bandbreite von Tricks, die reale Angreifer anwenden. Dazu gehören:

  • Open-Source-Intelligence (OSINT), bei der offen verfügbare Informationen über ein Unternehmen und dessen Mitarbeiter gesammelt werden; OSINT kann aus unerwarteten Quellen, wie LinkedIn, Facebook, Twitter oder anderen Social Media-Kanälen, stammen, da Mitarbeiter an solch scheinbar harmlosen Stellen manchmal mehr preisgeben, als ihnen bewusst ist;
  • Phishing- und Business E-Mail Compromise (BEC)-Nachrichten, die auf bestimmte Empfänger zugeschnitten sind und dazu Informationen aus OSINT und anderen Quellen verwenden;
  • Online und Offline Social Engineering, um eine fehlende Awareness der Mitarbeiter auszunutzen und die physische Infrastruktur des Unternehmens zu testen;
  • Nutzung der Fehlkonfigurationen und bestehenden Sicherheitslücken, die vorhandene Security-Produkte nicht geschlossen haben, sowie Einsatz taktischer Techniken und Verfahren, die von realen Angreifern verwendet werden.

Bei diesen Testverfahren muss das Blue Team, bestehend aus Security-Mitarbeitern des Unternehmens, den Angriff des Red Team erkennen und stoppen. Blue Teams arbeiten in der Regel mit begrenzten Informationen – wie sie es auch bei einem echten Angriff tun würden. Sie wissen nicht, wann der Angriff stattfindet und auf welche Systeme er abzielt, oder auch manchmal nicht, dass es sich lediglich um eine Übung des Red Team handelt. Aus diesem Grund eignet sich diese Vorgehensweise nur für Unternehmen, die dazu in der Lage sind, selbst eine effektive Verteidigung aufzubauen. In anderen Fällen können Security-Experten mit Unternehmen zusammenarbeiten, um deren Stärken auszubauen und dadurch ein Red Teaming zu ermöglichen.

Purple Teaming: Konzentration auf spezifische Schwachstellen

Viele, die sich mit IT-Security beschäftigen, sind mit Red Teams vertraut; nur wenige kennen Purple Teams. Purple Teams kombinieren die Funktionen der Red und Blue Teams und greifen spezifische Systeme auf vorab festgelegte Weise an, sodass die Verantwortlichen in Unternehmen ihre Verteidigungsansätze verbessern können. Im Gegensatz zum Red Teaming wissen die Verantwortlichen beim Purple Teaming, wann der Angriff stattfindet und auf welche Systeme die Purple Teams abzielen werden.

Purple Teaming kann dann sinnvoll sein, wenn sich ein Unternehmen darauf konzentrieren will, den für sich besten Weg zur Behebung von Schwachstellen zu finden. Der Informationsaustausch vor und während des Purple Teaming vermittelt den Security-Verantwortlichen spezifische Fähigkeiten. Diese basieren auf der Kenntnis der Tools und Techniken, die Angreifer anwenden, sowie auf den möglichen Erwartungen der Cyberkriminellen.

Fazit

Vermehrte Cyberangriffe in den letzten Jahren zeigen, wie wichtig in Unternehmen die IT- und physische Security ist. Um diese zu gewährleisten, sollten regelmäßig auf die Anforderungen des Unternehmens abgestimmte Security Testings durchgeführt werden; eine komplexe Aufgabe, der viele Unternehmen aufgrund mangelnder Ressourcen meist nicht gewachsen sind. An diesem Punkt unterstützen Managed Security Services Provider (MSSP). Sie bieten verschiedene Testverfahren an und garantieren die Verfügbarkeit entsprechender Tools sowie Wissensdatenbanken. Auch der Mangel an erfahrenen IT-Sicherheitsexperten wird durch das gebündelte Know-how eines externen Managed Services-Anbieters kompensiert.

Über den Autor: Fred Tavas ist Country Manager DACH & CEE bei Trustwave.

(ID:47412312)