Die fünf Phasen eines Penetrationstests

Mitarbeiter im Visier der Penetrationstester

| Autor / Redakteur: Michael Erwin Petry / Peter Schmitz

Angreifer nutzen zunehmend öffentlich zugängliche Quellen um Zugriff auf vertrauliche Daten zu erhalten. Penetration-Tester müssen das bei ihren Tests berücksichtigen.
Angreifer nutzen zunehmend öffentlich zugängliche Quellen um Zugriff auf vertrauliche Daten zu erhalten. Penetration-Tester müssen das bei ihren Tests berücksichtigen. (Bild: gemeinfrei)

IT-Landschaften von Unternehmen werden immer komplexer: Viele vertrauliche und businesskritische Daten befinden sich heute in der Cloud. Um ihre Systeme zu prüfen und Sicherheitslücken aufzuspüren, beauftragen Unternehmen in wachsendem Maße Penetration Tester. Doch was müssen Auftraggeber dabei bedenken, wie gehen Tester nach einem Fünf-Phasen-Modell konkret vor und wie sieht ein realer Test aus?

Mindestens 50 Prozent der globalen Wertschöpfung erwachsen laut IDC bis 2021 aus digitalen Prozessen. Der IT-Analyst prognostiziert, dass in drei Jahren 90 Prozent der Unternehmen Multiple Cloud Services nutzen. Für Unternehmen bedeutet die Anbindung an die Cloud Kostenreduzierung und flexible Ressourcenverteilung. Doch sie eröffnet gleichzeitig neue Sicherheitsrisiken. Denn die IT-Sicherheit muss mit den rasanten Entwicklungen Schritt halten, um die sensiblen Informationen von Unternehmen zu schützen. Wenn Kriminelle kritische Daten erbeuten, hat dies fatale Auswirkungen auf die geschäftliche Entwicklung. Denn gelingt ein Angriff, landen die entwendeten Daten von Produkten, Patenten oder Kunden zum Beispiel bei der Konkurrenz, was meist finanzielle Einbußen nach sich zieht. Gelangen sensible Informationen an die Öffentlichkeit, droht neben Bußgeldern ein Reputationsverlust.

Bei kritischen Infrastrukturen (KRITIS) wie etwa Krankenhäusern oder Energieversorgern, hat ein Angriff sogar Konsequenzen für die grundlegende Versorgung der Bevölkerung und das öffentliche Leben. Gerade dieser Bereich ist anfällig für Spionage und Erpressungen durch Kriminelle. So berichtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht zur IT-Sicherheit, dass für KRITIS die Gefährdungslage auf hohem Niveau ist. Energieversorger verzeichnen innerhalb von KRITIS die zweithöchsten Angriffszahlen. IT-Sicherheit ist und bleibt also eins der wichtigsten Themen. Um Schwachstellen in ihrer IT-Landschaft zu ermitteln und somit ihre Daten zu schützen, beauftragen Unternehmen zunehmend Penetration Tester. Da die Unternehmen ihre Cloud-Sicherheit immer weiter verbessern, versuchen Angreifer häufig auf Nebenwegen in die IT-Landschaft einzudringen. Ihnen fehlt oft das tiefe technische Wissen, um die Umgebung direkt zu attackieren. Für die Kriminellen ist es einfacher, Informationen von Menschen zu erhalten. Deshalb nutzen sie hauptsächlich Social-Engineering-Methoden. Diese sind somit ein wesentlicher Bestandteil beim Penetration Test in der Cloud.

Penetrationstests für Cloud-Dienste durchführen

Cloud Penetration Testing

Penetrationstests für Cloud-Dienste durchführen

02.05.18 - Unternehmen, die Cloud-Dienste nutzen, sollten auch selbst sicherstellen, dass diese Dienste möglichst sicher sind. Penetrationstests, die Sicherheitslücken schnell entdecken, sind dafür ein probates Mittel. Auch beim Einsatz von Open-Source-Cloud-Lösungen ist es durchaus sinnvoll, mit Pentests für mehr Sicherheit zu sorgen. lesen

Nicht jedes Test-Vorgehen für Cloud geeignet

Penetration Tests unterscheiden sich in drei grundlegenden Vorgehens-Szenarien. Es gibt den White-, Grey- und den Black-Box-Test. Bei Tests, die Cloud-Systeme mit einbeziehen, führen seriöse Penetration Tester nur White- und Grey-Box-Tests durch: Beim White-Box-Test bekommt der Penetration Tester vorab umfassende Auskünfte über das Unternehmen und seine Systeme, beim Grey-Box-Test nur eingeschränkte, relevante Informationen.

Keinerlei Wissen über das Unternehmen hat der Penetration Tester beim Black-Box-Test. Er kennt hier zu Beginn des Tests nur den Namen. Der Test startet also blind. Durch die fehlenden Informationen zu Netzwerk und Systemen entsteht ein höheres Risiko, einen unbeabsichtigten Schaden zu verursachen. Innerhalb einer Cloud-Umgebung ist die Gefahr groß, möglicherweise ein fremdes System anzugreifen. Wem dieses System gehört – ob Staat oder Unternehmen – ist nicht erkennbar und auch nicht, mit welchen „Waffen“ es zurückschlägt. Der Test würde so im schlechtesten Fall zu einem realen Angriff.

Phase 1: Vorbereitung und rechtliche Absicherung

Das Fünf-Phasen-Modell ist ein Standard für Penetrationstests. Alle Testvorgehen starten in Phase eins mit der Vorbereitung. Hier sprechen Auftraggeber und Penetration Tester klare Ziel ab und definieren den konkreten Testablauf. Diese halten sie in einem detaillierten Vertrag fest. Denn um Sicherheitslücken effektiv aufzudecken, müssen Penetrationstester wie echte Angreifer agieren. Im Kern verstoßen sie damit gegen den Paragrafen 202c StGB. Deswegen müssen sie sich vor einer Strafverfolgung schützen. Nur ein eindeutig formulierter Vertrag zwischen beiden Parteien beweist, dass der Tester im Auftrag des Unternehmens und nicht kriminell handelt. Erst wenn der Penetration Tester diese schriftliche Absicherung hat, beginnt er mit seiner Arbeit — egal ob er ausschließlich On-Premise-Lösungen oder auch zusätzlich in der Cloud testet.

Sobald Unternehmen Penetration Tester beauftragen, ihre gesamte IT-Landschaft inklusive Cloud-Systemen zu überprüfen, folgt eine weitere juristische Hürde. Denn nun müssen nicht nur Tester und Auftraggeber einen Vertrag schließen, sondern der Cloud-Provider kommt als Vertragspartner hinzu. Der Geschäftsvertrag zwischen Unternehmen und Cloud-Anbieter schließt meistens keine Regelung für Penetration Tests mit ein. Daher sind hier immer individuelle Absprachen zu treffen. Die großen Cloud-Anbieter wie Amazon Web Services (AWS) oder Microsoft haben sich bereits auf die Nachfrage nach Penetration Tests in der Cloud eingestellt. So bietet AWS bereits ein Formular zur Anmeldung der Penetration Tests auf der Website an. Dort listet AWS ebenso auf, welche Services für die Tests zulässig oder ausgeschlossen sind. So verbietet AWS derzeit Penetration Tests auf die RDS-Instance-Typen "small". Microsoft erlaubt hingegen bereits die Durchführung von Penetration Tests auf ihren Cloud-Dienst Azure ohne Vorabgenehmigung. Für eine Vorab-Dokumentation bietet Microsoft ein entsprechendes Formular an. Starten Penetration Tests auf Azure-Ressourcen, müssen Tester allerdings die von Microsoft formulierten „Einheitliche Einsatzregeln für Penetrationstests für die Microsoft Cloud“ strikt einhalten. Darüber hinaus schließt Microsoft jegliche Denial-of-Service-Angriffe aus. Die rechtlichen Anforderungen des Cloud-Anbieters einzuhalten, sollte Aufgabe des Penetration Testers sein. Diese müssen ebenfalls im Vertrag zwischen Tester und Unternehmen festgehalten sein. Der Tester informiert dann den Cloud Provider detailliert über das vereinbarte Vorgehen. Er schildert genau, wann und wie er welche Cloud Services angreifen will. Der Cloud-Anbieter muss den Test vorab schriftlich erlauben. In der Regel geben diese dem Penetration Tester auch das Zeitfenster vor, in denen sie die Test-Angriffe erlauben.

In Phase eins des Fünf-Phasen-Models vereinbaren Tester und Unternehmen darüber hinaus Notfallmaßnahmen, falls beim Test-Angriff außerplanmäßige Reaktionen oder Ereignisse auftreten. Erst nach einer umfassenden Zieldefinition und rechtlicher Absicherung zwischen allen beteiligten Parteien, beginnt der Tester, das Unternehmen zu durchleuchten.

Phase 2: Informationsbeschaffung

In der zweiten Phase startet die Informationsbeschaffung. Hier ermittelt der Penetration Tester umfangreiches Wissen über das Unternehmen. Kein Test untersucht ausschließlich die Cloud-Services eines Unternehmens. Um Sicherheitslücken verlässlich zu ermitteln, betrachtet der Tester ebenso die Mitarbeiter und die On-Premise-Systeme des Auftraggebers. Der Tester nutzt unterschiedliche Methoden, um an Informationen zu gelangen: Am Anfang steht in der Regel die Informationsbeschaffung via Open Source Intelligence. Dabei gilt es, über Google, Facebook, Xing, Shodan und andere öffentlich zugänglichen Quellen Daten abzuschöpfen – über das Zielunternehmen an sich, Mitarbeiter in besonderen Positionen oder eingesetzte Software sowie Hardware. So ermittelt der Tester zum Beispiel die System-Administratoren des Unternehmens. Solches Wissen bietet Anknüpfungspunkte, um mit Social-Engineering-Verfahren weitere Interna zu erfahren. Penetration Tester nutzen für ihre Tests nicht nur die gleichen Methoden wie Angreifer, sondern auch die identischen Tools. Je realistischer der Test, um so aussagekräftiger das Ergebnis. In der ersten Phase kommen beispielsweise folgende Tools zum Einsatz: Nmap durchleuchtet das gesamte IT-Netzwerk des Unternehmens und schöpft so beispielsweise IP-Adressen ab. TheHarvester sammelt SubDomain-Namen, Mail-Adressen, Virtual Host und offene Ports. Mimikatz nutzen Penetration Tester, um Passwörter auszulesen und Maltego ermittelt die Beziehungen zwischen Menschen, Webseiten und Social-Media-Profilen. Dieser Recherche-Aufwand nimmt über die Hälfte der Testzeit ein.

Phase 3: Schwachstellen analysieren

Die dritte Phase beginnt, wenn der Penetration Tester ausreichend Informationen gesammelt und dokumentiert hat. So entsteht ein Gesamtbild über das Unternehmen — der Tester weiß, welche Systeme und Angestellten vorhanden sind und beginnt nun mit der Schwachstellenanalyse. Mit seinen Erkenntnissen schaut er einerseits auf technische Sicherheitslücken, die meisten dadurch entstehen, dass das Unternehmen veraltete Software nutzt. Andererseits lotet er aus, welche menschlichen Angriffspunkte sich ihm bieten. Ausgehend von dieser umfassenden Analyse, entwickelt er ein Angriffs-Szenario. Dieses richtet sich vor allem danach, wie das vereinbarte Testziel lautet, das Unternehmen und Tester im Vertrag definiert haben.

Mit Kali Pentests durchführen und Sicherheitslücken finden

Tool-Tipp: Kali Linux

Mit Kali Pentests durchführen und Sicherheitslücken finden

18.07.17 - Kali gehört zu den bekanntesten Linux-Distributionen für Sicherheit im Netzwerk. Zur Kali Linux Live-DVD gehören zahlreiche Sicherheitstools, mit denen sich Penetrationstests und Netzwerkanalysen durchführen und Sicherheitslücken finden lassen. So können Admins lokale Systeme und Netzwerke optimal absichern. lesen

Phase 4: Der Test-Angriff

Der Penetration Tester setzt sein Szenario in Phase vier in die Tat um. Er nutzt in diesem Schritt sein zusammengetragenes Wissen, um an weitere sensible Daten zu gelangen: Er „ergaunert“ Rechte, setzt sich im System fest und liest die interne Kommunikation mit. Dabei bedient er sich zum Teil selbst geschriebener Scripte und verschiedener Tools. Die Anwendung Gophisch erstellt beispielsweise Phishing-Kampagnen, die durch integriertes Corporate Design Fake-Mails den nötigen seriösen Anstrich geben. Aber auch die Tools aus Phase zwei setzt der Tester hier wieder ein. So deckt er weitere Sicherheitslücken auf und nutzt sie aus. Die abgestimmten Notfallmaßnahmen müssen nun in Phase vier bei Bedarf greifen.

Im Echtfall lassen sich die Phasen nicht immer eindeutig trennen. Denn je weiter der Tester in das System des Unternehmens eindringt (Phase 4), umso mehr Informationsquellen (Phase 2) erschließt er. Daher wiederholen sich die Phasen zur Informationsbeschaffung und dem Eindringen in die Systeme mehrfach, bis der Penetration Tester das vereinbarte Testziel erreicht hat. Dies verdeutlicht ein realer Testverlauf: So ermittelt der Penetration Tester zum Beispiel, dass der IT-Verantwortliche eines Unternehmens im Urlaub ist. Das gelingt ihm, indem er auf dem Instagram-Profil der Tochter gemeinsame Reisefotos entdeckt. Diese Abwesenheit nutzt der Tester aus, um im Namen des IT-Verantwortlichen eine gefälschte Mail an den Empfang des Unternehmens zu senden. Darin fordert er den Kollegen oder die Kollegin auf, einen Ausweis für den Penetration Tester, der sich als Techniker ausgibt, auszustellen. Wegen angeblich zwingender baulicher Maßnahmen im Serverraum, benötige er dringend Zugang zum Unternehmen. Diese Mail genügt und der Penetration Tester gelangt in seiner Verkleidung als Techniker problemlos in den Serverraum des Unternehmens. Dort eingedrungen, hat er direkt Zugriff auf die IT-Infrastruktur. Er installiert zum Beispiel einen Keylogger und beschafft sich damit Passwörter. Im Anschluss startet der Tester mit dem abgeschöpften Wissen den nächsten Angriff, um noch tiefer in die IT-Umgebung einzudringen und weitere Schwachstellen aufzudecken.

Phase fünf: Analyse und Empfehlungen

In der fünften Phase stellt der Penetration alle Ergebnisse zusammen, er bewertet die gefundenen Sicherheitslücken und benennt die potenziellen Risiken. Diese schildert er in einem umfangreichen Abschlussgespräch, in dem er ebenso konkrete Sicherheitsmaßnahmen empfiehlt. Außerdem erstellt der Penetration Tester eine technische Dokumentation sowie eine Zusammenfassung für das Management. Damit ist der Test abgeschlossen. Es liegt dann in der Verantwortung des Unternehmens, die entdeckten Schwachstellen anzugehen und abzusichern. Da sich aber die Systemlandschaften in Unternehmen heutzutage rasant verändern, muss die IT-Sicherheit Schritt halten. Verantwortliche sollten die IT-Landschaft kontinuierlich überprüfen. Je nach Komplexität ist es sinnvoll, alle drei bis sechs Monate einen Penetration Test durchzuführen.

So arbeiten Hacker und Datendiebe wirklich

Daten- und Kommunikationssicherheit

So arbeiten Hacker und Datendiebe wirklich

09.07.18 - IT-Sicherheit ist mitten unter uns. Wer diese Aussage für eine bloße Plattitüde hält, der sollte sich kurz die Zeit nehmen, das Vorgehen eines Hackers an einem konkreten Beispiel zu beobachten. Ein ehemaliger Berufs-Hacker zeigt, wie schnell Cyber­kriminelle oft erfolgreich sind, auch bei Unternehmen die glauben geschützt zu sein. lesen

Fazit

Unternehmen aber vor allem auch KRITIS schützen ihre IT-Umgebung immer besser – auch die Cloud-Anwendungen sind hochgesichert. Deswegen nutzen Angreifer Nebenkanäle, um Zugriff auf vertrauliche Daten zu erhalten. Oft ist es einfacher, wichtige Informationen und Zugänge über Administratoren, CEOs und Mitarbeiter zu bekommen, als direkt die technische Umgebung anzugreifen.

Über den Autor: Michael Erwin Petry ist IT-Security-Architekt und Lead Penetration Tester bei AirITSystems.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45857569 / Security-Testing)