:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Die fünf Phasen eines Penetrationstests Mitarbeiter im Visier der Penetrationstester
IT-Landschaften von Unternehmen werden immer komplexer: Viele vertrauliche und businesskritische Daten befinden sich heute in der Cloud. Um ihre Systeme zu prüfen und Sicherheitslücken aufzuspüren, beauftragen Unternehmen in wachsendem Maße Penetration Tester. Doch was müssen Auftraggeber dabei bedenken, wie gehen Tester nach einem Fünf-Phasen-Modell konkret vor und wie sieht ein realer Test aus?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Mindestens 50 Prozent der globalen Wertschöpfung erwachsen laut IDC bis 2021 aus digitalen Prozessen. Der IT-Analyst prognostiziert, dass in drei Jahren 90 Prozent der Unternehmen Multiple Cloud Services nutzen. Für Unternehmen bedeutet die Anbindung an die Cloud Kostenreduzierung und flexible Ressourcenverteilung. Doch sie eröffnet gleichzeitig neue Sicherheitsrisiken. Denn die IT-Sicherheit muss mit den rasanten Entwicklungen Schritt halten, um die sensiblen Informationen von Unternehmen zu schützen. Wenn Kriminelle kritische Daten erbeuten, hat dies fatale Auswirkungen auf die geschäftliche Entwicklung. Denn gelingt ein Angriff, landen die entwendeten Daten von Produkten, Patenten oder Kunden zum Beispiel bei der Konkurrenz, was meist finanzielle Einbußen nach sich zieht. Gelangen sensible Informationen an die Öffentlichkeit, droht neben Bußgeldern ein Reputationsverlust.
Bei kritischen Infrastrukturen (KRITIS) wie etwa Krankenhäusern oder Energieversorgern, hat ein Angriff sogar Konsequenzen für die grundlegende Versorgung der Bevölkerung und das öffentliche Leben. Gerade dieser Bereich ist anfällig für Spionage und Erpressungen durch Kriminelle. So berichtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht zur IT-Sicherheit, dass für KRITIS die Gefährdungslage auf hohem Niveau ist. Energieversorger verzeichnen innerhalb von KRITIS die zweithöchsten Angriffszahlen. IT-Sicherheit ist und bleibt also eins der wichtigsten Themen. Um Schwachstellen in ihrer IT-Landschaft zu ermitteln und somit ihre Daten zu schützen, beauftragen Unternehmen zunehmend Penetration Tester. Da die Unternehmen ihre Cloud-Sicherheit immer weiter verbessern, versuchen Angreifer häufig auf Nebenwegen in die IT-Landschaft einzudringen. Ihnen fehlt oft das tiefe technische Wissen, um die Umgebung direkt zu attackieren. Für die Kriminellen ist es einfacher, Informationen von Menschen zu erhalten. Deshalb nutzen sie hauptsächlich Social-Engineering-Methoden. Diese sind somit ein wesentlicher Bestandteil beim Penetration Test in der Cloud.
:quality(80)/images.vogel.de/vogelonline/bdb/1386100/1386194/original.jpg "Mit korrekt durchgeführten Sicherheitsanalysen können Unternehmen selbst für mehr Sicherheit beim Einsatz ihrer Cloud-Anwendungen sorgen. (BillionPhotos.com - stock.adobe.com)")
Cloud Penetration Testing
Penetrationstests für Cloud-Dienste durchführen
Nicht jedes Test-Vorgehen für Cloud geeignet
Penetration Tests unterscheiden sich in drei grundlegenden Vorgehens-Szenarien. Es gibt den White-, Grey- und den Black-Box-Test. Bei Tests, die Cloud-Systeme mit einbeziehen, führen seriöse Penetration Tester nur White- und Grey-Box-Tests durch: Beim White-Box-Test bekommt der Penetration Tester vorab umfassende Auskünfte über das Unternehmen und seine Systeme, beim Grey-Box-Test nur eingeschränkte, relevante Informationen.
Keinerlei Wissen über das Unternehmen hat der Penetration Tester beim Black-Box-Test. Er kennt hier zu Beginn des Tests nur den Namen. Der Test startet also blind. Durch die fehlenden Informationen zu Netzwerk und Systemen entsteht ein höheres Risiko, einen unbeabsichtigten Schaden zu verursachen. Innerhalb einer Cloud-Umgebung ist die Gefahr groß, möglicherweise ein fremdes System anzugreifen. Wem dieses System gehört – ob Staat oder Unternehmen – ist nicht erkennbar und auch nicht, mit welchen „Waffen“ es zurückschlägt. Der Test würde so im schlechtesten Fall zu einem realen Angriff.
Phase 1: Vorbereitung und rechtliche Absicherung
Das Fünf-Phasen-Modell ist ein Standard für Penetrationstests. Alle Testvorgehen starten in Phase eins mit der Vorbereitung. Hier sprechen Auftraggeber und Penetration Tester klare Ziel ab und definieren den konkreten Testablauf. Diese halten sie in einem detaillierten Vertrag fest. Denn um Sicherheitslücken effektiv aufzudecken, müssen Penetrationstester wie echte Angreifer agieren. Im Kern verstoßen sie damit gegen den Paragrafen 202c StGB. Deswegen müssen sie sich vor einer Strafverfolgung schützen. Nur ein eindeutig formulierter Vertrag zwischen beiden Parteien beweist, dass der Tester im Auftrag des Unternehmens und nicht kriminell handelt. Erst wenn der Penetration Tester diese schriftliche Absicherung hat, beginnt er mit seiner Arbeit — egal ob er ausschließlich On-Premise-Lösungen oder auch zusätzlich in der Cloud testet.
Sobald Unternehmen Penetration Tester beauftragen, ihre gesamte IT-Landschaft inklusive Cloud-Systemen zu überprüfen, folgt eine weitere juristische Hürde. Denn nun müssen nicht nur Tester und Auftraggeber einen Vertrag schließen, sondern der Cloud-Provider kommt als Vertragspartner hinzu. Der Geschäftsvertrag zwischen Unternehmen und Cloud-Anbieter schließt meistens keine Regelung für Penetration Tests mit ein. Daher sind hier immer individuelle Absprachen zu treffen. Die großen Cloud-Anbieter wie Amazon Web Services (AWS) oder Microsoft haben sich bereits auf die Nachfrage nach Penetration Tests in der Cloud eingestellt. So bietet AWS bereits ein Formular zur Anmeldung der Penetration Tests auf der Website an. Dort listet AWS ebenso auf, welche Services für die Tests zulässig oder ausgeschlossen sind. So verbietet AWS derzeit Penetration Tests auf die RDS-Instance-Typen "small". Microsoft erlaubt hingegen bereits die Durchführung von Penetration Tests auf ihren Cloud-Dienst Azure ohne Vorabgenehmigung. Für eine Vorab-Dokumentation bietet Microsoft ein entsprechendes Formular an. Starten Penetration Tests auf Azure-Ressourcen, müssen Tester allerdings die von Microsoft formulierten „Einheitliche Einsatzregeln für Penetrationstests für die Microsoft Cloud“ strikt einhalten. Darüber hinaus schließt Microsoft jegliche Denial-of-Service-Angriffe aus. Die rechtlichen Anforderungen des Cloud-Anbieters einzuhalten, sollte Aufgabe des Penetration Testers sein. Diese müssen ebenfalls im Vertrag zwischen Tester und Unternehmen festgehalten sein. Der Tester informiert dann den Cloud Provider detailliert über das vereinbarte Vorgehen. Er schildert genau, wann und wie er welche Cloud Services angreifen will. Der Cloud-Anbieter muss den Test vorab schriftlich erlauben. In der Regel geben diese dem Penetration Tester auch das Zeitfenster vor, in denen sie die Test-Angriffe erlauben.
In Phase eins des Fünf-Phasen-Models vereinbaren Tester und Unternehmen darüber hinaus Notfallmaßnahmen, falls beim Test-Angriff außerplanmäßige Reaktionen oder Ereignisse auftreten. Erst nach einer umfassenden Zieldefinition und rechtlicher Absicherung zwischen allen beteiligten Parteien, beginnt der Tester, das Unternehmen zu durchleuchten.
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400474/original.jpg "Kali Linux ist vollgestopft mit Hacking-Tools, perfekt für IT-Experten und Pentester. In dem vierteiligen Workshop zeigen wir, welche Möglichkeiten Kali bietet. Mit den Pfeiltasten (← / →) oder den Schaltflächen oben können Sie durch die Sammlung navigieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400475/original.jpg "<p style=\"line-height: 1.5\"><big>Kali Linux Workshop - Teil 1</big><br> <a href=\"https://www.security-insider.de/kali-linux-installieren-und-hacking-lab-aufsetzen-a-705017/\" target=\"_blank\" style=\"color:white\"><big><big><strong>Kali Linux installieren und Hacking-Lab aufsetzen</strong></big></big></a><br> Angehende Sicherheitsexperten, Pentester und IT-Verantwortliche finden in Kali eine umfangreiche Plattform, um digitale Attacken zu planen und durchzuführen. Warum sollte man dies tun? Zum einen um sich mit potentiellen Angriffen auf die eigenen Systeme auseinanderzusetzen und zum zweiten um interne oder externe Schwachstellentests besser zu verstehen. Im ersten Teil dieses Workshops stellen wir Kali genauer vor und erklären, wie sich ein Hacking-Lab aufzusetzen lässt. <a href=\"https://www.security-insider.de/kali-linux-installieren-und-hacking-lab-aufsetzen-a-705017/\" target=\"_blank\">>>> Zum Artikel <<<</a></p>")
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400476/original.jpg "<p style=\"line-height: 1.5\"><big>Kali Linux Workshop - Teil 2</big><br> <a href=\"https://www.security-insider.de/informationen-sammeln-mit-kali-linux-a-706452/\" target=\"_blank\" style=\"color:white\"><big><big><strong>Informationen sammeln mit Kali Linux</strong></big></big></a><br> Kali Linux bietet Sicherheitsexperten, Pentestern und neugierigen Nutzern eine umfangreiche Sammlung an Werkzeugen. Das kann auf den ersten Blick etwas zu viel sein. Unsere Artikelserie stellt sinnvolle Tools vor – im zweiten Teil des Workshops dreht sich alles um das Thema Informationen übers Netzwerk sammeln. <a href=\"https://www.security-insider.de/informationen-sammeln-mit-kali-linux-a-706452/\" target=\"_blank\">>>> Zum Artikel <<<</a></p>")
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400477/original.jpg "<p style=\"line-height: 1.5\"><big>Kali Linux Workshop - Teil 3</big><br> <a href=\"https://www.security-insider.de/schwachstellenanalyse-mit-kali-linux-a-706468/\" target=\"_blank\" style=\"color:white\"><big><big><strong>Schwachstellenanalyse mit Kali Linux</strong></big></big></a><br> Kali Linux eignet sich ideal, um Server auf Schwachstellen zu überprüfen. Die Linux-Distribution bringt alle notwendigen Applikationen mit, um eigene Server auf potentielle Angriffsmöglichkeiten hin zu checken. Im dritten Teil des Workshops stellen wir einige Tools vor, die einfach zu nutzen sind und relevante Informationen liefern. <a href=\"https://www.security-insider.de/schwachstellenanalyse-mit-kali-linux-a-706468/\" target=\"_blank\">>>> Zum Artikel <<<</a></p>")
Phase 2: Informationsbeschaffung
In der zweiten Phase startet die Informationsbeschaffung. Hier ermittelt der Penetration Tester umfangreiches Wissen über das Unternehmen. Kein Test untersucht ausschließlich die Cloud-Services eines Unternehmens. Um Sicherheitslücken verlässlich zu ermitteln, betrachtet der Tester ebenso die Mitarbeiter und die On-Premise-Systeme des Auftraggebers. Der Tester nutzt unterschiedliche Methoden, um an Informationen zu gelangen: Am Anfang steht in der Regel die Informationsbeschaffung via Open Source Intelligence. Dabei gilt es, über Google, Facebook, Xing, Shodan und andere öffentlich zugänglichen Quellen Daten abzuschöpfen – über das Zielunternehmen an sich, Mitarbeiter in besonderen Positionen oder eingesetzte Software sowie Hardware. So ermittelt der Tester zum Beispiel die System-Administratoren des Unternehmens. Solches Wissen bietet Anknüpfungspunkte, um mit Social-Engineering-Verfahren weitere Interna zu erfahren. Penetration Tester nutzen für ihre Tests nicht nur die gleichen Methoden wie Angreifer, sondern auch die identischen Tools. Je realistischer der Test, um so aussagekräftiger das Ergebnis. In der ersten Phase kommen beispielsweise folgende Tools zum Einsatz: Nmap durchleuchtet das gesamte IT-Netzwerk des Unternehmens und schöpft so beispielsweise IP-Adressen ab. TheHarvester sammelt SubDomain-Namen, Mail-Adressen, Virtual Host und offene Ports. Mimikatz nutzen Penetration Tester, um Passwörter auszulesen und Maltego ermittelt die Beziehungen zwischen Menschen, Webseiten und Social-Media-Profilen. Dieser Recherche-Aufwand nimmt über die Hälfte der Testzeit ein.
Phase 3: Schwachstellen analysieren
Die dritte Phase beginnt, wenn der Penetration Tester ausreichend Informationen gesammelt und dokumentiert hat. So entsteht ein Gesamtbild über das Unternehmen — der Tester weiß, welche Systeme und Angestellten vorhanden sind und beginnt nun mit der Schwachstellenanalyse. Mit seinen Erkenntnissen schaut er einerseits auf technische Sicherheitslücken, die meisten dadurch entstehen, dass das Unternehmen veraltete Software nutzt. Andererseits lotet er aus, welche menschlichen Angriffspunkte sich ihm bieten. Ausgehend von dieser umfassenden Analyse, entwickelt er ein Angriffs-Szenario. Dieses richtet sich vor allem danach, wie das vereinbarte Testziel lautet, das Unternehmen und Tester im Vertrag definiert haben.
:quality(80)/images.vogel.de/vogelonline/bdb/1256000/1256024/original.jpg "Welche Möglichkeiten und Tools Kali Linux für Sicherheitsüberprüfungen bietet, zeigen wir in diesem Tool-Tipp und in 90 Sekunden im Video. (cendeced - stock.adobe.com)")
Tool-Tipp: Kali Linux
Mit Kali Pentests durchführen und Sicherheitslücken finden
Phase 4: Der Test-Angriff
Der Penetration Tester setzt sein Szenario in Phase vier in die Tat um. Er nutzt in diesem Schritt sein zusammengetragenes Wissen, um an weitere sensible Daten zu gelangen: Er „ergaunert“ Rechte, setzt sich im System fest und liest die interne Kommunikation mit. Dabei bedient er sich zum Teil selbst geschriebener Scripte und verschiedener Tools. Die Anwendung Gophisch erstellt beispielsweise Phishing-Kampagnen, die durch integriertes Corporate Design Fake-Mails den nötigen seriösen Anstrich geben. Aber auch die Tools aus Phase zwei setzt der Tester hier wieder ein. So deckt er weitere Sicherheitslücken auf und nutzt sie aus. Die abgestimmten Notfallmaßnahmen müssen nun in Phase vier bei Bedarf greifen.
Im Echtfall lassen sich die Phasen nicht immer eindeutig trennen. Denn je weiter der Tester in das System des Unternehmens eindringt (Phase 4), umso mehr Informationsquellen (Phase 2) erschließt er. Daher wiederholen sich die Phasen zur Informationsbeschaffung und dem Eindringen in die Systeme mehrfach, bis der Penetration Tester das vereinbarte Testziel erreicht hat. Dies verdeutlicht ein realer Testverlauf: So ermittelt der Penetration Tester zum Beispiel, dass der IT-Verantwortliche eines Unternehmens im Urlaub ist. Das gelingt ihm, indem er auf dem Instagram-Profil der Tochter gemeinsame Reisefotos entdeckt. Diese Abwesenheit nutzt der Tester aus, um im Namen des IT-Verantwortlichen eine gefälschte Mail an den Empfang des Unternehmens zu senden. Darin fordert er den Kollegen oder die Kollegin auf, einen Ausweis für den Penetration Tester, der sich als Techniker ausgibt, auszustellen. Wegen angeblich zwingender baulicher Maßnahmen im Serverraum, benötige er dringend Zugang zum Unternehmen. Diese Mail genügt und der Penetration Tester gelangt in seiner Verkleidung als Techniker problemlos in den Serverraum des Unternehmens. Dort eingedrungen, hat er direkt Zugriff auf die IT-Infrastruktur. Er installiert zum Beispiel einen Keylogger und beschafft sich damit Passwörter. Im Anschluss startet der Tester mit dem abgeschöpften Wissen den nächsten Angriff, um noch tiefer in die IT-Umgebung einzudringen und weitere Schwachstellen aufzudecken.
Phase fünf: Analyse und Empfehlungen
In der fünften Phase stellt der Penetration alle Ergebnisse zusammen, er bewertet die gefundenen Sicherheitslücken und benennt die potenziellen Risiken. Diese schildert er in einem umfangreichen Abschlussgespräch, in dem er ebenso konkrete Sicherheitsmaßnahmen empfiehlt. Außerdem erstellt der Penetration Tester eine technische Dokumentation sowie eine Zusammenfassung für das Management. Damit ist der Test abgeschlossen. Es liegt dann in der Verantwortung des Unternehmens, die entdeckten Schwachstellen anzugehen und abzusichern. Da sich aber die Systemlandschaften in Unternehmen heutzutage rasant verändern, muss die IT-Sicherheit Schritt halten. Verantwortliche sollten die IT-Landschaft kontinuierlich überprüfen. Je nach Komplexität ist es sinnvoll, alle drei bis sechs Monate einen Penetration Test durchzuführen.
:quality(80)/images.vogel.de/vogelonline/bdb/1416900/1416976/original.jpg "Wer sich erfolgreich gegen Hacker wehren möchte, der sollte IT-Sicherheit von Anfang an einplanen und seine gesamte IT-Landschaft dem Thema unterordnen. (Pixabay)")
Daten- und Kommunikationssicherheit
So arbeiten Hacker und Datendiebe wirklich
Fazit
Unternehmen aber vor allem auch KRITIS schützen ihre IT-Umgebung immer besser – auch die Cloud-Anwendungen sind hochgesichert. Deswegen nutzen Angreifer Nebenkanäle, um Zugriff auf vertrauliche Daten zu erhalten. Oft ist es einfacher, wichtige Informationen und Zugänge über Administratoren, CEOs und Mitarbeiter zu bekommen, als direkt die technische Umgebung anzugreifen.
Über den Autor: Michael Erwin Petry ist IT-Security-Architekt und Lead Penetration Tester bei AirITSystems.
(ID:45857569)
:quality(80)/p7i.vogel.de/wcms/e8/dd/e8dd9cd92a19a52f7c87ed0d08991525/0109794094.jpeg "Die proaktive Arbeit der ethischen Hacker trägt dazu bei, die Sicherheitslage eines Unternehmens zu optimieren. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/c4/e8c407172baa5ec1d481ba19798a1558/0112706442.jpeg "Die Unternehmen der EU, insbesondere die Finanzinstitute, sollen dem Ansturm der Cyber-Bedrohungen Widerstand bieten können - jedenfalls ist das die DORA-Intention. (Bild: Eduardo - stock.adobe.com)")