Penetration Testing und Sicherheitsberatung Schwachstellen beim Netzwerk-Zugriff aufdecken

Autor / Redakteur: Peter Bilicki, MTI Technology / Stephan Augsten

IT-Abteilungen sollen geschäftliche Daten heutzutage etlichen Gerätetypen zugänglich machen und gleichzeitig Sicherheit garantieren. Doch wenn mobile Devices über das Internet auf ein Netzwerk zugreifen, steigt die Komplexität der notwendigen Sicherheitsmaßnahmen. Das Penetration Testing deckt Schwachstellen auf.

Firma zum Thema

Mittels Penetration Testing lassen sich möhliche Schlupflöcher ins Netzwerk aufdecken.
Mittels Penetration Testing lassen sich möhliche Schlupflöcher ins Netzwerk aufdecken.

Nur 35 Prozent der Angriffe auf Firmennetzwerke werden durch die bewährten klassischen Mittel wie Antivirus oder Firewalls abgewehrt – Tendenz fallend! Der Grund dafür ist die Veränderung des Profils der Angreifer in den letzten drei Jahren.

Statt Hacker trifft man aktuell vermehrt auf professionell organisierte kriminelle Organisationen. Die Firmen werden gezielt mit individuell erstellten Tools angegriffen. Gegen diese spezifischen Angriffe bieten die klassischen Lösungen keinen Schutz mehr.

Als ob das nicht genug wäre, stehen CIOs vor einem weiteren Problem: In Security-Projekte werden oft weniger als 10 Prozent des IT-Budgets investiert. Wenn man das mit z.B. Backup-Projekten vergleicht, wird die Diskrepanz sichtbar.

Die Verteilung der IT-Budgets zeigt wie schwer es ist, Security-Projekte intern durchzusetzen – es gibt nur eine Ausnahme: Den Schadensfall. Erst im Nachhinein wird vielen Unternehmen klar, dass es dann schon zu spät ist.

Heutzutage ist es wichtig, Werkzeuge wie Security Consulting und Penetration Testing zu nutzen, um optimale Sicherheit zu gewährleisten. Speziell auf den letzteren Bereich werden wir uns im Folgenden konzentrieren.

Penetration Testing

Ein Firmennetzwerk lässt sich auf verschiedensten Wegen angreifen. Grob kann man zwischen externen und internen Angriffen unterscheiden. Die Angriffe können mit oder ohne Kenntnisse über die Firma und die Netzwerk-Topologie erfolgen. Ein Angreifer, der nur den Namen der Firma kennt und Industriespionage betreibt, wird anders vorgehen als ein Mitarbeiter der Firma, der z.B. eine Erpressung plant.

Um die Sicherheitsqualitäten eines Systems in verschiedenen Fällen zu prüfen wurden mehrere Penetrationstests entwickelt, die unterschiedliche Schwachstellen aufdecken und beheben. MTI setzt auf individuell geplante Tests. Hier wird die „Open Source Security Testing Methodology“ (OSSTM) verfolgt. Eine Voraussetzung dafür ist – neben der Nutzung der Tools – der Einsatz erfahrener Berater.

Im Gegensatz dazu berücksichtigen automatische Tests nicht die Eigenheiten des Kundennetzwerks und können so weder die Qualität noch die Sicherheit eines individuellen Tests garantieren. Die Testmanager sind mit den aktuellsten Datenschutzgesetzen vertraut und können die Programme auf verschiedenste Besonderheiten einstellen.

Vorbereitung und grober Ablauf des Tests

Nach einem ersten Gespräch erfolgt typischerweise ein Pre-Test. Dieser ist notwendig, um den aktuellen Stand der Netzwerksicherheit zu erheben. Daraufhin werden der Typ und der Umfang des Tests festgelegt.

Dabei wird unter anderem besprochen, welche Adressbereiche zu untersuchen sind und wie intensiv die Geräte geprüft werden dürfen. Auf diese Weise lassen sich z.B. Beeinträchtigungen des Betriebes ausschließen. Sind die Ziele und der Umfang des Tests definiert, werden folgende Regeln festgelegt.

  • Wie intensiv darf nach einem erfolgreichen Einbruch weiter getestet werden?
  • Darf ein Denial of Service Test durchgeführt werden?
  • Ist die Penetration der Telefonnetze und RAS-Server erlaubt?
  • Dürfen Trojaner oder Viren eingesetzt werden?
  • Sollen nur bekannte oder auch selbst geschriebene Viren zum Einsatz kommen?
  • Dürfen andere Einstiegspunkte genutzt werden?

Im Anschluss erhält der Kunde ein Angebot mit der Testbeschreibung und den Rahmenbedingungen eines möglichen Arbeitsauftrags. Nach der Durchführung des Tests bekommt der Auftraggeber einen detaillierten Report, auf dessen Basis die Sicherheitslücken benannt und geschlossen werden.

Nach zwei bis vier Wochen erfolgt ein Re-Test. Nur damit lässt sich feststellen, ob tatsächlich alle Empfehlungen aus dem Report umgesetzt wurden und dabei keine Lücken im Sicherheitssystem zurückgeblieben sind.

Um eine optimale Umsetzung der Empfehlungen zu gewährleisten, bietet MTI entsprechende Beratungsleistungen an. Dabei wird bewusst das sogenannte „co-pilot“-Modell verfolgt. Dies ermöglicht es, dass der Kunde die Änderungen des Sicherheitssystems umsetzt und ihm ein Berater zur Seite steht. Nur auf diese Weise kann der Know-How-Transfer erfolgreich von MTI zum Kunden erfolgen.

Testverfahren

Da es nicht nur eine Art von Angriffen auf Firmennetzwerke gibt, sondern diese immer spezieller und typengerechter werden, wurden die Tests auf verschiedenste Szenarien abgeglichen und können in vielfältiger Weise eingesetzt werden. Zunächst lassen sich diese in zwei Gruppen einordnen: Externe und interne Tests.

Der externe Test wird über das Internet, der interne innerhalb des Kundennetzwerks durchgeführt. Bei der Durchführung eines externen Tests werden deutlich weniger IP-Adressen untersucht. Ein interner Test kann daher aufwendiger und kostenintensiver sein. Auch die Schwerpunkte sind andere. Ein Großteil der Firmen ist gegen Angriffe von außen generell besser geschützt als gegen interne Attacken. Man kann hier durchaus von einer Vernachlässigung der internen Sicherheit sprechen.

Viele Unternehmen konzentrieren sich darauf, Firewalls und Antivirus-Lösungen zu installieren, um Angriffe von außen zu verhindern. Dabei werden exzellente Lösungen und Anwendungen implementiert und viel Geld sowie Manpower investiert. Gelingt es dennoch in das Netz einzudringen, sind weiterführende Schutzmaßnahmen für die interne Sicherheit oft nicht ausreichend.

Externer Test

Bei einem externen Test sind die Zielsysteme meistens aus dem DMZ-Bereich der Firma vorgegeben. Optional können die Zielsysteme durch Informationslecks identifiziert werden. Bei diesem optionalen Verfahren werden öffentlich zugängliche Quellen durchsucht. Dazu gehören: Suchmaschinen, Foren, soziale Netzwerke, News Groups, DNS Records, Domain- und IP-Register.

Stehen die Zielsysteme fest, kann der Test beginnen. Die Zielsysteme werden über verschiedene Wege via Internet nach Schwachstellen untersucht. Gelingt der Einbruch in das Firmennetzwerk, werden weitere Tools eingesetzt, um z.B. Passwörter zu entschlüsseln oder Fileshares auszulesen.

Der Einsatz der Tools zur internen Penetration des Netzes erfolgt ausschließlich mit dem Einverständnis des Auftraggebers. Wird in einer beliebigen Phase ein schwerwiegendes Sicherheitsproblem entdeckt, wird der Test sofort unterbrochen, der Kunde informiert und ggf. sofortige Maßnahmen getroffen.

Interner Test

Das Ziel des internen Tests ist die Untersuchung der Angriffsfestigkeit aller Geräte die sich im Firmennetz befinden. Der Report aus dem internen Test beantwortet die Frage, was passieren kann wenn ein Einbruch in die Firewall gelingt.

Im Vergleich zu dem externen wird in einem internen Test ein deutlich größerer Adressbereich untersucht. Es kann sich um tausende IP-Adressen handeln, die geprüft werden. Die Adressen werden in Gruppen eingeteilt und jede Gruppe wird zu einem genau definierten und mit dem Kunden abgestimmten Termin getestet.

Neben den erwähnten Tests sind zusätzlich spezialisierte Verfahren sinnvoll:

  • Web Application Testing: Hier werden 19 verschiedene Eigenschaften untersucht, angefangen bei der Autorisierung über „Buffer-overflow-checks“ bis hin zu „back-door“ und „dubugging options“
  • Citrix Environment Security Assessment
  • Monatlicher Scan nach Payment Cards Industrie (PCI) Standards. Ziel: Erfüllung der PCI-DSS ASV Anforderung
  • Network Device Testing. Ein spezieller Test, der sehr ausführlich die Netzwerkkomponenten wie Router, Firewalls, Switche, etc. untersucht
  • Wireless Scanning. Test der WLAN-Sicherheit
  • Mobile Handset/Smartphone Testing
  • Database Testing
  • Social Networking Attacks

Wirtschaftliche Aspekte für Penetrationstests

Die Gründe für ein Penetration Testing sind vielfältig. Die Entscheidung für das Testen unterliegt allgemeinen Regeln, die man sonst im Bereich Risikomanagement einsetzt. Letztlich muss zwischen den Kosten des Tests, der Wahrscheinlichkeit eines Angriffs und den Kosten eines Schadens abgewogen werden.

Im Falle eines Angriffs ist die Wahrscheinlichkeit, dass Inhouse-Spionage bei einem großen Konzern wie beispielsweise einer Bank betrieben wird, um ein vielfaches größer, als bei einem mittelständischen Handwerksbetrieb. Die typischen Gründe, das Sicherheitssystem einem Test zu unterziehen sind:

  • Einhaltung der Gesetze und Finanz-Bestimmungen
  • Bewahren der Vertraulichkeit der verwalteten Daten und der eigenen Reputation
  • Bestätigung der Einhaltung von „Security Best Practices“ für die vertretene Branche
  • Identifizierung der vermuteten Schwachstellen
  • Entdeckung von menschlichen Fehlern in der Konfiguration
  • Erfüllung der Sorgfaltspflicht oder schlicht, um „ruhig zu schlafen“
  • Firmenübernahmen, wenn zwei unterschiedliche Netzwerke zu einem verschmelzen

Die Gewichtung der Gründe jedoch ist branchenspezifisch. Sie würde für die private Wirtschaft, für Regierungsorganisationen und z.B. Kommunen unterschiedlich ausfallen. Auch die Kosten lassen sich nur schwer abschätzen. Der Grund besteht darin, dass der Kunde selbst vor dem ersten Test nicht so viele Details über das eigene Netz geben kann.

Um hier eine Möglichkeit der Kostenübersicht zu erhalten, hat MTI eine Methodik entwickelt, nach der man sich zunächst auf einen ersten Scan einigt. Auf dessen Basis kann dann eine Einschätzung der Kosten erfolgen, da erste Lücken und somit die Dauer der Bearbeitung beurteilt werden können. Die Abrechnung erfolgt auf Tagesbasis, sie wird genau im schriftlichen Angebot angegeben.

Was Penetration Testing konkret für das Geschäft der einzelnen Unternehmen beitragen kann, ist ebenso schwer zu bewerten wie der Kauf einer Versicherung. Aber nur ein starkes Sicherheitssystem kann vor Eingriffen in das eigene Firmennetzwerk schützen.

Peter Bilicki ist Technical Account Manager bei der MTI Technology GmbH. Für kommenden Montagmittag hat Security-Insider.de ein Interview mit Herrn Bilicki geplant.

(ID:33395940)