:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Penetration Testing Schwachstellen im Unternehmen gezielt aufdecken
Jede IT-Umgebung verlangt nach ihren eigenen Sicherheitsmaßnahmen. Ein Penetrationstest kann genau beleuchten, welche Schwachstellen im Unternehmen bestehen. Erst dann sollte man über neue und zielgerichtete Security-Lösungen entscheiden.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
Die Security-Strategie vieler Unternehmen besteht darin, die Sicherheitssysteme kontinuierlich aufzurüsten. Eine Garantie, dass innerhalb der komplexen Strukturen alle Schwachstellen geschlossen werden, gibt es aber nicht. Vor einer Investition sollte man deshalb zunächst die Bedrohungslage analysieren und die Sicherheit der IT-Systeme auf Herz und Nieren prüfen.
Penetrationstest erlauben es, ein echtes Abbild der Gefahrensituation zu erhalten, da sie gezielt nach Anfälligkeiten im Unternehmen suchen. Um Penetrationstests durchzuführen sollten IT-Verantwortliche allerdings genau wissen, welche Testarten und -szenarien möglich sind und wie man solche Tests gut vorbereitet umsetzt.
Die allgemein zunehmende Bedrohung resultiert zu einem großen Teil aus der Vernetzung der gesamten IT. Moderne Unternehmen sind mehr denn je von ihren Daten abhängig und müssen diese ihren Geschäftspartnern, Mitarbeitern oder weltweiten Geschäftsfilialen zur Verfügung stellen.
Die Wichtigkeit der Informationen bei gleichzeitiger Vernetzung ist die Basis für kriminelle Handlungen und Angriffe – übrigens sowohl von außen als auch von innen. Daten sind ein lohnenswertes und lukratives Ziel für Angreifer.
Deren Geschäftsmodell basiert nicht nur auf dem Diebstahl und Verkauf erbeuteter Informationen. Letztere dienen auch als Mittel zu Erpressung und der Forderung von Lösegeld. In vielen Fällen führen derartige Angriffe zu großen wirtschaftlichen Schäden und auch zum Imageverlust.
Spezielle Bedrohungen je nach Branche
Neben der allgemeinen Bedrohungslage stellt sich die Frage der individuellen Bedrohungssituation. Unternehmen sollten sich die Frage stellen, ob sie zu den besonders gefährdeten Branchen gehören könnten. Beispielsweise sind Organisationen, die mit Kreditkartendaten von Personen arbeiten, ein besonders beliebtes Ziel. Daher müssen sie beispielsweise Sicherheitsstandards wie PCI DSS einhalten.
Das häufig und insbesondere im Mittelstand zitierte Argument, man sei kein lohnendes Ziel für Cyber-Kriminelle, ist ein echtes Problem. Jedes Unternehmen ist interessant für Kriminelle und es kann jeden treffen, ganz gleich ob groß oder klein, bekannt oder unbekannt, national oder international.
Die Angreifer wenden zunehmend ausgeklügelte Strategien an, vorhandene Sicherheitssysteme zu umgehen. Angriffe laufen häufig nach dem gleichen Muster ab: die Kriminellen versuchen Schwachstellen zu erkennen und diese auszunutzen. Angriffspunkte sind meist Webserver oder auch Dienste wie CMS/Datenbanken.
Typische Möglichkeiten, um in ein existierendes System einzudringen, sind schwache Passwörter, schlecht gepatchte oder veraltete Systeme oder Angriffsszenarien wie Client Side Exploitation. Ein weiterer, häufig auftretender Schwachpunkt sind aktive Dienste, die für den eigentlichen Betrieb selten notwendig sind. Als Beispiele seien ungenutzte, teilweise längst vergessene FTP-Zugänge oder frei zugängliche administrative Oberflächen für Firewalls, Router oder Webserver genannt.
Ziele eines Penetrationstests
Aufgrund der Komplexität und der permanenten Veränderung ist es für den einzelnen Administrator schwer, alle potenziellen Schwachstellen zu finden und durch geeignete Maßnahmen die Sicherheit des Gesamtsystems zu gewährleisten. Penetrationstests hingegen untersuchen Systeme gezielt auf alte und neue Schwachstellen und deren Auswirkung auf die gesamte IT-Infrastruktur.
Penetrationstests sollten falls möglich in regelmäßigen Abständen durchgeführt werden, um die Aktualität der eingesetzten Systeme zu prüfen. Zusätzliche Tests empfehlen sich nach größeren Änderungen innerhalb der IT-Infrastruktur. Dazu zählen beispielsweise die Einführung neuer Infrastrukturkomponenten oder neuer Webportale. Als Ergebnis des Tests erhält der Auftraggeber einen detaillierten Bericht über entdeckte Schwachstellen und Empfehlungen für deren Beseitigung.
Unterschiedliche Arten von Penetrationstests
Grundsätzlich ist ein Penetrationstest eine Sicherheitsüberprüfung von IT-Systemen. Dabei geht es jedoch nicht nur um einen Test der Firewalls oder Webserver. Interne Strukturen, wie das WLAN oder die Sicherheit von mobilen Arbeitsgeräten, können ebenso im Fokus eines Penetrationstests stehen. Am häufigsten werden allerdings extern erreichbare Systeme auf deren Anfälligkeit geprüft. Aufgrund der stetigen Anbindung an das Internet ist an dieser Stelle die Angriffswahrscheinlichkeit am höchsten.
Es existieren zwei grundlegende Arten von Penetrationstests:
1. White-Box-Test
Bei White-Box-Tests werden dem Tester alle wichtigen Informationen über die Art der eingesetzten Systeme vorab bekannt gegeben. Der Test kann damit gezielt die bekannten Schwachstellen der jeweiligen Systeme auf deren Auswirkung hin untersuchen.
2. Black-Box-Test
Bei einem Black-Box-Test werden die Informationen dem Tester nicht bekannt gegeben, was dem klassischen Szenario für einen Angriff von außen entspricht. Diese Testvariante beginnt zunächst mit der Informationsbeschaffung. Frei zugängliche Quellen, wie DNS-Datenbanken, Internetforen oder Social Media-Seiten, werden auf verwertbare Informationen durchsucht.
Der Tester nimmt die Rolle eines Hackers ein, der sich Informationen mithilfe von Scanning-Tools beschafft, um möglichst viele Details über Versionen und Patchlevels der eingesetzten Betriebssysteme, Applikationen und Dienste zu erhalten. Diese Informationen sind wichtig, um die potenziell erfolgreichen Angriffsszenarien zu ermitteln.
Automatisiert oder manuell?
Weiterhin unterscheidet man zwischen automatisierten oder manuell durchgeführten Penetrationstests. In vielen Fällen werden beide Varianten eingesetzt, da automatisierte Tools bestimmte Schwachstellen nicht zuverlässig erkennen. Darüber hinaus muss im Vorfeld die Aggressivität des Tests, dessen Intensität und Breite festgelegt werden.
Ein Penetrationstest muss nicht zwangsläufig in einen simulierten Angriff auf die Systeme münden. Oftmals genügt für eine Bewertung des Sicherheitsniveaus eine ausführliche Schwachstellenanalyse. Im Gegensatz zu passiven Tests werden mit steigender Aggressivität die Zielsysteme direkt attackiert, um Schwachstellen gezielt auszunutzen.
Gute Planung ist die halbe Miete
Penetrationstests müssen im Vorfeld gut geplant sein, denn sie können neben den Testresultaten eine Reihe von zusätzlichen Konsequenzen nach sich ziehen. Unbedingt sollte dabei die Gesetzeslage beachtet werden. Grundsätzlich sind in Deutschland Penetrationstests zur Sicherheitsüberprüfung erlaubt.
Vom Auftraggeber ist jedoch sicherzustellen, dass sich die zu testenden Systeme und Daten in seinem Eigentum befinden. Dritte, deren Systeme und Informationen betroffen sein könnten, müssen dem Test vorab zustimmen.
Das Unternehmen muss sich auch darüber im Klaren sein, dass der Tester möglicherweise Zugang zu vertraulichen Daten erlangt. Hierzu gehören Administrator-Passworte, die während des Tests ermittelt werden. Daher ist zwingend eine verbindliche Absprache über den Umgang mit sensiblen Daten und Informationen zwischen den IT-Verantwortlichen und IT-Dienstleistern notwendig.
Darüber hinaus ist es besonders wichtig, dass die Testresultate entweder verschlüsselt oder nicht per Internet an das Unternehmen kommuniziert werden. Die Ergebnisse enthalten in den meisten Fällen hochsensible Informationen, die keinesfalls in fremde Hände gelangen dürfen.
Bei der Auswahl des Dienstleisters, der den Penetrationstest ausführen soll, ist selbstverständlich Vorsicht geboten. Da ein Unternehmen unter Umständen seine Sicherheitsstrategie und seine Schwachstellen offenlegt, sind an dieser Stelle großes Vertrauen, viel Erfahrung und klare vertragliche Absprachen gefordert.
Zudem existieren keine verbindlichen, weltweit standardisierten Verfahren für Penetrationstests. Jedoch gibt es anerkannte Abläufe, Handlungsempfehlungen und Best Practices, wie sie zum Beispiel durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder durch das Open Source Security Testing Methodology Manual (OSSTMM) festgelegt sind.
Fazit
Penetrationstests bieten sehr gute Möglichkeiten, das Sicherheitsniveau eines IT-Systems zu beurteilen. Regelmäßig ausgeführt lassen sich Schwachstellen frühzeitig erkennen und deren Ausnutzung durch Angreifer verhindern. Eine beständige Durchführung ermöglicht darüber hinaus auch die stetige Weiterentwicklung der Sicherheit der IT-Systeme. Die Ergebnisse zeigen genau auf, ob und wo die derzeitige Sicherheitsstrategie Lücken hat und führen somit zu einer gezielten und berechenbaren Investition in die Sicherheit des Unternehmens vor Angriffen von außen als auch von innen.
* Matthias Schütte ist Account Manager Security bei MTI Technology.
(ID:43201830)
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/dd/e8dd9cd92a19a52f7c87ed0d08991525/0109794094.jpeg "Die proaktive Arbeit der ethischen Hacker trägt dazu bei, die Sicherheitslage eines Unternehmens zu optimieren. (Bild: Kittiphat - stock.adobe.com)")