Im RAT-Labor

Was Risikoanalyse und Penetrationstests leisten

| Autor / Redakteur: Andy Green* / Stephan Augsten

Selbst mit vermeitlich veralteten Mitteln ist es möglich, tief ins Firmennetz vorzudringen.
Selbst mit vermeitlich veralteten Mitteln ist es möglich, tief ins Firmennetz vorzudringen. (Bild: Archiv)

Penetrationstester übernehmen immer öfter die Risikoanalyse. Dieser Beitrag zeigt, wie ein Hacker denkt, und wozu der gute alte Remote-Access-Trojaner (RAT) auch heute noch im Stande ist. Denn bei der Risikoanalyse geht es um weit mehr als Portscans und Signaturüberprüfung.

Angriffsszenarien wandeln sich ununterbrochen, das ist nichts Neues. Im Rahmen des Penetration Testings gilt es deshalb nicht nur herauszufinden, welche Schwachstellen es gibt. Inzwischen ermitteln viele Prüfer auch, wie wahrscheinlich es ist, dass die Lücken ausgenutzt werden und welche Folgen das haben kann.

Eine solche Risikoanalyse ist Bestandteil der weitaus meisten Sicherheitsstandards und Vorschriften. Solche Anforderungen finden sich beispielsweise in den weltweit geltenden PCI-Standards (Payment Card Industry Data Security Standard), aber auch in der Datenschutz-Grundverordnung der EU.

Im Prinzip funktioniert eine Risikoanalyse immer nach den gleichen Leitlinien. Man untersucht, wo ein System seine Schwachstellen hat und wie wahrscheinlich es ist, dass sie tatsächlich ausgenutzt werden. Und zusätzlich mit welchen Konsequenzen ein Unternehmen zu rechnen hat, sollte es aufgrund dieser Schwachstellen Opfer einer Datenschutzverletzung werden. Auch das ist Teil des Risikoprofils.

Kalkuliertes Risiko

Die PCI-Standards mit ihrem engen Fokus auf die Kartendaten der internationalen Zahlungssysteme und damit auf personenbezogene Daten sind somit besonders konkret. Sie liefern eine geeignete formelle Definition der einzelnen Kriterien:

„Ein Prozess, bei dem wichtige Systemressourcen und Bedrohungen identifiziert, Verlustrisiken (d. h. das Verlustpotenzial) basierend auf der geschätzten Auftrittshäufigkeit und den Kosten quantifiziert und (optional) Empfehlungen ausgesprochen werden, wie Ressourcen für Gegenmaßnahmen verteilt werden sollten, um das Gesamtrisiko zu minimieren.“

Eine gute methodische Grundlage für eine Risikoanalyse sind Methoden wie sie beispielsweise die CERT-Division mit OCTAVE zur Verfügung stellen und die sich gut auf unterschiedliche Anwendungsfälle übertragen lassen. Grundlegend sind diese drei Schritte:

Digitale Bestände identifizieren: Analysieren Sie zunächst genau, was das geistige Eigentum eines Unternehmens ausmacht und wo diese Daten lagern. Gleiches gilt für personenbezogene Kundendaten, Router, Server, Anwendungen und Software, die essenziell für Geschäftsprozesse sind.

Welche Bedrohungen und Personen gefährden potenzielle digitale Werte? Je nach Branche oder Institution mag man an Regierungen anderer Staaten, kriminelle Cyber-Gangs oder Hacktivisten denken. Alltäglicher Datenklau ist aber nicht selten das Resultat von sogenannten Insider-Aktivitäten durch Mitarbeiter und Führungskräfte.

System auf Schwachstellen und Sicherheitslücken testen, die ausgenutzt werden können: Dazu gehören immer wieder schwache Passwörter, unsichere Webanwendungen, zu locker gefasste BYOD-Richtlinien.

Der letzte Punkt hat es in sich. Auch wenn Unternehmen sich bis vor nicht allzu langer Zeit bei Sicherheitsmaßnahmen auf eine statische Liste von Risikoprüfungen verlassen haben, reicht es längst nicht mehr aus Portscans durchzuführen und Antivirensignaturen zu überprüfen. Angriffsszenarien wandeln sich ununterbrochen, das ist nichts Neues. Deswegen übernehmen inzwischen oft Penetrationstester den Part der Risikoanalyse.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43804028 / Security-Testing)