Suchen

Im RAT-Labor Was Risikoanalyse und Penetrationstests leisten

| Autor / Redakteur: Andy Green* / Stephan Augsten

Penetrationstester übernehmen immer öfter die Risikoanalyse. Dieser Beitrag zeigt, wie ein Hacker denkt, und wozu der gute alte Remote-Access-Trojaner (RAT) auch heute noch im Stande ist. Denn bei der Risikoanalyse geht es um weit mehr als Portscans und Signaturüberprüfung.

Firmen zum Thema

Selbst mit vermeitlich veralteten Mitteln ist es möglich, tief ins Firmennetz vorzudringen.
Selbst mit vermeitlich veralteten Mitteln ist es möglich, tief ins Firmennetz vorzudringen.
(Bild: Archiv)

Angriffsszenarien wandeln sich ununterbrochen, das ist nichts Neues. Im Rahmen des Penetration Testings gilt es deshalb nicht nur herauszufinden, welche Schwachstellen es gibt. Inzwischen ermitteln viele Prüfer auch, wie wahrscheinlich es ist, dass die Lücken ausgenutzt werden und welche Folgen das haben kann.

Eine solche Risikoanalyse ist Bestandteil der weitaus meisten Sicherheitsstandards und Vorschriften. Solche Anforderungen finden sich beispielsweise in den weltweit geltenden PCI-Standards (Payment Card Industry Data Security Standard), aber auch in der Datenschutz-Grundverordnung der EU.

Im Prinzip funktioniert eine Risikoanalyse immer nach den gleichen Leitlinien. Man untersucht, wo ein System seine Schwachstellen hat und wie wahrscheinlich es ist, dass sie tatsächlich ausgenutzt werden. Und zusätzlich mit welchen Konsequenzen ein Unternehmen zu rechnen hat, sollte es aufgrund dieser Schwachstellen Opfer einer Datenschutzverletzung werden. Auch das ist Teil des Risikoprofils.

Kalkuliertes Risiko

Die PCI-Standards mit ihrem engen Fokus auf die Kartendaten der internationalen Zahlungssysteme und damit auf personenbezogene Daten sind somit besonders konkret. Sie liefern eine geeignete formelle Definition der einzelnen Kriterien:

„Ein Prozess, bei dem wichtige Systemressourcen und Bedrohungen identifiziert, Verlustrisiken (d. h. das Verlustpotenzial) basierend auf der geschätzten Auftrittshäufigkeit und den Kosten quantifiziert und (optional) Empfehlungen ausgesprochen werden, wie Ressourcen für Gegenmaßnahmen verteilt werden sollten, um das Gesamtrisiko zu minimieren.“

Eine gute methodische Grundlage für eine Risikoanalyse sind Methoden wie sie beispielsweise die CERT-Division mit OCTAVE zur Verfügung stellen und die sich gut auf unterschiedliche Anwendungsfälle übertragen lassen. Grundlegend sind diese drei Schritte:

Digitale Bestände identifizieren: Analysieren Sie zunächst genau, was das geistige Eigentum eines Unternehmens ausmacht und wo diese Daten lagern. Gleiches gilt für personenbezogene Kundendaten, Router, Server, Anwendungen und Software, die essenziell für Geschäftsprozesse sind.

Welche Bedrohungen und Personen gefährden potenzielle digitale Werte? Je nach Branche oder Institution mag man an Regierungen anderer Staaten, kriminelle Cyber-Gangs oder Hacktivisten denken. Alltäglicher Datenklau ist aber nicht selten das Resultat von sogenannten Insider-Aktivitäten durch Mitarbeiter und Führungskräfte.

System auf Schwachstellen und Sicherheitslücken testen, die ausgenutzt werden können: Dazu gehören immer wieder schwache Passwörter, unsichere Webanwendungen, zu locker gefasste BYOD-Richtlinien.

Der letzte Punkt hat es in sich. Auch wenn Unternehmen sich bis vor nicht allzu langer Zeit bei Sicherheitsmaßnahmen auf eine statische Liste von Risikoprüfungen verlassen haben, reicht es längst nicht mehr aus Portscans durchzuführen und Antivirensignaturen zu überprüfen. Angriffsszenarien wandeln sich ununterbrochen, das ist nichts Neues. Deswegen übernehmen inzwischen oft Penetrationstester den Part der Risikoanalyse.

(ID:43804028)