Penetrationstest

Den Hackern zuvorkommen

Mit einem Penetrationstest können sich Unternehmen gegen Angriffe auf die IT-Infrastruktur wappnen und wertvolle Erkenntnisse über die eigene Abwehrkraft sammeln. Darauf kommt es in der Planung an >>>

Den Hackern zuvorkommen

Kleinste und einzelne Sicherheitslücken können bereits zu immensen Schäden führen.

Mittlerweile bangen zwölf Prozent der kleinen und mittleren Unternehmen um ihre Existenz wegen zunehmender Cyberangriffe auf ihre IT-Systeme. Das meldete die Initiative „Deutschland sicher im Netz“ (DsiN) Anfang Oktober 2020 im Praxisreport Mittelstand 2020. Fast die Hälfte der befragten Unternehmen gab dabei an, in den vergangenen Monaten Cyberangriffe auf ihre IT-Systeme erlebt zu haben. Jüngst geriet der Corona-Test-Entwickler Miltenyi Biotec in die Hacker-Schlagzeilen und ist seitdem im Mittelstand polizeilicher Ermittlungen.

Kleinste und einzelne Sicherheitslücken können bereits zu immensen Schäden führen. Ist beispielsweise auch nur bei nur einem Betriebssystem im Netzwerk eine bekannte Schwachstelle nicht gepatcht, könnte ein Hacker darüber ins Netzwerk eindringen. Das passierte etwa jüngst beim Angriff auf die Universität Düsseldorf, als „Shitrix“ zuschlug. Die Sicherheitslücke in der Citrix-VPN-Software war zwar Monate zuvor geflickt worden, der Schadcode wurde aber bereits vorher eingeschleust und später erst aktiviert. Er lud die Ransomware „DoppelPaymer“ nach, die einige Server verschlüsselte. Den Kriminellen gelang es, mithilfe des Ladeprogramms (Loader) die Ransomware nachzuladen, 30 Server zu verschlüsseln und so die IT lahmzulegen.

Obwohl Cybercrime immer wieder spektakuläre Schlagzeilen macht, sind Unternehmen immer noch nicht gut vorbereitet: Etwa 25 Prozent der Betriebe haben keine Datensicherungen eingerichtet, 35 Prozent haben keine Krisenreaktionspläne in der Schublade, nur etwa jedes fünfte Unternehmen verwendet verschlüsselte E-Mails. Fast noch bedenklicher ist, dass knapp die Hälfte der Unternehmen einer der wichtigsten Schwachstellen in der Organisation noch zu wenig Aufmerksamkeit schenkt: der Unbedarftheit ihrer Mitarbeiter, die längst nicht immer wissen, wie sie sich sicher am Arbeitsplatz im Umgang mit IT-Systemen verhalten und beispielsweise Phishing-E-Mails erkennen.

Drei wesentliche Angriffsmethoden

Genau hier setzen Penetrationstests an: Als beauftragter, autorisierter, geplanter sowie simulierter Cyberangriff zielen sie darauf ab, Schwachstellen in Netzwerken, Anwendungen, Netzdiensten oder Datenbanken zu identifizieren, sodass diese frühzeitig beseitigt werden können. Penetrationstester versuchen, bisher unbekannte Angriffspunkte zu identifizieren sowie bekannte Schwachstellen so auszunutzen, dass sie möglichst weit in die Systeme vordringen können – all das, um Hackern zuvorzukommen, die geistiges Eigentum und andere sensible Daten stehlen oder anderweitigen Schaden anrichten können, etwa durch eine Betriebsunterbrechung.

Zu unterscheiden sind drei wesentliche Angriffsmethoden, die im Rahmen von Penetrationstests zum Einsatz kommen können: Bei einem Angriff über das Netzwerk nutzen Penetrationstester die verwendeten Netzwerkprotokolle, um auf geschützte Netzwerkbereiche und Anwendungen zuzugreifen. Hierbei werden Techniken wie Portscanning, Man-in-the-Middle-Angriffe (Ausspähen von Kommunikation), Code-Injection (Einschleusen von Fremdcode), DoS-Attacken (Denial of Service – Dienste durch Überlastung zum Erliegen bringen) sowie weitere Methoden eingesetzt, um Schwachstellen in Betriebssystemen, Netzwerkprotokollen und Webanwendungen zu entdecken und auszunutzen.

Beim Social Engineering, einer der zentralen Bedrohungen in der IT-Sicherheit, führt der Weg zu sensiblen Daten über die Schwachstelle Mensch, etwa um durch Manipulation von Mitarbeitern oder Verleitung zu Fehlverhalten an Passwörter oder Private Keys für die Entschlüsselung von verschlüsselter Kommunikation via VPN zu gelangen. Beim Phishing etwa erhalten Mitarbeiter eines Unternehmens eine E-Mail, die sie zu einer scheinbar harmlosen Handlung auffordert. Mit solchen E-Mails täuschen Hacker häufig echte Geschäftsvorgänge vor. Darin enthaltene Anhänge oder Links auf gefälschte Webseiten beinhalten in der Regel Schadcode, mit dem Hacker dann die Systeme infiltrieren.

Die dritte Methode wiederum ist der physische Angriff, etwa durch den Einbruch in ein Rechenzentrum. Auch wenn physische Sicherheit in Organisationen ein oft vernachlässigter Aspekt der IT-Sicherheit ist und Social Engineering schonungslos offenlegt, wie hoch das Bewusstsein für Cybersecurity in der Belegschaft wirklich ist: Nicht jede Methode ist überall sinnvoll, ethisch vertretbar oder vom Auftraggeber erwünscht.

  • Der derzeit am häufigsten beauftragten Penetrationstest ist der Angriff über das Netzwerk. In der Regel gliedern sich Penetrationstests in fünf Phasen.
  • In der Vorbereitung werden Testziele, Scope, Prüfmethoden und Geräteeinsatz abgestimmt.
  • Die Informationsbeschaffung beinhaltet die Sichtung relevanter Dokumente, das Google-Hacking, den Netzwerk-Mitschnitt und Portscans
  • In der Analyse & Angriffsauswahl werden geeignete Exploits recherchiert und eine detaillierte Netzwerkanalyse durchgeführt, inkl. Hash Cracking sowie der Abstimmung weiterer Angriffe.
  • Bei den Verifikationstests steht die Ausnutzung der Schwachstellen, die Umgehung von Sicherheitsmaßnahmen und aktives Eindringen im Vordergrund (Man-in-the-Middle-Attacks, Post-Exploitation, etc.)
  • Die Abschlussanalyse beinhaltet die Auswertung und Dokumentation der Ergebnisse, eine Management-Summary und Präsentation für Nicht-Cybersecurity-Experten wie die Geschäftsführung, sie führt alle Schwachstellen und empfiehlt entsprechende Gegenmaßnahmen.

Der eigentliche Penetrationstest beginnt in der Regel mit einem toolbasierten Scan des Netzwerks. Die Hauptangriffspunkte sind Firewalls, Webserver und Remote Access Services (RAS) zur Fernwartung, bei Microsoft etwa das Remote Desktop Protokoll (RDP) sowie Funkverbindungen wie WLAN oder Mobilfunktechnologien.

Bekannte Scan-Tools sind unter anderem Nessus, Metasploit und die Burp Suite. Vor allem Webserver sind aufgrund ihrer zahlreichen Funktionen (E-Mail, FTP, DNS und weitere) und ihrer leichten Erreichbarkeit von außen – IP-Adresse genügt – besonders angreifbar. Dabei kann die Kenntnis der IP-Adresse genügen, um sich Zugang zu verschaffen.

Die ersten Ergebnisse werden untersucht, potenzielle Schwachstellen recherchiert und Angriffsmöglichkeiten beschlossen. Insbesondere bei Tests an Hochsicherheitsnetzen oder Produktionssystemen gilt, hier besondere Vorsicht und Sorgfalt walten zu lassen und sich einen Dienstleister zu suchen, der möglichst viel Erfahrung mit diesen Umgebungen hat. Er sollte Wert legen auf progressives, standard-basiertes und risikoabschätzendes Vorgehen, um Betriebsstörungen in kritischen Bereichen ausschließen. Ziel muss es sein, mit passiven Techniken zu starten, um Informationen über die individuellen Untersuchungsbereiche zu sammeln (Informationsbeschaffung). Danach beginnt das Abtasten mit nicht-intrusiven, aber interaktiven Scans. Mit einem progressiven Verfahren vom aktiven Eindringen bis hin zur Schwachstellen-Ausnutzung (wenn gewünscht) bleibt der Regelbetrieb ungestört und eine länger andauernde oder permanente Schädigung der laufenden Systeme durch die Tests kann ausgeschlossen werden. Die Schwachstellen und Befunde des simulierten Angriffs werden dann in einem Abschlussbericht zusammengefasst – inkl. der Empfehlungen, wie die Sicherheitslücken möglichst schnell und nachhaltig geschlossen werden können.

Kein Penetrationstest ohne schriftlichen Vertrag

Vor der Durchführung sollten Auftraggeber und Dienstleiter einen schriftlichen Vertrag schließen. Darin sind unter anderem Aufgaben, Risken und Grenzen des Penetrationstests definiert. Außerdem sollte der Vertrag die Angriffsmethoden und die Risikoklassifizierung nach den BSI-Empfehlungen oder dem OSSTMM festlegen und welche Bereiche des Netzwerkes ausgeschlossen werden.

Zudem bedarf es einer Regelung, wie in einem Notfall, also bei einer unerwarteten Auswirkung des Tests auf das System, vorzugehen ist. Grundsätzlich sollten Rechtsabteilung und Betriebsrat in die Vorbereitung eines Penetrationstests eingebunden sein. Sollen die Pentester im Rahmen eines Social Engineering beispielsweise auch prüfen, ob die Mitarbeiter gefälschte E-Mails erkennen und eben nicht auf die Anhänge mit Schadcode klicken, sind zuvor immer gesonderte Vereinbarungen zu treffen, um zu gewährleisten, dass der vorgegebene juristische Rahmen gewahrt und keine Arbeitnehmerrechte verletzt werden, wie etwa das „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“, umgangssprachlich auch IT-Grundrecht genannt.

Um die Persönlichkeitsrechte der betroffenen Mitarbeiter zu wahren, sind die Ergebnisse darüber hinaus nur anonymisiert zu dokumentieren. Und wenn die Penetrationstester persönliche Daten einsehen könnten, ist zudem ein Vertrag über die Auftragsdatenverarbeitung zu schließen. Art. 28 Abs. 3 DSGVO schreibt dafür Mindestanforderungen vor. So muss ein Vertrag über die Auftragsdatenverarbeitung genau definieren, aus welchem Grund personenbezogenen Daten verarbeitet werden und wie dies erfolgt. Der Dienstvertrag mit einem Penetrationstester muss außerdem auch eine Geheimhaltungsvereinbarung für die Auftragnehmer enthalten. Zusätzlich sollte geprüft werden, ob der Anbieter bzw. sein Personal über geeignete Zertifizierungen als Sicherheitsdienstleister, z. B. durch das BSI, verfügen. Schließlich kommen die Security Analysts den Kronjuwelen gefährlich nahe – damit genau dass einem kriminellen Hacker anschließend nicht mehr gelingen kann.

Bildquelle:Thinkstock/iStock

*die Autoren sind für die Infodas GmbH tätig

©2021Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok