Täuschend echte Angriffe

Mehr Sicherheit durch „Ethical Hacking“

Immer öfter hört man in der Branche von „freundlichem Hacking“. Dabei handelt es sich um Hacker, die keinerlei kriminelle Absichten hegen, sondern die Unternehmens-IT mit legalen Methoden auf mögliche Sicherheitslücken hin untersuchen.

Verbrecher

Mittels Ethical Hacking können Schwachstellen erkannt werden, bevor Kriminelle diese finden.

„Ethical Hacking“ lautet an dieser Stelle das aktuelle Schlagwort. Doch handelt es sich dabei allein um ein neu kreiertes Buzzword der Sicherheitsbranche oder steckt mehr dahinter? Generell kann eine solche Vorgehensweise für die Anwenderunternehmen den einen oder anderen Vorteil mit sich bringen. So können mittels Ethical Hacking zunächst Schwachstellen erkannt werden, bevor Kriminelle diese finden und ausnutzen. „Darüber hinaus werden im Rahmen eines ‚Vulnerability Assessments‘ Empfehlungen abgegeben, wie die gefundenen Schwachstellen beseitigt werden können“, berichtet Bas de Graaf, Produktmanager bei BT Global Services, über nachfolgende Schritte. In ­diesem Zusammenhang gibt Ralf Benzmüller, Leiter der ­­G Data Security Labs, zu bedenken, dass es für Unternehmen deutlich besser sei, wenn „befreundete“ Hacker, die sich einem Ehrencodex unterworfen haben, die Lücken im Sicherheitskonzept finden. Denn viel schlimmer wäre es, wenn die Angreifer im Auftrag von Konkurrenten oder Spionagediensten die Lücken finden und für ihre schlechten Absichten ausnutzen.

Ähnlich schätzt Dirk Reimers, Bereichsleiter Pen Test & Forensik bei dem Sicherheitsspezialisten ­Secunet in Essen, die Situation ein. Seiner Ansicht nach erweist sich das Vorgehen als extrem praktikabel, auch da als Ergebnis eine Liste nachweisbarer Schwachstellen erarbeitet wird. „Der Kunde erhält diese aufgearbeitet in einer ausführlichen Dokumentation und kann sofort Maßnahmen zur Behebung einleiten“, betont Reimers.

Einfallstore aufspüren

Allerdings gibt es durchaus Systeme, die für einen Hacker-Angriff eher ungeeignet scheinen. So erklärt Ralf Benzmüller, dass Unternehmen in der Regel in vielen Bereichen Standard-Software einsetzen – beispielsweise für Webserver, E-Mail, Datenbanken oder das Customer Relationship Management. Für viele dieser Komponenten gebe es bekannte Sicherheitslücken, die bei einem Angriff mehr oder weniger automatisiert geprüft würden.

Welche Schwachstellen letztlich identifiziert werden, hängt u.a. vom Testszenario, der zur Verfügung stehenden Zeit sowie der Kompetenz der durchführenden Mitarbeiter ab. „Zumindest werden Schwachstellen in Diensten und Anwendungen gefunden, die auf veralteten Versionen und Fehlkonfigurationen beruhen“, so Reimers. In der Königsklasse würden im nächsten Schritt dann Wege aufgezeigt, wie ein unberechtigter Angreifer auf persönliche Daten der Geschäftsführung zugreifen könnte. „Ist das möglich, steigt sofort die Aufmerksamkeit für das Thema IT-Sicherheit im Management“, berichtet Dirk Reimers.

„Freundliche Hacker“ können dabei je nach Zielsetzung und Fähigkeiten des Ausführenden innerhalb der Unternehmensorganisation beliebig viele Bereiche auf potentielle Schwachstellen hin abgeklopfen. „Angefangen von grundlegenden Domänen wie Konfiguration von Systemen über Rechtemanagement und logischen Aufbau der Netzwerke bis hin zur Analyse der eingesetzten Software sowie deren Schnittstellen auf Sicherheitslücken oder Mitarbeitertests durch gängige Social-Engineering-Praktiken ist alles denkbar“, zählt Christian Funk, Leiter des deutschen Forschungs- und Analyseteams bei Kaspersky Lab, auf.
Im konkreten Fall sollte man die Hacker jedoch nicht einfach loslegen lassen.

Vielmehr gilt es, sich zuvor einerseits die möglichen Risiken vor Augen zu führen sowie andererseits vorhandene Compliance-Vorgaben zu beachten. „Die Risiken liegen etwa darin, dass getestete Systeme bei solchen Tests ausfallen bzw. instabil werden können“, betont Manuel Schönthaler, Director Germany bei Sans Institute. Allerdings würden Profis die Risiken sowie deren Eindämmung im Vorfeld mit ihren Auftraggebern besprechen, damit von Beginn an Klarheit über mögliche Restrisiken besteht.

Allerdings findet man vertrauenswürdige externe Spezialisten mit enormem Hacker-Potential nicht unbedingt an jeder Straßenecke. Während in den USA oder in Großbritannien hinsichtlich Ethical Hacking bereits ein großer Pool an Spezialisten zur Verfügung steht, sieht es hierzulande eher mau aus. Zwar gibt es spezialisierte Beratungs- sowie Dienstleistungshäuser und Sicherheitsanbieter, dennoch findet man freundlich gesinnte Hacker selten wie Sand am Meer.

Bei der Auswahl des externen Personals sollten die Verantwortlichen auf vorhandene Zertifizierungen (siehe Infokasten) achten. Gewisse Qualitätsmerkmale sind ebenfalls gefordert. So sollte laut Felix Schallock, Geschäftsführer bei Tibits Consulting sowie Mentor beim Sans Institut folgendes beachten: Transparenz hinsichtlich der Vorgehensweise, Qualifikation der tatsächlich eingesetzten Mitarbeiter sowie Produktunabhängigkeit, d.h. die Dienstleister sollten gleichzeitig keine Sicherheitsprodukte verkaufen. „Ein seriöser Anbieter wird die Ziele der Beauftragung hinterfragen, um das Leistungspaket genau abstimmen zu können und den Verantwortlichen branchenspezifische Fachtermini erläutern, damit keine Missverständnisse entstehen“, ist sich Schallock sicher. Desweiteren erweisen sich folgende Tipps von Bas de Graaf als hilfreich: „Abgesehen von den rein technischen Fähigkeiten muss ein Ethical-Hacking-Consultant in der Lage sein, die identifizierten Schwachstellen und die davon ausgehenden Risiken präzise zu beschreiben und entsprechende Empfehlungen zu geben, wie das Problem behoben werden kann.“ Und Christian Funk ergänzt hierzu, dass „Vertrauen in der Sicherheitsbranche die härteste Währung ist“. Entsprechend sei auch stets auf den Ruf der engagierten Pen-Tester zu achten.

Hinsichtlich der mit Ethical Hacking verbundenen Kosten existiert laut den befragten Experten ein großer Spielraum. „Die Frage lässt sich nicht pauschal beantworten, da die Kosten sehr stark vom Umfang des Prüfauftrags und der notwendigen Vorbereitungszeit abhängen. Manche Tests können aus der Ferne via Netzwerk durchgeführt werden, andere erfordern es, dass der Consultant anreist“, betont Bas de Graaf. Dabei sei ein einfaches Assessment für einen einzelnen Webserver bereits für unter 1.000 Euro zu haben, während eine umfassende Prüfung eines Unternehmensnetzwerks leicht mehrere 10.000 Euro kosten kann.

Eine Einschätzung, die Dirk Reimers von Secunet wie folgt konkretisiert: „Die Kosten für eine Hacking-Aktion bewegen sich zwischen wenigen tausend Euro für einen externen Test eines kleinen IP-Adressbereichs bis hin zu einem unteren sechsstelligen Eurobetrag für die Analyse eines weltweit agierenden Unternehmens.“ Dabei bietet der Sicherheitsanbieter selbst bereits ­Initial-Scans für mittelständische Unternehmen für unter 10.000 Euro an.


Definition „Ethical Hacking“

Ethical Hacking beschreibt im Grunde den genehmigten Testprozess externer Dienstleister mit allen Mitteln, die echte Angreifer ebenfalls für einen Angriff auf das Unternehmen einsetzen würden. Dies bedeutet auch den Einsatz von Exploits, die Schwachstellen ausnutzen, um die Kontrolle über ein System zu erlangen oder erweiterte Rechte auf einem solchen zu bekommen. Diese sind oftmals sehr komplex und können zu unerwünschten Nebenwirkungen wie Instabilität auf einem System führen. Daher sollten die Testmittel mit Bedacht von erfahrenen Personen für ein Szenario abgestimmt oder ein identisches Testsystem aufgesetzt werden, damit der Betrieb nicht beeinträchtigt wird.

Quelle: Christian Funk, Leiter des deutschen Forschungs- und Analyseteams bei Kaspersky Lab


Wo finden Sicherheits­verantwortliche die für ­ihre Zwecke geeigneten Hacker?
- Weiterbildungs- und Zertifizierungsorganisationen wie dem Sans Institut (https://www.sans.org) oder Crest (http://crest-approved.org). Letzteres zertifiziert sowohl ­Einzelpersonen als auch Unternehmen.
- Institutionen wie der Allianz für Cybersicherheit des ­Bundesamts für Sicherheit in der Informationstechnik (www.allianz-fuer-cybersicherheit.de)
- Verzeichnisse wie das der Westfälischen Hochschule (www.internetsicherheit.de), die Hilfesuchenden als ein erster Anlaufpunkt dienen können

Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok