Schwachstellen in der IT-Sicherheit

Riskante Penetrationstests

Interview mit Manuel Schönthaler, Director Germany bei Sans Institute, sowie Felix Schallock, Geschäftsführer bei Tibits Consulting sowie Mentor beim Sans Institut, darüber, welche Risiken mit Penetrationstests verbunden sein können

  • Manuel Schönthaler, Sans Institute

    Manuel Schönthaler, Director Germany bei Sans Institute

  • Felix Schallock, Tibits Consulting

    Felix Schallock, Geschäftsführer bei Tibits Consulting

IT-DIRECTOR: Herr Schallock, insbesondere Großunternehmen und Konzerne engagieren professionelle Hacker, um mittels Sicherheits- und Penetrationstests potentielle Schwachstellen in der Unternehmens-IT aufzuspüren. Wie praktikabel ist diese Vorgehensweise in Ihren Augen?
F. Schallock:
Es ist ein effizienter Ansatz, da ich mir zeitweise zusätzliche Expertise hole, ohne ein eigenes internes Red Team unterhalten zu müssen. Ein guter Penetrationstest zeigt mir aktuelle potentielle und tatsächliche Schwachstellen auf und geht darüber hinaus. Ein Profi nutzt das Identifizieren und Ausnutzen von Schwachstellen zur Darstellung der Auswirkung auf die Geschäftstätigkeit und identifiziert, wo das grundlegende Problem liegt. Zusätzlich wird aufgezeigt, wieso die Schwachstelle(n) überhaupt ausgenutzt werden konnte(n), und wie dies in Zukunft erschwert werden kann. Hierdurch erreicht eine Organisation auch einen langfristigen Nutzen.

IT-DIRECTOR: Welche Schwachstellen können hiermit in der Regel aufgespürt werden?
F. Schallock:
Je nach vereinbartem Umfang und Kenntnissen der Durchführenden können Schwachstellen im technischen Bereich (Programmierung, Applikations-, Betriebssystem- und Firewall-Konfiguration, Netzwerkarchitektur), Prozessen und Mitarbeiterverhalten aufgespürt werden.

IT-DIRECTOR: Herr Schönthaler, welche Vorteile kann man sich vom sogenannten „ethischen Hacking“ versprechen? Welche Gefahren bzw. Risiken sind mit solchen Verfahren verbunden?
Manuel Schönthaler:
Risiken bestehen darin, dass getestete Systeme bei solchen Tests ausfallen/instabil werden können. Profis werden die Risiken und mögliche Maßnahmen zu deren Reduktion aber mit ihren Auftraggebern vorab besprechen, damit von Beginn an Klarheit über mögliche Restrisiken besteht.

F. Schallock: Genau. Ein Ausfall findet hierbei jedoch in einer kontrollierten Situation statt, ein echter Angreifer wird ja sein Opfer bei einem realen Angriff darüber nie informieren. Vorteile sind deshalb u.a., dass hier Tests kontrolliert stattfinden, wobei Unternehmen zusätzliche externe Expertise nutzen können, um die Perspektive von Angreifern kennenzulernen. So bekommen sie die Ursachen von möglichen Schwachstellen identifiziert und erhalten dabei Empfehlungen zur konkreten Umsetzung von Verbesserungsmaßnahmen, um somit eventuelle Risiken bewusst behandeln zu können.

IT-DIRECTOR: Wo finden Sicherheitsverantwortliche die für ihre Zwecke geeigneten Hacker? Und wie können sie sicherstellen, dass sie nicht an den Falschen geraten?
M. Schönthaler:
Hier unterscheidet sich diese Branche kaum von anderen. Bestes Mittel sind immer noch Empfehlungen von vertrauenswürdigen Bekannten aus anderen Unternehmen oder Arbeitskreisen, die bereits positive Erfahrungen mit ihren Dienstleistern gemacht haben. Darüber hinaus kann man Anbieter auch bei zahlreichen IT-Sicherheitskonferenzen kennenlernen, da diese solche Gelegenheiten gerne für Vorträge und Workshops zu aktuellen Themen nutzen. Dies wird etwa auch von Weiterbildungs- und Zertifizierungsorganisationen wie dem Sans Institut oder Institutionen wie der Allianz für Cybersicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI) angeboten. Weiterhin gibt es aber auch Verzeichnisse wie z.B. das der Westfälischen Hochschule (www.internetsicherheit.de), die Hilfesuchenden als erster Anlaufpunkt dienen können.

IT-DIRECTOR: Auf welche „Qualitäten“ sollte man bei der Auswahl der Hacker besonders achten? Inwiefern gibt es in diesem Zusammenhang bereits Zertifizierungen, auf die man achten sollte? Wie sehen „Hacker-Referenzen“ für gewöhnlich aus?
F. Schallock:
Hier kann es viele auf den Einzelfall ankommende Kriterien geben. Übergreifend sind sicherlich die Folgenden: Transparenz hinsichtlich der Vorgehensweise, Qualifikation der tatsächlich eingesetzten Mitarbeiter, Produktunabhängigkeit, d.h. der Dienstleister sollte nicht auch gleichzeitig Sicherheitsprodukte verkaufen, da sonst ein Interessenkonflikt vorliegen kann. Ein seriöser Anbieter wird die Ziele der Beauftragung hinterfragen, um das Dienstleistungspaket genau abstimmen zu können und Unternehmen die branchenspezifischen Fachtermini erläutern, damit keine Missverständnisse entstehen.

M. Schönthaler: Je nach Ziel und verwendeten Technologien können auch Zertifizierungen bzgl. der Sicherheitsadministration, des Sicherheitsmanagements und des Sicherheitstestens Hilfe bei der Auswahl geben. Sans bietet spezialisierte praxisorientierte Kurse und GIAC-Zertifizierungen an, die als Nachweis für notwendiges Wissen dienen können, so z.B. GPEN (Certified Penetration Tester), GCIH (Certified Incident Handler), GCWN (Windows Security), GCUX (Unix Security), GWAPT (Web Application Penetration Tester), GXPEN (Exploit Researcher and Advanced Penetration Tester), GAWN (Wireless Networks), GMOB
(Mobile Device Security) und GSE (Security Expert).

F. Schallock: Detaillierte Referenzen unter Angabe der Namen von Kunden gibt es in der Regel leider nicht (Gebot der Vertraulichkeit). Eine Möglichkeit ist es aber, ein direktes Gespräch mit einem Kunden anzufragen. Dieser entscheidet dann selbst, ob und wie viele Details sie bekommen. Sie werden zwar sicherlich nur in Kontakt mit zufriedenen Kunden kommen, können sich durch direkte Fragen jedoch trotzdem ein konkretes Bild verschaffen. Weiterhin können Informationen darüber, welchen Beitrag Dienstleister bzw. deren Mitarbeiter in der Sicherheitsszene bereits erbracht haben, ein relativ zuverlässiger Referenzindikator sein (z.B. Mitarbeit an Open-Source-Standards/Tools, Vorträge).

IT-DIRECTOR: Mit welchen Kosten sind solche Hacker-Aktionen in der Regel verbunden?
F. Schallock:
Grundsätzlich hat man interne und externe Kosten: Zeit für einen zentralen internen Ansprechpartner sowie Personal, welches während der Tests erreichbar ist; Kosten für den Penetrationstest, gegebenenfalls Kosten anderer externer Dienstleister, die im Zuge des Tests auch mit eingebunden werden (z.B. Cloud/Hosting/Internet Service Provider). Ein genauer Rahmen für die externen Kosten lässt sich aber schwer vorab festlegen, da der Umfang der Tests und damit der Aufwand sehr stark variieren kann (Anzahl der Systeme, vom Internet aus erreichbare oder auch interne, Web-Applikationen, WLAN, physische Sicherheit, Social Engineering usw.). Häufig werden die Kosten nach Personentagen verrechnet.

IT-DIRECTOR: Welche gesetzlichen bzw. firmeninternen (Compliance-)Vorgaben müssen bei der Zusammenarbeit mit Hackern beachtet werden?
F. Schallock:
Relevant können u.a. Betriebsratsvereinbarungen (Social Engineering), Datenschutzgesetz, StGB 202 („Hackerparagraph“), StGB 303, darüber hinaus können gegebenenfalls branchenspezifische Vorgaben wie das Bankgeheimnis, PCI DSS (Kreditkartenzahlungsvorgaben), das Steuergeheimnis, GoBS (Grundsätze ordnungsgemäßer Buchführungssysteme), MaRisk, KonTraG und einige andere relevant werden. Besonders bei internationalen Unternehmen können je nach Niederlassung, bzw. in welchem Land sich die zu prüfenden Systeme befinden, landesspezifische rechtliche Auflagen ergeben. Hier ist es wichtig, sich gemeinsam mit dem Dienstleister darüber auszutauschen.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok