Penetrationstests

Schwachstellen aufspüren und beheben

Aktuelle Studien zeigen, dass deutsche Unternehmen besonders von Cyberattacken bedroht sind. Dabei lassen sich mit Penetrationstests Schwachstellen beheben bevor Schäden entstehen.

  • Schnur verbindet einzelne Kettenglieder

    Mit gezielten Penetrationstests lassen sich Sicherheitslücken frühzeitig beheben.

  • Sascha Hellermann, Cocus

    Sascha Hellermann, Software- und Beratungsunternehmen Cocus

Die Digitalisierung hilft Unternehmen, effektiver zu wirtschaften und neue Geschäftsmodelle zu verfolgen. Ohne entsprechende Sicherheitsmaßnahmen besteht allerdings die Gefahr, Opfer von Cyberattacken zu werden. Die Schäden für die betroffenen Firmen liegen in Deutschland bereits bei über 20 Milliarden Euro. Mit gezielten Penetrationstests lassen sich Sicherheitslücken allerdings beheben, bevor es zu Hackerangriffen kommt.

Die weltweite Schadenssumme, die auf Hackerangriffe zurückzuführen ist, liegt Schätzungen zufolge bei 500 Milliarden US-Dollar. Deutschland bildet dabei keine Ausnahme. Im Gegenteil: Auf Basis von umfangreichen Recherchen und Befragungen kommen der Branchenverband Bitkom und das Bundesamt für Verfassungsschutz zu dem Schluss, dass Datendiebstähle und Spionageaktivitäten die hiesige Wirtschaft mehr als 20 Milliarden Euro im Jahr kosten. Großunternehmen wie Siemens sind quasi unter Dauerbeschuss. Im Schnitt wird der Konzern 1.000 Mal angegriffen – pro Tag.

Laut einer Umfrage des Bitkom-Verbands haben in den letzten beiden Jahren nahezu 70 Prozent der Firmen in Deutschland eine digitale Attacke registriert. Bei nahezu jedem zweiten Unternehmen führten die Angriffe trotz aller Sicherheitsvorkehrungen zu teils erheblichen Schäden. Bitkom-Präsident Achim Berg geht davon aus, dass die deutsche Industrie mit ihren Weltmarktführern besonders interessant für Kriminelle ist. Ein zusätzlicher Faktor dürfte sein, dass immer mehr deutsche Unternehmen von der Digitalisierung profitieren wollen. Schließlich können zahlreiche Prozesse im Rahmen von Industrie 4.0 und mit Hilfe des Internet of Things (IoT) effektiver und damit auch wirtschaftlicher gestaltet werden. Ohne entsprechende Sicherheitsmaßnahmen steigt dabei allerdings auch das Risiko, Opfer von Hackerangriffen zu werden.

Schwachstellen rechtzeitig erkennen

Wie gut geschützt ein Unternehmen vor Cyberattacken ist, lässt sich beispielsweise mit Penetrationstests ermitteln. Gewissermaßen als „freundliche Hacker“ versetzen sich IT-Sicherheitsexperten dabei in die Rolle der potentiellen Angreifer. Mit speziellen Tools und Programmen werden so strukturiert die unterschiedlichsten Attacken durchexerziert, um die vorhandene IT-Infrastruktur auf Schwachstellen hin zu testen. Webapplikationen und Mobile Apps werden dabei ebenso auf Schwachstellen hin überprüft wie virtuelle Server. Werden dabei potentielle Probleme erkannt, werden diese systematisch untersucht und behoben, bevor ein Angreifer die Schwachstelle ausnutzen kann.

Bei Webapplikationen reicht häufig ein Remote-Test, da hier bewusst die „Außensicht“ getestet wird. Die Tests simulieren in der Regel Angriffe durch echte, externe Hacker, die üblicherweise nicht über interne Zugänge verfügen. Es gibt allerdings auch Testarten und -szenarien, die eine Anwesenheit von entsprechenden Experten vor Ort oder Zugang zum internen Netzwerk erfordern.

Wie bei einem Haus, bei dem vom Kellerfenster bis zur Dachluke jede Öffnung überprüft wird, ob ein Einbrecher eindringen kann, gilt es alle Eventualitäten abzudecken. „Wichtig ist, dass bei derartigen Penetrationstest stets strukturiert vorgegangen wird“, erklärt Sascha Hellermann vom Software- und Beratungsunternehmen Cocus. „Bei Zugriffsberechtigungen können beispielsweise schon kleine Fehler große Konsequenzen haben“, warnt der Experte. Entsprechende Tools helfen dabei, das System auf Schwachstellen hin zu untersuchen. „Die Tools sind, wie der Name schon sagt, die Werkzeuge. Wichtig ist, dass derjenige, der die Tools bedient, genau weiß was er macht. Nur wenn die Werkzeuge richtig eingesetzt und die Schwachstellen dann auch kompetent beseitigt werden, ist man als Unternehmen effektiv geschützt“, so Sascha Hellermann.

Lücke ist nicht gleich Lücke

Sehr häufig lassen sich sogenannte Injection Vulnerabilities finden. Hierbei wird bösartiger Code über Eingabefelder in Webapplikationen eingeschleust. Ist eine solche Lücke vorhanden, kann der Schadcode unter Umständen großen Schaden anrichten wie die Löschung oder die unberechtigte Anzeige von Daten. Diese Art von Schwachstellen lassen sich zumeist gut über Prüfung des Source Codes sowie mit Tools wie Fuzzern finden. Auch Fehler in der Passwortsicherheit lassen sich mit Tools zur Durchführung von Dictionary Attacks oder Passwortlisten gut automatisiert testen. Ein schlecht durchgeführter, tool-basierter Test kann unter Umständen allerdings gefährlich sein, da das Unternehmen sich unberechtigt in Sicherheit wiegt.

Bei anderen Arten von Schwachstellen, beispielsweise im Bereich Access Control, wird es zudem deutlich schwieriger. Diese ermöglichen die Umgehung von Zugangskontrollen oder die unbefugte Erweiterung von Zugriffsrechten. In der Regel lassen sich solche Fehler nur durch manuelle Tests durch ausgebildete Penetrations-Tester finden.

Das Testing sollte prinzipiell stets den Anforderungen des jeweiligen Unternehmens entsprechend zusammengestellt werden. Penetrationstests können in Aufwand und Komplexität stark variieren. Üblicherweise wird gemeinsam mit den Unternehmen zunächst der Testumfang geklärt und die zu testende Applikation geprüft. Daraufhin wird der Testaufwand abgeschätzt und ein entsprechendes Angebot erstellt.

Mithilfe eines ausführlichen Abschlussberichts, der konkrete Handlungsempfehlungen umfasst, kann das Unternehmen dann letztlich mit den Testern das weitere Vorgehen besprechen und planen. Mit entsprechenden Maßnahmen lassen sich die ermittelten Schwachstellen so schließen, bevor es zu tatsächlichen Angriffen durch Hacker kommt – und teure Folgeschäden vermeiden.

Bildquelle: iStock/Getty Images Plus

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok