Unternehmen müssen viele Maßnahmen umsetzen, um ihre IT-Systeme vor Angriffen zu schützen: Eine verlässliche Antivirensoftware, ein lückenloses Update- sowie sicheres Passwortmanagement und Schulungen, damit Beschäftigte für IT-Sicherheitsaspekte sensibilisiert werden, sind nur einige Beispiele. Um sicherzugehen, dass die getroffenen Maßnahmen auch wirken und ausreichen, können Unternehmen und Behörden so genannte Penetrationstests, kurz Pentests, durchführen lassen. Denn diese sind ein gutes Mittel, um die aktuelle Sicherheit eines IT-Netzes, eines einzelnen IT-Systems oder einer IT-Anwendung festzustellen.
Gezielte Suche nach Sicherheitslücken
„Penetrationstests dienen dazu, die Erfolgsaussichten eines vorsätzlichen Cyber-Angriffs auf die eigenen Systeme einzuschätzen und dadurch die Wirksamkeit der vorhandenen Sicherheitsmaßnahmen zu überprüfen sowie weitere notwendige Sicherheitsmaßnahmen abzuleiten“, erklärt ein Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI). Das BSI selbst bietet solche Penetrationstests für Bundesbehörden oder Betreiber Kritischer Infrastrukturen wie zum Beispiel Energieversorger an. Entscheidet sich ein Unternehmen für einen Penetrationstest, muss ein IT-Dienstleister damit beauftragt werden Bei einem solchen Test wird der Weg, den ein potenzieller Angreifer bei einer Attacke gehen würde, von einem IT-Experten nachvollzogen, um vorhandene Schwächen in den IT-Systemen und -Netzen eines Unternehmens oder einer Behörde aufzuspüren. Angreifer kennen gängige IT-Sicherheitsmaßnahmen, aber auch typische Defizite gut. Sie suchen deshalb ganz gezielt nach Schwachstellen, etwa nach aktuellen Sicherheitslücken, die vom Hersteller noch nicht behoben wurden. Aber auch schon länger bekannte Sicherheitslücken, für die der veröffentlichte Sicherheitspatch noch nicht eingespielt wurde, sind beliebte Angriffsziele. „Im Rahmen von Penetrationstests werden vorrangig die Schnittstellen der Netze, Systeme oder Anwendungen nach außen untersucht, über die potenzielle Angreifer in die untersuchten IT-Systeme eindringen könnten. Das Augenmerk liegt dabei neben nicht behobenen Schwachstellen unter anderem auch auf möglichen Konfigurationsfehlern“, erklärt der BSI-Sprecher. Penetrationstests sollten grundsätzlich von Experten durchgeführt werden, die über langjährige Erfahrung im Bereich der IT-Sicherheit und als Penetrationstester verfügen. Da die Tests immer auf die individuelle Situation des zu testenden Unternehmens abzustimmen sind, ist ein Vorgehen nach einem starren Muster nur sehr begrenzt möglich. Penetrationstests können daher nur wenig standardisiert werden.
Wo sind Einfallstore für Hacker?
Wird ein IT-Dienstleister mit einem Penetrationstest beauftragt, muss im Vorfeld genau festgelegt werden, was das Ziel des Tests sein soll. Auch der Umfang des Tests kann sehr unterschiedlich ausfallen. Die meisten Penetrationstests werden mit dem Ziel in Auftrag gegeben, die Sicherheit der technischen Systeme zu erhöhen. Ein Beispiel ist ein Penetrationstest, bei dem etwa gezielt geprüft werden soll, ob es unautorisierten Dritten möglich ist, über das Internet auf Systeme innerhalb des LANs des Unternehmens zuzugreifen. Führt ein IT-Dienstleister einen Penetrationstest im Unternehmen durch, wendet er dabei die gleichen Methoden an wie Cyberkriminelle. Er stellt externe Angriffe auf das Netzwerk oder Betriebssystem nach, um das Risiko eines realen Hackerangriffs zu bestimmen. Typische Ansatz- bzw. Angriffspunkte für einen Penetrationstest sind zum Beispiel Firewalls, Web- oder E-Mail-Server sowie Fernwartungszugänge und Funknetze. Dabei werden in der Regel automatisierte und manuelle Methoden kombiniert. Am Ende eines Tests wird ein ausführlicher Bericht erstellt. Darin werden sowohl die Vorgehensweise als auch die gefundenen Schwachstellen genau erläutert. Außerdem werden konkrete Maßnahmen empfohlen, wie die gefundenen Schwachstellen beseitigt werden können. In der Regel wird auch ein Re-Test angeboten, in dem geprüft wird, ob die gefundenen Schwachstellen beseitigt wurden.
Nicht nur die Software, auch das „Social Engineering“ wird geprüft
kirill_makarov, stock.adobe.com
Auch menschliche Schwachstellen berücksichtigen
Penetrationstests sollten regelmäßig wiederholt werden, da sie immer nur eine Momentaufnahme darstellen können. Außerdem kann nie garantiert werden, dass im Rahmen eines Tests alle Schwachstellen im Unternehmen gefunden werden, da IT-Systeme häufig sehr komplex sind. Wichtig ist auch zu berücksichtigen, ob bei den Penetrationstests nur technische und organisatorische Schwachstellen im Fokus stehen, oder auch Gefährdungen, die durch die Beschäftigten eines Unternehmens verursacht werden. Denn auch die Mitarbeiter stehen im Fokus von Cyberkriminellen. Durch so genanntes „Social Engineering“ zum Beispiel verschaffen sich die Angreifer Zugang zu den Systemen – etwa indem sie die Hilfsbereitschaft oder Gutgläubigkeit von Beschäftigten ausnutzen und so an sensible Informationen gelangen. Für diesen Bereich werden ebenfalls spezielle Penetrationstests angeboten. Dabei wird etwa geprüft, ob sich Beschäftigte zum Beispiel per E-Mail oder telefonisch sensible Informationen wie etwa Zugangsdaten entlocken lassen. Insgesamt muss IT-Sicherheit langfristig und dauerhaft gedacht werden – es ist kein Projekt, das man irgendwann abschließen kann. „Informationssicherheit ist eine unabdingbare Voraussetzung für den Erfolg der Digitalisierung. Unternehmen, die von den Errungenschaften der Digitalisierung profitieren möchten, wird dies nur gelingen, wenn sie ihre Systeme, Anwendungen und Daten entsprechend absichern“, betont auch der BSI-Experte.
Ziele von Penetrationstests
- Erhöhung der Sicherheit der technischen Systeme
- Identifikation von Schwachstellen
- Bestätigung der IT-Sicherheit durch einen externen Dritten
- Erhöhung der Sicherheit der organisatorischen und personellen Infrastruktur
Zertifizierte Penetrationstester
Um Unternehmen bei der Auswahl von Penetrationstestern zu unterstützen, hat das BSI als neutrale staatliche Stelle ein Zertifizierungsverfahren für IT-Sicherheitsdienstleister entwickelt. Damit soll sowohl die Fachkompetenz als auch die Vertrauenswürdigkeit unter Beweis gestellt werden. Kriterien für die Bewertung sind unter anderem Zuverlässigkeit, Unabhängigkeit sowie die Qualität der Dienstleistung. Mehr Informationen dazu gibt es auf der BSI-Webseite unter www.bsi.bund.de.
(SBa/WL, 23.04.2020)
