Penetrationstests – Arten & Durchführung

Allgemeines

Ein Penetrationstest (kurz: „Pentest“) soll die Sicherheit eines IT-Systems überprüfen. Dabei lässt sich dieser grundsätzlich in den klassischen Penetrationstest (Infrastruktur-Pentest), dem Web-Application-Penetrationstest (Web-Pentest), Social-Engineering und dem WLAN-Test unterteilen. Ein wichtiges Entscheidungskriterium ist dabei die Perspektive, aus der die Tests durchgeführt werden. Da die Angreifer unterschiedliche Motivationen und Möglichkeiten besitzen, können verschiedene Szenarien durchgespielt werden.

Black-Box-Ansatz

Bei diesem Test soll ein realistischer Angriff eines Hackers simuliert werden. Der Penetrationstester erhält beispielsweise nur die URL der Webanwendung bzw. die IP-Adresse des IT-Systems. Die darüber hinaus benötigten Informationen werden in frei zugänglichen Informationsquellen recherchiert.

White-Box-Ansatz

Der White-Box-Test stellt das Gegenstück zum Black-Box-Test dar. Hier erhält der Penetrationstester alle Informationen und Einstellungen über die zu testende Webanwendung bzw. IT-System. Dieser Test soll den Angriff eines (Ex-)Mitarbeiters oder eines externen Dienstleisters mit Detailkenntnissen simulieren.

Grey-Box-Ansatz

Der Grey-Box-Test simuliert einen systematischen Angriff, bei dem ein außenstehender Hacker mit einem Insider des zu betrachtenden IT-Systems zusammenarbeitet. Der Insider verfügt dabei über einen begrenzten Zugang zum System, sowie eingeschränkte Rechte. In diesem Fall erhält der Penetrationstester nur bestimmte Informationen (Infrastruktur, Abwehrmechanismen,…) über das zu testenden IT-System.

Um die Vorgehensweise der unterschiedlichen Tests näher zu durchleuchten, werden im Folgenden die einzelnen Test-Module geschildert.

Vorbereitung

Bevor mit dem Testen begonnen werden kann, ist ein ausführliches Vorgespräch mit dem Kunden von Nöten. Hier werden die Ziele des Penetrationstest exakt abgestimmt, um ein optimales und zielorientiertes Ergebnis gewährleisten zu können. Durch ein Kick-Off-Meeting werden letzte Unklarheiten und Details geklärt.

 

Web-Application Penetrationstest

Informationsbeschaffung

Ist die Vorbereitungsphase abgeschlossen, beginnen die Penetrationstester mit der Phase der Informationsbeschaffung. Hier werden in frei zugänglichen Informationsquellen so viele Informationen wie möglich über die zu testende Anwendung gesammelt. Auch das sogenannte „Google-Hacking“ kommt hier zum Einsatz, bei dem spezielle Google-Suchparameter verwendet werden, um beispielsweise geschützte Verzeichnisse der Anwendung ausfindig zu machen.

Identifikation der Angriffsvektoren

Sind alle benötigten Informationen recherchiert und gesammelt worden, werden nun mögliche Angriffsvektoren, also Eintrittspunkte für einen Angreifer, identifiziert. Dazu werden die beschafften Informationen ausgewertet und nach bekannten Schwachstellen hin untersucht.

Angriffsphase – Automatisiert

Nun beginnt die Angriffsphase, in der die zu testende Anwendung mit automatisierten Angriffen auf Sicherheit und Zuverlässigkeit geprüft wird. Sogenannte „Brute-Force-Angriffe“ (Durchprobieren aller Schlüssel) oder Wörterbuch-Angriffe (Angriff mit einer Passwortliste) überprüfen die Stärke bzw. Sicherheit der verwendeten Passwörter.

Angriffsphase – Teilautomatisiert und manuell

Die meisten Tests bzw. Angriffe werden jedoch manuell durchgeführt, da die jeweiligen Schwachstellen durch ihren hohen Individualisierungsgrad nicht automatisiert getestet werden können. Ein besonderes Augenmerk beim Testen wird auf die sogenannten „OWASP Top10“ gelegt. OWASP steht für „Open Web Application Security Project“ und ist eine Organisation, die die Verbesserung der Sicherheit im Internet zum Ziel hat. Die OWASP Top10 werden regelmäßig aktualisiert und bezeichnen die zehn gefährlichsten und meist genutzten Sicherheitslücken von Webanwendungen.

 

Infrastruktur-Penetrationstest

Internet-Scan

Auch bei einem Infrastruktur-Pentest müssen Informationen über das zu testende IT-System gesammelt werden. Hier werden die nötigen Informationen jedoch durch das sogenannte „Portscanning“ gewonnen.  Diese werden dazu genutzt, um die in einem Netz aktiven IT-Systeme ausfindig zu machen und die dort angebotenen Dienste (Ports) zu identifizieren. Die beim Portscan erkannten Dienste werden anschließend durch einen Schwachstellen-Scan auf ihre Anfälligkeit hin untersucht.

Internet-Angriff

Durch verschiedene Passwort-Angriffe, wie sie auch beim Web-Pentest durchgeführt werden, wird die Sicherheit der verwendeten Passwörter überprüft. Spezielle Exploits (Ausnutzung von Schwachstellen) kommen zum Einsatz, um vorhandene Sicherheitslücken aufzudecken.

Die Port- und Schwachstellenscans können auch vor Ort über das Intranet durchgeführt werden. Die Unterschiede beim Intranet-Scan bestehen darin, dass keine Internet-Firewall dazwischen geschaltet ist und mehr Dienste angeboten werden, die identifiziert werden können.

 

Social Engineering

Bei diesem Test-Modul liegt der Fokus auf das allgemeine Verhalten der Belegschaft des zu betrachtenden IT-Systems. Social Engineering lässt sich unterteilen in computerbasiert, indirekt und persönlich. Zunächst wird versucht, den Mitarbeitern beispielsweise per E-Mail und unter falschem Vorwand vertrauliche Daten zu entlocken (computerbasiert). Das indirekte Social-Engineering läuft nach demselben Prinzip ab, jedoch werden die Mitarbeiter per Telefon kontaktiert. Zum Abschluss wird das Sicherheitsbewusstsein der Mitarbeiter vor Ort überprüft. Unter Verwendung einer Coverstory wird versucht, vertrauliche Informationen zu erhalten oder in geschützte Bereiche zu gelangen

 

WLAN – Audit

Um Unbefugte daran zu hindern in das Firmen-Netzwerk einzudringen, ist eine sichere Einrichtung des WLANs essentieller Bestandteil. Dabei spielen zwei wichtige Faktoren eine Rolle. Zum einen ist die Zugänglichkeit der Access-Points sowie des WLAN-Routers entscheidend. Darüber hinaus bietet nur eine starke Verschlüsselung und ein aktuelles Authentifizierungsverfahren genügend Schutz. Die Zugänglichkeit der Access-Points und WLAN-Router sollte nur für bestimmtes Personal und nicht für die Öffentlichkeit gewährleistet werden. Die eingesetzte Verschlüsselung sowie die verwendeten Passwörter werden auf ihre Aktualität bzw. Sicherheit hin überprüft.

 

Nachbereitung

Sind alle gewünschten Tests durchgeführt, werden die Ergebnisse in der Kundendokumentation festgehalten. In dieser befinden sich die Vorgehensweise sowie die eingesetzten Tools des Tests, eine ausführliche Schwachstellenbeschreibungen mit einer Risikoeinschätzung und kundenspezifische Vorschläge, für effektive Gegenmaßnahmen. Zusätzlich werden die Ergebnisse vor Ort beim Kunden präsentiert und bei Bedarf weitere Details zum Penetrationstest besprochen.

Falls gewünscht, werden die getroffen Gegenmaßnahmen in regelmäßigen Zeitabständen überprüft, um so einen langfristigen Schutz gewährleisten zu können.