Penetrationstest / Pentest

Ein Penetrationstest (kurz: „Pentest“) soll die Sicherheit eines IT-Systems überprüfen. Dabei lässt sich dieser grundsätzlich in den klassischen Penetrationstest (Infrastruktur-Pentest), dem Web-Application-Penetrationstest (Web-Pentest), Social-Engineering und dem WLAN-Test unterteilen. Ein wichtiges Entscheidungskriterium ist dabei die Perspektive, aus der die Tests durchgeführt werden. Da die Angreifer unterschiedliche Motivationen und Möglichkeiten besitzen, können verschiedene Szenarien durchgespielt werden.

BLACK-BOX-ANSATZ

Bei diesem Test soll ein realistischer Angriff eines Hackers simuliert werden. Der Penetrationstester erhält beispielsweise nur die URL der Webanwendung bzw. die IP-Adresse des IT-Systems. Die darüber hinaus benötigten Informationen werden in frei zugänglichen Informationsquellen recherchiert.

WHITE-BOX-ANSATZ

Der White-Box-Test stellt das Gegenstück zum Black-Box-Test dar. Hier erhält der Penetrationstester alle Informationen und Einstellungen über die zu testende Webanwendung bzw. IT-System. Dieser Test soll den Angriff eines (Ex-)Mitarbeiters oder eines externen Dienstleisters mit Detailkenntnissen simulieren.

GREY-BOX-ANSATZ

Der Grey-Box-Test simuliert einen systematischen Angriff, bei dem ein außenstehender Hacker mit einem Insider des zu betrachtenden IT-Systems zusammenarbeitet. Der Insider verfügt dabei über einen begrenzten Zugang zum System, sowie eingeschränkte Rechte. In diesem Fall erhält der Penetrationstester nur bestimmte Informationen (Infrastruktur, Abwehrmechanismen,…) über das zu testenden IT-System.

Um die Vorgehensweise der unterschiedlichen Tests näher zu durchleuchten, werden im Folgenden die einzelnen Test-Module geschildert.

Der Penetrationstest (Pentest) ist ein kontrollierter, realitätsnaher Angriff auf Netzwerke, Systeme, Applikationen, um Schwachstellen zu identifizieren, die durch potenzielle Angreifer genutzt werden können. Überprüfen Sie jetzt proaktiv das Sicherheitslevel Ihrer Organisation.

• Identifizierung physischer, menschlicher sowie hard- und softwarebedingter Schwachstellen
• Simulation von Hacker-Angriffen mit realitätsnahen Szenarien
• Nicht-invasive Schwachstellen-Scans mit definierten Adressbereichen
• Häufig notwendig für Cyber-Risk-Versicherung und abgestimmten Szenarien
• Präsentation der Ergebnisse und konkreter Handlungsempfehlungen, Adressierung und Behebung aller identifizierten Sicherheitsschwachstellen
• Schutz von Firmengeheimnissen
• Reduzierung von Ausfallzeiten und Folgekosten
• Vermeidung von Bußgeldern bei Datenpannen nach DSGVO
• Schutz vor Image-Schäden
• Unterstützung durch technische Teams & Berater aus den Fachbereichen IT-Service & Informationssicherheit

Wir orientieren uns an weltweit anerkannten Standards und integrieren uns in ein vorhandenes Informationssicherheitsmanagementsystem (ISMS).  In einem funktionierenden ISMS müssen Sie die Wirksamkeit der von Ihnen umgesetzten Maßnahmen durch regelmäßige Audits – und damit auch Penetrationstests – überprüfen. Wir sind ISO 9001 und ISO 27001 zertifiziert. 

Vorgehensweise nach BSI-Standards
Standardkonforme Auditierung (OWASP Top 10, OSSTMM etc.)​
aussagekräftiger Ergebnisbericht mit Risikoeinschätzung, detaillierte Dokumentation & „Proof of Concept“​
Einbindung von Penetrationstest als externe Audits im Rahmen eines ISMS nach ISO 27001
BSI – Bundesamt für Sicherheit in der Informationstechnik
DSGVO – Datenschutz-Grundverordnung
OWASP – The Open Web Application Security Project
OSSTM – Open Source Security Testing Methodology Manual
NIST – U.S. National Institute of Standards and Technology

Ist die Vorbereitungsphase abgeschlossen, beginnen die Penetrationstester mit der Phase der Informationsbeschaffung. Hier werden in frei zugänglichen Informationsquellen so viele Informationen wie möglich über die zu testende Anwendung gesammelt. Auch das sogenannte „Google-Hacking“ kommt hier zum Einsatz, bei dem spezielle Google-Suchparameter verwendet werden, um beispielsweise geschützte Verzeichnisse der Anwendung ausfindig zu machen.

IDENTIFIKATION DER ANGRIFFSVEKTOREN

Sind alle benötigten Informationen recherchiert und gesammelt worden, werden nun mögliche Angriffsvektoren, also Eintrittspunkte für einen Angreifer, identifiziert. Dazu werden die beschafften Informationen ausgewertet und nach bekannten Schwachstellen hin untersucht.

ANGRIFFSPHASE – AUTOMATISIERT

Nun beginnt die Angriffsphase, in der die zu testende Anwendung mit automatisierten Angriffen auf Sicherheit und Zuverlässigkeit geprüft wird. Sogenannte „Brute-Force-Angriffe“ (Durchprobieren aller Schlüssel) oder Wörterbuch-Angriffe (Angriff mit einer Passwortliste) überprüfen die Stärke bzw. Sicherheit der verwendeten Passwörter.

ANGRIFFSPHASE – TEILAUTOMATISIERT UND MANUELL

Die meisten Tests bzw. Angriffe werden jedoch manuell durchgeführt, da die jeweiligen Schwachstellen durch ihren hohen Individualisierungsgrad nicht automatisiert getestet werden können. Ein besonderes Augenmerk beim Testen wird auf die sogenannten „OWASP Top10“ gelegt. OWASP steht für „Open Web Application Security Project“ und ist eine Organisation, die die Verbesserung der Sicherheit im Internet zum Ziel hat. Die OWASP Top10 werden regelmäßig aktualisiert und bezeichnen die zehn gefährlichsten und meist genutzten Sicherheitslücken von Webanwendungen.

Auch bei einem Infrastruktur-Pentest müssen Informationen über das zu testende IT-System gesammelt werden. Hier werden die nötigen Informationen jedoch durch das sogenannte „Portscanning“ gewonnen.  Diese werden dazu genutzt, um die in einem Netz aktiven IT-Systeme ausfindig zu machen und die dort angebotenen Dienste (Ports) zu identifizieren. Die beim Portscan erkannten Dienste werden anschließend durch einen Schwachstellen-Scan auf ihre Anfälligkeit hin untersucht.

Der ANGRIFF

Durch verschiedene Passwort-Angriffe, wie sie auch beim Web-Pentest durchgeführt werden, wird die Sicherheit der verwendeten Passwörter überprüft. Spezielle Exploits (Ausnutzung von Schwachstellen) kommen zum Einsatz, um vorhandene Sicherheitslücken aufzudecken.

Die Port- und Schwachstellenscans können auch vor Ort über das Intranet durchgeführt werden. Die Unterschiede beim Intranet-Scan bestehen darin, dass keine Internet-Firewall dazwischen geschaltet i

Um Unbefugte daran zu hindern in das Firmen-Netzwerk einzudringen, ist eine sichere Einrichtung des WLANs essentieller Bestandteil. Dabei spielen zwei wichtige Faktoren eine Rolle. Zum einen ist die Zugänglichkeit der Access-Points sowie des WLAN-Routers entscheidend. Darüber hinaus bietet nur eine starke Verschlüsselung und ein aktuelles Authentifizierungsverfahren genügend Schutz. Die Zugänglichkeit der Access-Points und WLAN-Router sollte nur für bestimmtes Personal und nicht für die Öffentlichkeit gewährleistet werden. Die eingesetzte Verschlüsselung sowie die verwendeten Passwörter werden auf ihre Aktualität bzw. Sicherheit hin überprüft.

Social Engineering wird von vielen Experten als die effektivste und effizienteste Möglichkeit zur Überwindung von Sicherheitstechnologien angesehen. Grundlage dieser raffinierten Methode ist die Manipulation von Menschen mit dem Ziel, durch Sie an sensible Daten zu gelangen und unberechtigten Zugang zu Informationen oder IT-Systemen zu erlangen.

Es sind Klassiker, aber stellen Sie sich folgende Fragen gewissenhaft?

• Der USB-Stick, den Sie gerade nutzen möchten, wo ist der eigentlich her?
• Super, dass Sie zufällig über ein soziales Netzwerk jemanden kennenglernt haben, der exakt in der gleichen Branche tätig ist. So ein Austausch unter „Kollegen“ ist doch immer eine gute Sache. Oder?
• Die Aushilfe vom Paket-Service – war das Logo auf der Jacke nicht irgendwie anders als gestern? Na was soll es, wird schon passen?
• Wer war die junge Dame, die zuletzt den Fahrstuhl verlassen hat und der Sie eben die Tür aufgehalten haben? Hatte Sie überhaupt eine Zugangskarte?

Diese Auflistung lässt sich vermutlich bis in alle Ewigkeiten fortführen. Was sie aber in jedem Fall klar zum Ausdruck bringt. Menschen neigen gerade in Stresssituation oder Momenten des Leichtsinns dazu, auf den ersten Blick unkritische Sachverhalte nicht aus mehreren Blickwinkeln zu beatrachten. Angreifer wären schön blöd, wenn sie daraus keinen Nutzen ziehen würden.

Social Engineers wissen um bestimmte Phänomene wie Reziprozität, Autoritätsgehorsam oder Verantwortungsdiffusion und richten ihre Handlungen danach aus. Sie nutzen die Emotionen, Motive und Bedürfnisse ihrer Opfer, um sie zu manipulieren wie z. B. Angst, Vertrauen, Unsicherheit, Scham, Konfliktvermeidung, Hilfsbereitschaft, Kunden­freundlichkeit, Wunsch ein guter Teamplayer zu sein.

Die Vorgehensweise der Angreifer folgt meist einem bestimmten Muster

Mit Recherchen im Umfeld von Unternehmen, Behörden und Organisationen spionieren Social Engineers auf Basis öffentlich zugänglicher Datenquellen das persönliche Umfeld ihres Opfers aus. Soziale Netzwerke und Firmenwebseiten geben hier in der Regel eine gute Möglichkeit einer umfangreichen Recherche über die Zielpersonen. Der Täter nutzt diese Informationen, um potentielle Opfer zu identifizieren oder mehr über eine bereits gewählte Zielperson zu erfahren.

Eine Möglichkeit zum Schutz gegen Social Engineering Angriffe ist die Sensibilisierung, Schulung und Training der Mitarbeiter im Umgang mit Informationssicherheit. Kernaspekte der Informationssicherheit sind die Aufrecht­erhaltung der Verfügbarkeit, Integrität und der Vertraulichkeit von Informationen.

Der Umgang mit Informationssicherheit ist Teil jeder Unternehmenskultur und daher von großer Bedeutung. Die gesamte Organisation und die Mitarbeiter sollten in die Maßnahmen zur Informationssicherheit mit einbezogen werden.

Wir bieten durch unsere erfahrenen Penetrationstester spezielle Module zum Bereich Social Engineering an. Mit Phishing-Attacken oder z. B. dem USB-Drop testen wir Ihr ISMS auf diese „Lücke“ hin durch eine realitätsnahe Simulation.

Unser Ziel ist es, die Schwachstellen im ISMS unserer Kunden zu finden, um durch Aufklärung und Schulung zukünftige Angriffe zu verhindern oder zumindest zu erschweren. Dabei sind wir uns bewusst, dass es gerade im Bereich Social Engineering immer wieder möglich sein wird, einen erfolgreichen Angriff auszuführen.

Der Social Engineer gehört nicht zur Gemeinschaft der Ethical Hacker, sondern nutzt positive Eigenschaften wie Hilfsbereitschaft und Vertrauen aus, um Menschen für seine Zwecke zu manipulieren. Eine Unternehmenskultur von Misstrauen und Angst halten wir dennoch nicht für erstrebenswert.

Im Gegenteil, unser Ziel ist es, die Mitarbeiter in Ihrem Unternehmen für Social Engineering Attacken zu sensibilisieren und das Bewusstsein für Informationssicherheit zu stärken, damit Ihre Mitarbeiter besser informiert und Ihre Daten in Zukunft sicherer sind.

Das entscheidende Kriterium: Wer führt den Test durch? Eine gute Bewertungsbasis bieten hierfür die „gängigen“ Zertifizierungen (zum Beispiel Certified Ethical Hacker oder Offensive Security Certified Professional ) oder in einer Kombination mit einer Referenzliste. Idealerweise enthält die Referenzliste anrufbare Ansprechpartner, die telefonisch Auskunft über die Qualität des durchgeführten Penetrationstests geben können.

DOKUMENTATION

Das Ergebnis. Daraus müssen Sie Rückschlüsse ziehen können, welche Maßnahmen sinnvoll und angemessen die identifizierten Schwachstellen eliminieren und das daraus resultierende Risiko verringern können. Achten Sie auf eine verständliche Präsentation, Erklärung und Bewertung der Risiken. Nicht jede gefundene Schwachstelle bedeutet ein Risiko für Sie! Fordern Sie Beispieldokumentationen an, um sich ein Bild über das zu erwartende Ergebnis machen zu können. Ein ausgedrucktes Protokoll eines Schwachstellenscanners hilft Ihnen nur wenig, Sie sollten aus der Dokumentation erkennen können, wie das festgestellte Ergebnis erreicht wurde.

ANGEBOTSAUFBAU

Transparenz im Vorfeld. Verstehen Sie, wie der angebotene Penetrationstest durchgeführt werden soll? Machen Sie sich im Vorfeld Gedanken, inwiefern Sie Ihre IT-Infrastruktur, Webanwendungen, IT-Arbeitsplätze, LANs und WLANs auditieren lassen wollen. Ist eventuell eine Überprüfung des Sicherheitsbewusstseins Ihrer Mitarbeiter angebracht? Passt der im Angebot beschriebene Penetrationstest zu Ihren Sicherheitszielen? Werden Sie auf die rechtlichen Voraussetzungen hingewiesen? Die Test-Module sollten soweit abgestimmt sein, dass sie die Angriffsmöglichkeiten abdecken, die große Schäden verursachen können. Lassen Sie sich vom Anbieter einen Nachtest vorschlagen, mit dem Sie – nachdem die Gegenmaßnahmen getroffen wurden – die Wirksamkeit der umgesetzten Maßnahmen geprüft werden.

TOOLS

Prüfen Sie, ob aus dem Angebot bzw. den Produktinformationen hervorgeht, welche Tools eingesetzt werden sollen. In der Regel sollte hier eine Kombination von mehreren Werkzeugen verwendet werden.

Klären Sie zudem im Vorfeld ab, in welchem Umfang vor dem Penetrationstest dem Dienstleister Informationen bereitgestellt werden, also ob der Test als Blackbox-, Greybox- oder Whitebox-Penetrationstest durchgeführt werden soll. Oftmals empfiehlt sich der Greybox-Ansatz, da hier die Informationen über den Prüfungsgegenstand übermittelt werden, so dass der Penetrationstester effizient arbeiten kann.

Unterstützt Sie der Anbieter im Vorfeld bei Durchführungsfragen, zum Beispiel wer vorab zu informieren ist (Betriebsrat, Datenschutz, externer Dienstleister, Provider usw.)? Legen Sie gemeinsam mit Ihrem Dienstleister fest, wann die Arbeiten erfolgen und wer zu dieser Zeit zur Verfügung steht.

UND DANACH?

Auch nach der erfolgten Durchführung eines Penetrationstest sollte ein Anbieter in der Lage sein, Sie bei der Verbesserung Ihres Informationssicherheitsmanagementsystems (ISMS) zu unterstützen, Begriffe wie ISO27001 bzw. BSI Grundschutz sind wichtig für eine ganzheitliche Betrachtung des Themas „Informationssicherheit“. Schließlich werden im Rahmen von Penetrationstests nur Teile der Informationssicherheit geprüft.