Was ist „Pentesting"?
Penetration Testing, auch bekannt als „Ethical Hacking" oder „Pentesting", ist das Simulieren eines Hacking-Angriffs auf ein oder mehrere Computersysteme oder Anwendungen. Das Ziel ist, Schwachstellen in diesen Systemen zu identifizieren, welche potenziell von echten Hackern ausgenutzt werden können. Einfacher ausgedrückt: es ist so, als würde Ihr Unternehmen eine:n Hacker:in damit beauftragen, in Ihr System (Client, Server, Web-Anwendung etc.) einzudringen. So können Schwachstellen oder potenzielle Sicherheitslücken in ihrer IT-Infrastruktur identifiziert werden, die von möglichen Angreifern umgangen oder ausgenutzt werden können.
Wie läuft ein Penetration Test ab?
1. Planung: Zu Beginn werden Prioritäten, Umfang (Scope), Ziele etc. gemeinsam mit allen Beteiligten und Verantwortlichen festgelegt.
2. Bedrohungsmodellierung: Ziel dieser Phase ist es, durch zuvor ermittelte Informationen die zugrunde liegenden Services, Systemarchitektur, Netzwerkstruktur etc. auf strukturelle Schwachstellen auf potenzielle Bedrohungen zu analysieren.
3. Scan: Basierend auf den vorherigen Schritt erfolgt mit dem Einsatz von unterschiedlichen Tools eine Sichtung potenzieller Schwachstellen. Dieses Tool-unterstützte Scannen ermöglicht eine breite Identifizierung von Schwachstellen, welche als Basis für die Verwertung dieser und die nachfolgenden Schritte herangezogen werden.
4. Verwertung der Schwachstellen: In diesem Schritt werden die zuvor ermittelten Schwachstellen ausgenutzt, um die Zielsysteme zu kompromittieren. Dies umfasst die Ausweitung von Privilegien, das Identifizieren weiterer interner Systeme im Netzwerk, den Diebstahl von Daten, das Abfangen von Datenverkehr oder das Einschleusenbösartiger Software ins System.
5. Berichterstattung: Alle Ergebnisse, einschließlich unterstützender Artefakte oder Beweise, Angriffsbeschreibungen, Implikationen und Empfehlungen werden in einem ausführlichen Bericht dokumentiert.
6. Nachbesserung und Unterstützung: Nach der Beendigung des Penetration Tests wird nach einem definierten Zeitraum geprüft, ob die Mängel behoben wurden (Retest).
Sollten Sie trotz robuster Sicherheitsvorkehrungen einen Penetration Test für Ihre IT-Infrastruktur durchführen?
Im Jahr 2020 wurde SolarWinds von einer Gruppe skrupelloser Cyberkrimineller gehackt. Infolgedessen wurde die Cybersicherheit mehrerer US-Regierungsbehörden und etwa 400 der Fortune-500-Unternehmen wie Intel, Nvidia, Cisco etc. kompromittiert. Allesamt waren Kunden von SolarWinds.
Die meisten dieser Unternehmen und Behörden verfügen über hochqualifizierte Cybersicherheitsexpert:innen und setzen die etabliertesten Sicherheitssysteme ein. Dennoch sind auch diese Organisationen Opfer von Hacking-Angriffen geworden. Der Grund dafür ist, dass Hacker immer ausgereiftere Methoden entwickeln, um sich Zugang zu IT-Infrastrukturen zu verschaffen.
Daher sollten Unternehmen im Rahmen ihrer Sorgfaltspflicht unbedingt regelmäßige und kontinuierliche Penetration Tests ihrer IT-Infrastruktur durchführen. Pentesting erhöht das Cybersecurityniveau Ihrer Organisation und ermöglicht es Ihnen, Sicherheitslücken zu erkennen, bevor böswillige Hacker es tun.
Pentests geben Ihnen darüber hinaus eine optimale Anleitung zur Behebung möglicher Schwachstellen. Dadurch können Sie Datenschutzverletzungen und Auswirkungen auf den Geschäftsbetrieb vermeiden und somit das Vertrauen Ihrer Kund:innen, Lieferant:innen und Partner:innen gewinnen.
Es ist bekannt, dass ein Penetration Test auch von Partner:innen, Lieferant:innen, Kund:innen oder Regulierungsbehörden eines Unternehmens gefordert werden kann. Ferner müssen solche Prüfungshandlungen oder Berichte in der Regel zur Verfügung gestellt werden. Daher ist eine „unabhängige Überprüfung durch Dritte", also eine akkreditierte Organisation mit zertifizierten Prüfer:innen, von entscheidender Bedeutung für die laufende Sicherheitslage Ihres Unternehmens.
Sie verwenden derzeit ein Tool zum Scannen von Sicherheitslücken, um Ihr System zu testen. Ist das ausreichend?
Einfach ausgedrückt ist das Scannen auf Sicherheitslücken vergleichbar mit einer Person, die überprüft, ob die Tür zu ihrem Haus richtig verschlossen ist. Ein Penetration Test ist jedoch vergleichbar mit der gleichen Person, die sicherstellt, ob es Schlupflöcher im Schlossmechanismus gibt, um ins Haus zu gelangen. Dabei wird nicht nur geprüft, ob die Tür aufgehebelt oder umgangen werden kann, sondern auch, ob andere Angriffsflächen wie Fenster, andere Hauseingänge, , der Zugang zum Dach etc. ebenfalls leicht oder mit technischen Mitteln aufgebrochen werden können.
Beim Vulnerability Scanning werden potenzielle Schwachstellen in Ihrem System identifiziert, aber nicht spezifisch ausgenutzt. Es geht lediglich darum, bereits bekannte und potenzielle Beeinträchtigungen der Systemsicherheit zu identifizieren.
Im Gegensatz dazu werden beim Pentesting jene Schwachstellen manuell überprüft und tatsächlich ausgenutzt. Ein Pentest simuliert einen realen Cyberangriff und ermöglicht eine gründliche Untersuchung Ihres Systems.
Der Unterschied zwischen einem Penetration Test und einem Vulnerability Assessment
Beeinträchtigt ein Penetration Test mein System?
Bei der Durchführung eines Penetration Tests besteht immer das Risiko, dass Ihr System kurzfristig nicht verfügbar ist oder sogar ausfällt. Die Wahrscheinlichkeit eines Systemausfalls ist jedoch aufgrund der laufenden Abstimmungen zwischen den Auftraggebenden und den IT-Sicherheitsexpert:innen sehr gering.
Daher wird ein geplanter Penetration Test methodisch mit den relevanten Beteiligten/Eigentümer:innen der Systeme durchgeführt. Vor der Überprüfung sollte ein Backup (z.B. Snapshot) des Zielsystems angefertigt werden. Darüber hinaus sollten die verantwortlichen Personen beider Seiten während des Tests erreichbar bzw. verfügbar sein.
Wichtig: Aktualisierungen (Updates/Patches), Änderungen und Ergänzungen der betroffenen Systeme sollten während des Testzeitraums pausiert werden!
Brauchen Sie auch einen Penetration Test für ein System in der Cloud?
Ihr Cloud-Anbieter hat im Grunde genommen keine Kontrolle über Ihr System und Ihre Dienste. Er ist nur ein Dienstleister - auch wenn einige dieser Unternehmen z.B. einen Anti-DDOS-Schutz als Mindestabsicherung anbieten. Etwaige Mängel können immer noch vorhanden sein, wenn die Sicherheit nicht in die Anwendung integriert wurde.
Penetration Tests in Cloud-Umgebungen konzentrieren sich eher auf die Anwendungsebene und sind daher ebenso unerlässlich.
Sind Ihre Anwendungen bzw. Systeme nach einem Pentest sicher?
Ja, sie können nach dem Test als „sicherer“ angesehen werden, wenn die identifizierten Schwachstellen behoben wurden. Und nein, es ist nicht möglich, eine Anwendung oder ein System als „völlig sicher" einzustufen. Beachten Sie, dass es sich bei jedem durchgeführten Penetration Test um einen zeitlich begrenzten Test handelt.
Systeme ändern sich laufend aufgrund von Updates, Patches, Datenänderungen, modernerer Software etc., aber auch Bedrohungen entwickeln sich stetig weiter. Cybersicherheit ist keine einmalige Aufgabe. Sie sollte ein kontinuierlicher Verbesserungsprozess sein und in Ihre Unternehmenskultur eingebettet werden, damit Ihr IT-Infrastruktur so widerstandsfähig wie möglich bleibt.
Wir empfehlen Ihnen zumindest eine jährliche Testung, um Ihre Systeme und die allgemeine Sicherheit Ihrer Organisation zu prüfen, sowie das Bewusstsein Ihrer Mitarbeiter:innen dahingehend zu schärfen.
Mehr über Cyber Security mit BDO und unsere Services finden Sie hier.
Wie wir bei einem Penetrationtest vorgehen? Mehr zu unseren Services dazu lesen Sie gleich hier.
Abonnieren Sie die neuesten Nachrichten von BDO!
Please fill out the following form to access the download.