Penetration Testing in der Praxis: So funktioniert der Check auf Cybersicherheit

Die virtuelle Vernetzung von Strukturen, Unternehmen und Prozessen hat neue Kooperationsmöglichkeiten hervorgebracht. Mit den wachsenden Synergien sind aber auch zusätzliche Angriffsflächen für die Cyberkriminalität entstanden. Digitale Sicherheit ist in den Fokus des Interesses gerückt. Gezielte Angriffe auf Global Player wie das Sony Playstation Network (2011), Adobe Systems (2013) oder eBay (2014) haben gezeigt, dass jede IT-Infrastruktur Sicherheitslücken enthält und dass die Folgen eines gezielten Hacker-Angriffes weitreichend sein können. Auch wenn grundsätzlich jedes Unternehmen das Ziel von Cyberkriminalität werden kann, sind einige Branchen erfahrungsgemäß stärker betroffen. Ein Lösungsansatz liegt im Penetration Testing.

Laut Dr. Ewan Fleischmann, IT-Sicherheitsexperte und Gründer der Redlings GmbH, gibt es Zielbranchen, die ein höheres Risikoprofil für spezifische Arten von Bedrohungen aufweisen. „Studien zufolge betrafen die meisten Hackerangriffe und Datenschutzverletzungen in den letzten Jahren Unternehmen und Organisationen im Bereich Medizin/Gesundheitswesen“, erläutert Dr. Ewan Fleischmann im Gespräch mit Wallstreet Online. „Auf den nachfolgenden Plätzen finden sich Banken sowie Behörden und das Militär. Energie- und Versorgungsunternehmen sind ebenfalls ein beliebtes Ziel von Sicherheitsverletzungen.“

Größte Gefahr geht von Ransomware-Angriffen aus

In Deutschland, ebenso wie in anderen Teilen der digitalisierten Welt, geht die größte Gefahr aktuell von so genannten Ransomware-Angriffen aus, gezielten Cyberattacken auf Unternehmen, Universitäten und Behörden, um mit sensiblen Daten oder der Androhung von Schädigungen der Infrastruktur hohe Lösegelder zu erpressen. Das geht aus dem aktuellen Lagebericht des Bundesamtes für Sicherheit und Informationstechnik hervor.

„Die Bedrohungslage im Cyberraum ist angespannt, dynamisch und vielfältig und damit so hoch wie nie“, sagte der Vizepräsident des BSI, Gerhard Schabhüser, im Rahmen der Veröffentlichung. „In einer digitalisierten Welt“, so betonte er weiterhin, „hängt das Wohlergehen der Bevölkerung stärker denn je davon ab, wie gut wir uns gegen IT-Sicherheitsvorfälle gerüstet haben. Jedes Computersystem, das nicht gehackt werden kann, jede digitale Dienstleistung, die nicht gestört werden kann, ist ein elementarer Beitrag zu einer funktionierenden digital vernetzten Gesellschaft.“ Ein Konzept, das den modernen Anforderungen der Cybersicherheit gerecht werden soll, ist das Penetration Testing. Was steckt hinter dieser Methode und wie stark macht sie wichtige IT-Infrastrukturen gegen Cyberkriminalität?

Penetration Testing: Sichere Angriffe für mehr digitalen Schutz

Penetration Tests, kurz Pentests genannt, sind spezielle Sicherheitstests für wichtige IT-Infrastrukturen. Dabei setzen Unternehmen IT-Sicherheitsexperten auf die Infrastruktur von Unternehmen an, die dann systematisch versuchen, Schwachstellen, Sicherheitslücken und potenzielle Angriffsflächen für Hacker ausfindig zu machen. Die häufigste Ursache für Sicherheitslücken in IT-Systemen ist ein nicht ausreichend sicherheitsbewusstes Nutzerverhalten. Häufig sind aber auch fehlerhafte Konfigurationen und Programmierungen von Betriebssystemen, Systemdiensten oder Webanwendungen die Angriffsfläche für Cyberkriminalität.

Wurde eine potenzielle Schwachstelle erkannt, übernimmt der Sicherheitsexperte die Rolle eines professionellen Hackers und versucht, sich über die Sicherheitslücke Zugang zum System zu verschaffen. Er bedient sich dabei derselben Mittel und Tools, auf die auch kriminelle Hacker zugreifen. Penetration Tester sind meist selbst versierte Hacker, die ihre Fähigkeiten und Erfahrungen in den Dienst der Cybersicherheit stellen und dabei helfen möchten, wichtige IT-Infrastrukturen vor dem kriminellen Zugriff Unbefugter zu schützen.

Am Ende des Penetration Testings steht ein umfangreicher Bericht, der nicht nur aufzeigt, welche Sicherheitslücken in einem Infrastruktur bestehen, sondern auch Möglichkeiten vorschlägt, wie diese Sicherheitsrisiken minimiert werden können. Das Ziel ist ein konkreter Maßnahmenplan, der ein Unternehmen dabei unterstützt, seine IT-Infrastruktur zu optimieren und Sicherheitslücken zielgerichtet und kosteneffizient zu schließen.

Wie gehen Penetration Tester vor?

Ein Penetration Testing wird in Absprache mit den IT-Sicherheitsverantwortlichen eines Unternehmens und innerhalb eines gemeinsam festgelegten Rahmens zu überprüfender Bereiche der IT-Architektur durchgeführt. Der Fokus liegt dabei auf der Optimierung vorhandener Sicherheitssysteme. „Das wichtigste Ziel eines Penetration Test“, so Dr. Ewan Fleischmann auf seiner Website, „ist es nicht, zu zeigen, dass ein Unternehmen gehackt werden kann, sondern die Sichtweisen und Techniken eines realen, fortgeschrittenen Angreifers so einzubringen, dass zielgerichtete Gegenmaßnahmen kosteneffizient umgesetzt werden können.“ Die Redlings GmbH unterstützt Unternehmen bei der Verbesserung ihrer IT-Sicherheitsarchitektur und setzt Penetration Testing mit unterschiedlichen Schwerpunkten ein.

IT-Sicherheitsexperten unterscheiden zwischen internen und externen Pentests. Bei der internen Variante nutzt der Hacker Endgeräte, die mit dem Unternehmensnetzwerk verbunden sind, wie Arbeitsrechner, Laptops oder externe Speichermedien. Durch die dort vorhandene Infrastruktur wie installierte Betriebssysteme und Web-Anwendungen, gespeicherte Passwörter und Nutzerprofile versucht der Hacker, Sicherheitslücken aufzudecken. Bei einem externen Pentest versucht der Hacker, von außen in das Netzwerk eines Unternehmens einzudringen und dort auf sensible Daten zuzugreifen oder Malware zu platzieren. Externe Pentests sollen ermitteln, ob und mit welchem Aufwand und Fachwissen ein Hacker die implementierten Sicherheitssysteme überwinden kann.

Penetration Testing variiert im Umfang

Der Umfang eines Penetration Testings variiert. Unternehmen entscheiden, ob sie ihr gesamtes Netzwerk mit allen über das Internet erreichbaren Anknüpfungspunkten überprüfen lassen möchten, oder ob sie den Test auf Teilbereiche, wie einzelne Webapplikationen oder Web-APIs, Cloud-Systeme oder Clients beschränken möchten. Auch mobiler Apps und systemnahe Anwendungen sind häufig das Ziel von Pentests.

„Zu den konkreten Routinetests von Ethical Hacks gehören das Aufspüren offener Ports mittels Port-Scans, die Sicherheitsprüfung von Kreditkartendaten, Logins und Passwörtern und die Simulation von Hackerangriffen auf ein komplettes Netzwerk“, geht IT-Experte Dr. Ewan Fleischmann ins Detail. „Da hierfür meist das TCP/IP-Protokoll verwendet wird, nennt man diese Prüfungen auch IP-basierte Penetration Tests. Die Systeme werden häufig daraufhin überprüft, ob eingeschleuste Viren und/oder Trojaner sensible Unternehmensdaten erbeuten können. Ergänzen lassen sich solche Strategien durch Social-Engineering-Techniken, die den Risikofaktor Mensch berücksichtigen und explizit das Verhalten von Mitarbeitern im Rahmen eines Sicherheitskonzeptes untersuchen.“

Inzwischen arbeiten seriöse Penetration Testing Unternehmen nach einheitlichen Standards. Im internationalen Bereich findet häufig das Open Source Security Testing Methodology Manual (OSSTMM) Anwendung.

Ethical Hacking: Braucht der E-Commerce legale Cyberangriffe?

Im Zusammenhang mit Pentests taucht immer wieder auch der Begriff des Ethical Hacking auf. Beim Penetration Testing geht es darum, gezielte Hacker-Angriffe mit seriösen Absichten durchzuführen. Wichtig ist dabei, dass ein Cyberangriff nur nach vorheriger Genehmigung erfolgt und der Umfang klar eingegrenzt ist. Außerdem verpflichten sich Penetration Tester im Rahmen des Ethical Hacking, jegliche aufgefundenen Schwachstellen in der IT-Infrastruktur zu melden und konkrete Maßnahmen zur Verbesserung der Cybersicherheit zu empfehlen. Oberste Priorität hat die Sicherheit sensibler Daten, da häufig auch behördliche Organisationen und Regierungseinrichtungen zu den Kunden spezialisierter IT-Sicherheitsunternehmen gehören.

Als Reaktion auf die wachsende Cyberkriminalität hat sich das Ethical Hacking inzwischen weltweit etabliert. Nicht nur auf behördlicher Ebene, sondern auch im modernen E-Commerce wird das Ethical Hacking einen immer größeren Stellenwert erhalten. Die Gefahr der Cyberkriminalität ist in allen Branchen und Unternehmensstrukturen präsent. Für Unternehmen, die durch erhöhte IT-Sicherheit nicht nur ihre IT-Infrastruktur schützen, sondern auch ihr Image und die Kundenbindung stärken möchten, können Penetration Testings in Zukunft ein effizientes Mittel sein, um den Angriffen krimineller Hacker zu begegnen.