Penetrationstest

Mit unserem Pentest-Tool stellen wir Ihre IT Sicherheit für Sie und Ihren Wünschen entsprechend auf die Probe. Mit dem Ergebnis, dass Sie danach genau wissen, an welchen Stellen Ihre IT sicher ist und wo noch Handlungsbedarf besteht. Dadurch schützen Sie Ihr Unternehmenswissen vor fremden Zugriffen.

Securime nimmt hierbei die Perspektive von potenziellen Angreifern und Hackern ein. Von Phishing- und Spoofing-Mail Attacken bis hin zu Social Engineering angriffen, durch die versucht wird die Sicherheitslücken im Unternehmen zu durchdringen – securime kennt die Methodiken und Vorgehensweisen. Hierbei unterstützen wir Sie präventiv und schließen offene Lücken für Angreifer in ihrer IT.

 

Der Ablauf eines Penetrationstests in der Praxis

Wenn die Entscheidung gefallen ist, die Sicherheit in Ihrem Unternehmen zu verbessern und einen Penetrationstest durchzuführen, taucht wahrscheinlich die Frage auf, was das ist und wie dieser Prozess eigentlich genau abläuft. Ein Penetrationstest ist ein umfassenden Sicherheitstest einzelner Rechner oder Netzwerke jeglicher Größe. Es werden Mittel und Methoden angewendet, die auch ein Hacker für einen Angriff nehmen würde. Bedenken Sie, dass diese Art von Test zeitintensiv ist. Ein Penetrationstest, auch kurz Pentest genannt, besteht aus mehreren Arbeitsschritten und benötigt einiges an Vorbereitung. Dieser Artikel beschäftigt sich damit, wie ein Penetrationstest in der Praxis ablaufen könnte. Je nach Unternehmen und dessen Zielsetzung können weitere Arbeitsschritte hinzukommen oder weggelassen werden.

 

Schritte zur erfolgreichen Durchführung eines Pentests

Der Ablauf erfolgt in der Regel in vier Phasen:

  1. Phase: Reconnaissance – Die Informationsbeschaffung im Vorfeld

Hierzu zählt zum einen die Vorbereitung des Prüfers. Sobald ein kompetenter Pentester in Person gefunden wurde, sollte dieser erstmal die Möglichkeit bekommen, sich mit der IT-Infrastruktur des Unternehmens vertraut zu machen. Dabei gilt, je komplexer das System, desto mehr Zeit nimmt die Einarbeitung des Prüfers in Anspruch. Auch das Vorgespräch fällt in diese Phase. Zu Beginn des Penetrationstests sollte ein Anfangsgespräch zwischen Pentester, Auftraggeber und dem beteiligten Personal stattfinden. Hier gilt es, noch einmal zu erörtern, was genau geprüft werden soll und unter welchen Bedingungen. Die Ziele dessen sollten besprochen und festgelegt werden.

  1. Phase: Enumeration – Identifikation möglicher Angriffsvektoren

Zunächst erfolgt in dieser Phase ein Test auf konzeptionelle Schwächen. Dem Prüfer muss bereits im Vorfeld eine ausführliche Dokumentation über das IT-System vorgelegt werden. Oft fallen hier schon Unklarheiten oder Lücken auf, die auf konzeptionelle Schwächen hinweisen können. Häufig fallen diese Außenstehenden eher auf, als den Verantwortlichen. Grund hierfür ist eine Betriebsblindheit, die durch Mitarbeiter und Vorgesetzte entstehen kann. Durch Gespräche oder praktische Tests kann geklärt werden, ob es sich tatsächlich um Schwachstellen handelt. Es wird ebenfalls geprüft, ob die für die verschiedenen Komponenten notwendigen Sicherheitsmaßnahmen (z. B. Virenschutz) umgesetzt sind. Komponenten, die hier geprüft werden sind vor allem

  • offene Ports
  • Schnittstellen
  • Aktualität der Softwareversionen
  • Zugangsvoraussetzungen zu verschiedenen Programmen
  • bereits vorhandene IT-Security

Schließlich wird das Testobjekt auf bekannte Schwachstellen überprüft. Hier kann gegebenenfalls ein Schwachstellenscanner zum Einsatz kommen.

  1. Phase: Exploitation – Nutzung gefundener Schwachstellen

Um zu testen, ob Sicherheitslücken ausgenutzt werden kann, kommen sogenannte Exploits zum Einsatz. Dies ist eine Befehlsfolge, die eingesetzt wird, um Sicherheitslücken auszunutzen. Da diese Exploits aus verschiedenen Quellen stammen können, besteht die Gefahr, dass diese fehlerhaft programmiert sind und so Schäden im System anrichten. Deshalb sollten nur bekannte Exploits eingesetzt werden.

  1. Phase: Documentation – Festhalten sämtlicher Schritte

Zu guter Letzt sollte ein abschließendes Gespräch zwischen Prüfer, Auftraggeber und allen beteiligten Personen stattfinden, um über den Verlauf des Pentests und die Resultate zu informieren. Auch eine Dokumentation über den Prüfprozess, ein sogenannter Pentest-Report ist dem Auftraggeber und einem kleinen Kreis ausgewählter Personen vorzulegen. Daraus werden Maßnahmen abgeleitet, um die Sicherheit des eigenen Unternehmens zu erhöhen.

 

Der Penetrationstest-Report – Welche Informationen sollte er enthalten?

Der Bericht über den durchgeführten Pentest sollte wegen der sensiblen Informationen, die er enthält, nur einem kleinen Personenkreis zugänglich sein. Gegebenenfalls müssen auch Vertraulichkeitskennzeichnungen vorgenommen werden. Der Report sollte genaue Beschreibungen über die gefundenen Schwachstellen enthalten und geeignete Maßnahmen, um diesen entgegenzuwirken.

Um die Kritikalität der Schwachstellen zu beurteilen, können Industriestandards wie CVSSv2 oder DREAD von Microsoft als Vorlage genommen werden. Allerdings ist sie auch von der Art des Unternehmens und er geschätzten Eintrittswahrscheinlichkeit des Risikos abhängig.

 

Penetrationstest-Verfahren

Es gibt verschiedenen Arten einen Pentest durchzuführen. Sie unterscheiden sich je nachdem was getestet werden soll, wo Schwachstellen vermutet werden und auch danach, welche Ergebnisse man sich von dem Test erhofft. Drei bekannte Varianten des Penetrationstests sind

  • der Black-Box-Penetrationstest
  • der White-Box-Penetrationstest und
  • der Grey-Box-Penetrationstest.

Wie diese drei sich unterscheiden, soll im Folgenden erörtert werden.

 

Der Black-Box-Penetrationstest

Der Pentester weiß bei dieser Form nichts über die Systeme, die er prüfen soll. Er muss sich sein ganzes Wissen über die IT-Infrastruktur selbst erarbeiten, das heißt, er muss genau so vorgehen, wie es auch ein potentieller Hacker tun müsste. Dabei können neue Sicherheitslücken entdeckt werden, aber auch jene unentdeckt bleiben, die nicht für einen Angriff genutzt wurden.

 

Der White-Box-Penetrationstest

Dies ist wohl die effektivste Form, denn dem Tester liegen alle wichtigen Informationen über die IT-Infrastruktur vor. Dieses Wissen kann er gezielt einsetzen, um den Erfolg des Pentests zu erhöhen. Es gibt zwei Stufen. Auf der ersten Stufe führen idealerweise dieselben Programmierer, die auch die Software programmiert haben, den Test durch. Auf Stufe zwei führen ihn andere Programmierer durch, die sich aber vorher in die Software hineinarbeiten konnten.

Welches der Testverfahren zu bevorzugen ist, hängt von vielen verschiedenen Faktoren ab und lässt sich kaum pauschal beantworten. In vielen Fällen ist eine Kombination aus beiden sinnvoll. Womit wir auch schon beim dritten Testverfahren wären.

 

Der Grey-Box-Penetrationstest

Hier liegen dem Tester bestimmte Informationen über die IT-Infrastruktur vor, aber ein Teil wird ausgeklammert. Diese Vorgehensweise wird am häufigsten gewählt.

Es ist also angesichts der vielen verschiedenen Varianten des Pentests wichtig, sich im Vorfeld professionell beraten zu lassen und sich bei einem solch komplexen Thema nur auf Experten zu verlassen.