Penetrationstest – die Hacker mit ihren eigenen Waffen schlagen

Ein umfassender Sicherheitstest einzelner Rechner oder Netzwerke schützt Unternehmen vor Hacker-Angriffen.
Illustration: Absmeier, Pixabay

 

Ein umfassender Sicherheitstest einzelner Rechner oder Netzwerke schützt Unternehmen vor Hacker-Angriffen.

 

Fast jeder fünfte IT-Verantwortliche kann mit dem Begriff »Penetrationstest« nichts anfangen – das brachte eine Untersuchung des TÜV Rheinlands ans Licht, dessen Security-Experten dieses Ergebnis als »erschreckend« bezeichneten. Bei einem solchen »Pentest« versuchen »Hacker« im Auftrag eines Unternehmens, möglichst tief und auf unterschiedlichen Wegen in die IT-Infrastruktur eines Kunden einzudringen. Dadurch werden die Wege ausfindig gemacht, auf denen ein krimineller Hacker versuchen würde, an die digitale Assets einer Firma zu gelangen oder das Unternehmen mit dem Einschleusen von Schadsoftware zu erpressen. Es gibt allen Grund mit Argusaugen über die Unangreifbarkeit der eigenen digitalen Firmenwelt zu wachen: Im vergangenen Jahr betrug der Schaden durch Cybercrime und Spionage rund 200 Milliarden Euro, schätzt der Digitalverband Bitkom. Das Bundeswirtschaftsministerium warnt, die Sicherheit der IT-Systeme sei längst zu einem strategischen Faktor für die gesamte Wirtschaft geworden. Ein Pentest setzt deswegen für Kunden ein klares Signal, so der Geschäftsführer der Boutique-Beratung mit dem Schwerpunkt der Informationssicherheit, turingpoint, Jan Kahmen: »Ein erfolgreicher Test ist nachweisbare IT-Sicherheit, um Kunden Vertrauen zu kommunizieren«.

Anzeige

 

Es gibt zwei Wege für den fingierten Angriff auf die IT-Sicherheit

Am realistischsten ist das Vorgehen nach der »Black Box«-Methode: Die engagierten Cybersecurity-Experten bekommen keinerlei Hinweise auf die IT-Struktur und die Schutzmaßnahmen des Unternehmens. Dies, so Fachleute, sei der Normalfall, wenn ein zukünftiges Opfer in das Visier von Cyberkriminellen gerät. Erhalten die »Angreifer« vom Kunden vorab eine Dokumentation der digitalen Architektur mitsamt Sicherheitskonzept und allen Zugängen, geht es vor allem darum, in theoretischen Szenarien mögliche Schwachstellen ausfindig zu machen. Dabei stehen zwei potenzielle Risiken im Mittelpunkt beider Methoden: Ein (theoretischer) Angriff über das Netzwerk, über Webanwendungen oder mobile Apps und über das »social engineering«, bei dem Mitarbeitern eines Unternehmens sicherheitsrelevante Daten entlockt werden.

Anzeige

 

Die eigene IT-Abteilung muss vom Pentest überzeugt sein

Es gibt Gründe, die dazu führen können, dass die IT-Verantwortlichen im eigenen Haus Pentests zunächst skeptisch gegenüberstehen:

  • Die für einen solchen Test erforderliche Fehlerkultur im Unternehmen fehlt
  • Die Verbesserung der Sicherheit ist langwierig und kollidiert mit dem Tagesgeschäft

Wenn in einem Unternehmen für Fehler und Optimierungsmöglichkeiten immer Schuldige gesucht werden, dann wird das Management es schwerlich schaffen, dass die internen Experten zu 100 Prozent hinter einem solchen Test stehen. Denn beim Pentest geht es darum, Schwachstellen und Verbesserungsmöglichkeiten zu erkennen, bevor kriminelle Hacker wirtschaftlichen Schaden anrichten. Müssen IT-Verantwortliche befürchten, dass entdeckte Angriffsmöglichkeiten ihnen persönlich vorgeworfen werden, können sie einer solchen Untersuchung kaum aufgeschlossen gegenüberstehen. Dabei, so Jan Kahmen, haben alle IT-Verantwortlichen ein starkes Interesse daran, zusammen mit dem Management die eigenen Strukturen auf mögliche Einfallstore zu überprüfen: »So können keine Datenschutzvergehen passieren, die inzwischen auch sehr hart geahndet werden«.

In vielen Firmen geht das Tagesgeschäft immer vor und die IT muss einen Meilenstein nach dem anderen in möglichst kurzer Zeit »abhaken«. Für den kontinuierlichen Prozess der System-Absicherung oft keine Zeit. Denn der Auf- und Ausbau der Schutzmaßnahmen endet nie: Mit jedem neuen Zugang zur unternehmenseigenen IT-Struktur -sei es ein neues Portal, eine neuer Social-Media-Auftritt oder auch nur eine Landing Page – entstehen potenzielle Lücken, die Hacker nutzen können.

 

Cybercrime stoppt nicht vor kleineren und mittleren Unternehmen

Cyberkriminelle interessieren sich nicht für die Größe eines Unternehmens, sondern vor allem für die mögliche Beute: Seien es wichtige Daten, Konstruktionszeichnungen, Kundendaten oder sogar Bank- und Kreditkartenzugänge. Das »Einpflanzen« einer Schadsoftware wird ebenfalls immer häufiger, erst nach dem Zahlen eines oft hohen Geldbetrages kann der Geschädigte seine IT-Infrastruktur wieder nutzen. Das sich kriminelle Banden bei kleineren und mittleren Unternehmen sogar einen leichteren Zugang zu den sensiblen Bereichen erhoffen als bei Großkonzernen, liegt dabei auf der Hand: Kein Unternehmen ist zu klein oder zu unbedeutend für einen Angriff. Natürlich passen Cybersecurity-Experten das Testverfahren der jeweiligen Unternehmensgröße an: »Eine tiefgehende Analyse wäre in diesem Fall kein sinnvoller Bestandteil eines Penetrationstests. Sinnvoller als eine ausführliche Prüfung einzelner Systeme ist es, sich auf die Quick-Wins zu konzentrieren«, so Jan Kahmen von turingpoint. Mit diesen Quick-Wins erhalten viele KMU erstmals eine professionelle Übersicht über die generellen Schwachstellen ihrer Infrastruktur. Denn die Zahl derer, die noch nie vom »Penetrationstest« gehört haben, sollte im eigenen Interesse schnell kleiner werden und am besten auf null sinken.

 

Artikel zu „Pentest“

Redlings Pentest: Netzwerkumgebung mit Hacker-Wissen schützen

  So segensreich das Internet mit all seinen verbindenden Elementen und Technologien ist, so risikoreich gestaltet sich seine Nutzung für Unternehmen. Denn überall dort, wo unternehmenseigene IT-Netzwerke Zugang gewähren oder eine Verbindung nach außen bereitstellen, besteht die Gefahr unerlaubter Zugriffe. Um die eigenen Daten zu schützen, benötigen Unternehmen deshalb eine möglichst umfassende IT-Sicherheitsstrategie zur Abwehr…

Cyberangriffe – Hacker werden immer schneller und präziser

Die Gefahr Opfer einer Cyberattacke zu werden nimmt stetig zu – das untermauert der neueste OverWatch-Report von CrowdStrike. Allein im vergangenen Jahr beobachteten die Threat Hunter 60 Prozent mehr Angriffsversuche als im Vorjahreszeitraum. Aber nicht nur die Zahl der Angriffsversuche ist gestiegen – der Report zeigt außerdem auf, dass sich E-Crime-Angreifer dreimal schneller als noch…

Simulierte Cyberattacken: Übungen als Schutz vor Cyberrisiken?

Immer mehr IT-Abteilungen vertrauen auf Penetrationstests oder Bug-Bounty-Programme und simulieren Cyberattacken, um ihre Mitarbeiter zu sensibilisieren. Grund dafür ist der explosionsartige Anstieg von Cyberbedrohungen. Egal ob man nun die Sicherheitsmaßnahmen oder die digitalen Reflexe der Angestellten prüfen möchte: Die Simulation von Cyberattacken trägt zu einer erhöhten Wahrnehmung von Cyberrisiken bei. Kennen Sie Jeremy aus dem…

5 Faktoren, die das Cyberrisiko Kritischer Infrastrukturen erhöhen

Der Schutz Kritischer Infrastrukturen (KRITIS) vor Cyberangriffen ist eine besonders heikle Aufgabe, da bei erfolgreichen Cyberangriffen darauf nicht nur die öffentliche Ordnung bedroht ist und gravierende Störungen von vielen Lebensbereichen eintreten werden, sondern auch ganz konkret Menschenleben in Gefahr sind. Wenn Strom plötzlich nicht mehr so fließt, wie es die Menschen und Unternehmen gewohnt sind,…

Beruf Hacker: Wie man ohne Hochschulstudium ein Master-Hacker wird 

In diesem Jahr wurde Santiago Lopez, ein 19-jähriger Hacker aus Argentinien, zum weltweit ersten Bug-Bounty-Hacker, der mit Hacking 1 Million Dollar verdient hat. Dieses Ereignis wurde zu so etwas wie einem Meilenstein für die Hacker Community. Ganz offensichtlich gibt es ein nicht ganz geringes Ertragspotenzial für Hacker, die sich dem Ethical Hacking verschrieben haben, und…

Sicherheitskultur als unternehmerischer Ansatz

Vorhersagen sind ein schwieriges Unterfangen, gerade in der zuweilen chaotisch anmutenden Welt der Cybersicherheit. Die Bedrohungslandschaft weitet sich aus. Offensive und defensive Technologien entwickeln sich weiter, und auch nationalstaatlich initiierte Angriffe werden nicht nur mehr, sondern auch raffinierter. Dieser Beitrag beschäftigt sich damit, wie Firmen eine Sicherheitskultur als unternehmerischen Ansatz etablieren und stärken können. Was…

Checkliste: Fünf Empfehlungen für den Umgang mit DDoS-Angriffen

DDoS-Studie belegt frappierende Selbstüberschätzung von Unternehmen in Bezug auf die IT-Sicherheit – es fehlen Sicherheitsanalysen und strategisches Vorgehen. Die Studie des Content-Delivery-Network- und Cloud-Security-Spezialisten CDNetworks zeigt eine große Diskrepanz zwischen Wirklichkeit und Selbsteinschätzung in Unternehmen hinsichtlich ihrer IT-Sicherheit [1]. Der Großteil (83 %) der über 300 in der DACH-Region und in Großbritannien befragten Unternehmen war…

Security gepaart mit Backup und Recovery – Winning Team gegen Ransomware

Storage und Security werden in vielen Unternehmen getrennt betrachtet, dabei dienen beide maßgeblich einem unterbrechungsfreien und sicheren Arbeitsablauf. Die beiden völlig unterschiedlichen IT-Disziplinen werden nun durch die immensen Gefahren, die von Ransomware ausgehen und Unternehmen zunehmend als auch teilweise existenziell bedrohen, zwangsverheiratet.

»Viele wissen noch gar nicht, dass da etwas zu schützen ist«

Digitalisierung bedeutet, dass immer mehr Dinge und Geräte miteinander vernetzt werden, die bisher für sich standen. Doch wie schützt man das Internet der Dinge gegen Cyberattacken? Wir sprechen mit Ferri Abolhassan, Geschäftsführer T-Systems, verantwortlich für die IT-Division und Telekom Security, wie man das sogenannte Internet of Things (IoT) gegen Cyberattacken absichern kann. Viel ist die…

IoT: Cybersicherheit im Internet der Dinge

Zertifikate für sichere Identitäten Voll automatisiertes Identitätenmanagement für das IoT Maschinen lassen sich eindeutig identifizieren Weltweit sind aktuell 6,4 Milliarden Geräte miteinander vernetzt, im Jahr 2020 gehen Schätzungen sogar von 25 Milliarden aus. Ob Kühlschrank oder Industrieroboter – die meisten Dinge wurden nie dafür ausgerichtet, im weltweiten Netz erreichbar zu sein. Daher sind sie oft…

Carbanak und mehr: Banken sehen sich neuen Angriffen gegenüber

Neue Tricks und Trittbrettfahrer der berüchtigten Cyber-Bankräuber. Vor einem Jahr warnte Kaspersky Lab davor, dass Cyberkriminelle mit ähnlichen Methoden wie nationalstaatlich unterstützte APT-Attacken (Advanced Persitent Threats) Banken ausrauben könnten. Jetzt bestätigt das Unternehmen die Rückkehr von Carbanak als Carbanak 2.0 und enthüllt darüber hinaus zwei weitere Gruppen, die in diesem Stil operieren: Metel und GCMAN…