Redlings Pentest: Netzwerkumgebung mit Hacker-Wissen schützen

Unternehmen brauche vermehrt umfassendere IT-Sicherheitsstrategien zur Abwehr von Hackerangriffen. Bild: Pexels, Tima Miroshnichenko

 

So segensreich das Internet mit all seinen verbindenden Elementen und Technologien ist, so risikoreich gestaltet sich seine Nutzung für Unternehmen. Denn überall dort, wo unternehmenseigene IT-Netzwerke Zugang gewähren oder eine Verbindung nach außen bereitstellen, besteht die Gefahr unerlaubter Zugriffe. Um die eigenen Daten zu schützen, benötigen Unternehmen deshalb eine möglichst umfassende IT-Sicherheitsstrategie zur Abwehr von Hackerangriffen.

 

Pentest zum Schutz der Netzwerkumgebung

Die meisten Unternehmen versuchen, ihre IT-Infrastruktur durch ausgeklügelte Firewalls, IDS/IPS (Intrusion Detection Systems bzw. Intrusion Prevention Systems), Authentifizierungsverfahren oder Gateway-Systeme vor dem Eindringen von Hackern zu schützen. Allerdings entwickelt sich nicht nur die Technologie für solche Schutzvorkehrungen weiter, sondern auch das Wissen derer, die im Bereich Cyberkriminalität tätig sind, sensible Daten stehlen, Unternehmen durch Schadsoftware erpressen oder durch verursachte Störungen terroristische Ziele verfolgen. Gegen solche Versuche kann man sich am effektivsten abzuschirmen, wenn man in der Lage ist, so zu denken, wie die Hacker und seine IT einer Schwachstellenanalyse unterzieht, deren empirischer Teil ein sogenannter Penetrationstest ist.

Der Redlings Pentest nutzt Hacker-Wissen, um den technischen und organisatorischen Standard der IT-Infrastrukturen von Unternehmen sicherer zu machen. Die IT-Spezialisten des Unternehmens führen diesen Test auf einzelnen Ebenen durch und prüfen beispielsweise die Web Applications, die Cloud, das WLAN oder den Bereich Mobile&API. Ganzheitlich kommt der Pentest zum Einsatz, wenn die Experten von Redlings einen internen und externen Penetrationstest bzw. einen Szenariobasierten Pentest (ATT&CK = Adversarial Tactics, Techniques und Common Knowledge) durchführen.

Bei einem von den Redlings-IT-Experten durchgeführten Penetrationstest versuchen die diese, entweder von außen in das IT-System einzudringen oder die Struktur von innen zu kompromittieren und gehen dabei exakt so vor, wie es Hacker tun würden. Es werden z.B. speziell entwickelte Hacking-Tools genutzt. Auf diese Weise finden sie mögliche Schwachstellen, können das von ihnen ausgehende Gefährdungspotenzial einschätzen und Lösungsvorschläge erarbeiten, wie sich diese schließen lassen. Die Beseitigung der Schwachstellen gehört nicht zu den Aufgaben der Sicherheitsbewertung. Das Schließen von erkannten Sicherheitslücken obliegt dem beauftragenden Unternehmen.

 

Rechtliche Aspekte beim Pentest

Die Ausführung eines Penetrationstests unterliegt strengen rechtlichen Regelungen. Wer einen solchen Test durchführen möchte, der benötigt dazu die Erlaubnis des Unternehmens, dessen IT-Infrastruktur untersucht werden soll. Zudem dürfen nur Systeme kontrolliert werden, die vollständig zum Unternehmen gehören. Die IT-Systeme außenstehender Dritter dürfen dem Test nicht unterzogen werden. Die Nutzung externer Cloud-Services, fremder Hard-oder Software sowie IT-Dienstleistungen kann zu Problemen bei der Klärung hinsichtlich der zu prüfenden Bereiche führen.

Hier bedarf es klarer Absprachen zwischen dem durchführenden Expertenteam und dem zu testenden Unternehmen. Dafür kann kein spezieller Fragenkatalog hilfreich sein. Je detaillierter der Test vereinbart wird, umso weniger rechtliche Schwierigkeiten können später auftreten. Als wichtige Fragen gelten hier beispielsweise:

  • Welches Ziel verfolgt der Penetrationstest?
  • Was ist die Basis des Tests? Welche rechtlichen Vorgaben oder andere Anforderungen stecken den Rahmen ab?
  • Welche Bereiche bzw. Komponenten sollen dem Test unterzogen werden?
  • Innerhalb welchen Zeitrahmens soll der Test durchgeführt werden?
  • Welchen Zugang hat der Tester (physisch oder über Netzwerk)?
  • Wie aggressiv soll der Test durchgeführt werden und welche Angriffe sind erlaubt?
  • Welche Methoden oder Tools dürfen eingesetzt werden?
  • Soll der Test auch in Form von Social Engineering erfolgen?
  • Welche Methoden bzw. Techniken sind nicht gewünscht?
  • Was für Anforderungen werden an den Test-Report gestellt?

Zu den wichtigen Vereinbarungen im Rahmen der Beauftragung gehört immer auch eine Verschwiegenheitserklärung (Non-Discosure-Agreement).

 

Wie ist ein Pentest aufgebaut?

Vom Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde ein Klassifikationsschema für Penetrationstests entwickelt. Mit diesem Schema lässt sich ein solcher Test veranschaulichen und erklären. Das BSI konzentriert sich auf sechs verschiedene Kriterien:

  • Informationsbasis (Black-Box oder White-Box, Bewertung der Infos)
  • Aggressivität (Einsatz von Exploits, Denial-of-Service-Angriffe)
  • Umfang (welcher Zeitrahmen ist gesteckt)
  • Vorgehensweise (Interner/externer Penetrationstest, Black-Box- oder White-Box-Test)
  • Technik Ausschluss bestimmter Technik?)
  • Ausgangspunkt (extern oder intern)

Mit diesen Kriterien können durchführende Unternehmen gemeinsam mit ihren Kunden eine auf die Anforderungen individuell zusammengestellte IT-Sicherheitsbewertung entwickeln. In vielen Fällen kommen mehrstufige Tests zum Einsatz, beispielsweise interne und externe, bei denen mehrere Kriterien nacheinander eingesetzt werden.

Häufig werden Blackbox-Tests genutzt, bei denen die Tester keinerlei Kenntnisse hinsichtlich der inneren Implementierung bzw. Funktionsweise des Systems besitzen, das sie analysieren sollen. Im Anschluss folgt dann ein Whitebox-Test, bei dem den Experten der implementierte Algorithmus bekannt ist. Im Rahmen dieser Tests werden verschiedene Module ausgeführt. Hier unterscheidet man I- und E-Module. Als I-Module werden Testschritte bezeichnet, bei denen es ausschließlich um Informationsbeschaffung geht. Unter E-Modulen versteht man aktive Eindringversuche in gesicherte IT-Systeme. Einem E-Modul geht meist ein entsprechendes I-Modul voraus.

 

Fazit: Pentest & Expertenwissen ermöglichen höhere IT-Sicherheitsstandards

Durch die zunehmende Komplexität heutiger IT-Infrastrukturen wird der umfassende Schutz unternehmenseigener Systeme heute immer herausfordernder. Oft ist Spezial- und Expertenwissen notwendig, über welches Administratoren aufgrund ihrer vielfältigen Aufgaben und der vielen unterschiedlichen Systeme gar nicht verfügen können.

An dieser Stelle gewinnen IT-Spezialisten und Unternehmen an Bedeutung. Sie sind in der Lage, einen Pentest auf Basis desselben Wissens durchzuführen, über das auch echte Hacker verfügen. Existenziell für eine erfolgreiche IT-Sicherheitsbewertung sind klare Absprachen hinsichtlich Umfang, Zeitrahmen und Vorgehensweise. Nur so kann der Pentest Schwachstellen und Gefährdungspotenziale aufspüren.

 

Simulierte Cyberattacken: Übungen als Schutz vor Cyberrisiken?

Immer mehr IT-Abteilungen vertrauen auf Penetrationstests oder Bug-Bounty-Programme und simulieren Cyberattacken, um ihre Mitarbeiter zu sensibilisieren. Grund dafür ist der explosionsartige Anstieg von Cyberbedrohungen. Egal ob man nun die Sicherheitsmaßnahmen oder die digitalen Reflexe der Angestellten prüfen möchte: Die Simulation von Cyberattacken trägt zu einer erhöhten Wahrnehmung von Cyberrisiken bei. Kennen Sie Jeremy aus dem…

5 Faktoren, die das Cyberrisiko Kritischer Infrastrukturen erhöhen

Der Schutz Kritischer Infrastrukturen (KRITIS) vor Cyberangriffen ist eine besonders heikle Aufgabe, da bei erfolgreichen Cyberangriffen darauf nicht nur die öffentliche Ordnung bedroht ist und gravierende Störungen von vielen Lebensbereichen eintreten werden, sondern auch ganz konkret Menschenleben in Gefahr sind. Wenn Strom plötzlich nicht mehr so fließt, wie es die Menschen und Unternehmen gewohnt sind,…

Beruf Hacker: Wie man ohne Hochschulstudium ein Master-Hacker wird 

In diesem Jahr wurde Santiago Lopez, ein 19-jähriger Hacker aus Argentinien, zum weltweit ersten Bug-Bounty-Hacker, der mit Hacking 1 Million Dollar verdient hat. Dieses Ereignis wurde zu so etwas wie einem Meilenstein für die Hacker Community. Ganz offensichtlich gibt es ein nicht ganz geringes Ertragspotenzial für Hacker, die sich dem Ethical Hacking verschrieben haben, und…

Sicherheitskultur als unternehmerischer Ansatz

Vorhersagen sind ein schwieriges Unterfangen, gerade in der zuweilen chaotisch anmutenden Welt der Cybersicherheit. Die Bedrohungslandschaft weitet sich aus. Offensive und defensive Technologien entwickeln sich weiter, und auch nationalstaatlich initiierte Angriffe werden nicht nur mehr, sondern auch raffinierter. Dieser Beitrag beschäftigt sich damit, wie Firmen eine Sicherheitskultur als unternehmerischen Ansatz etablieren und stärken können. Was…

Checkliste: Fünf Empfehlungen für den Umgang mit DDoS-Angriffen

DDoS-Studie belegt frappierende Selbstüberschätzung von Unternehmen in Bezug auf die IT-Sicherheit – es fehlen Sicherheitsanalysen und strategisches Vorgehen. Die Studie des Content-Delivery-Network- und Cloud-Security-Spezialisten CDNetworks zeigt eine große Diskrepanz zwischen Wirklichkeit und Selbsteinschätzung in Unternehmen hinsichtlich ihrer IT-Sicherheit [1]. Der Großteil (83 %) der über 300 in der DACH-Region und in Großbritannien befragten Unternehmen war…

Security gepaart mit Backup und Recovery – Winning Team gegen Ransomware

Storage und Security werden in vielen Unternehmen getrennt betrachtet, dabei dienen beide maßgeblich einem unterbrechungsfreien und sicheren Arbeitsablauf. Die beiden völlig unterschiedlichen IT-Disziplinen werden nun durch die immensen Gefahren, die von Ransomware ausgehen und Unternehmen zunehmend als auch teilweise existenziell bedrohen, zwangsverheiratet.

»Viele wissen noch gar nicht, dass da etwas zu schützen ist«

Digitalisierung bedeutet, dass immer mehr Dinge und Geräte miteinander vernetzt werden, die bisher für sich standen. Doch wie schützt man das Internet der Dinge gegen Cyberattacken? Wir sprechen mit Ferri Abolhassan, Geschäftsführer T-Systems, verantwortlich für die IT-Division und Telekom Security, wie man das sogenannte Internet of Things (IoT) gegen Cyberattacken absichern kann. Viel ist die…

IoT: Cybersicherheit im Internet der Dinge

Zertifikate für sichere Identitäten Voll automatisiertes Identitätenmanagement für das IoT Maschinen lassen sich eindeutig identifizieren Weltweit sind aktuell 6,4 Milliarden Geräte miteinander vernetzt, im Jahr 2020 gehen Schätzungen sogar von 25 Milliarden aus. Ob Kühlschrank oder Industrieroboter – die meisten Dinge wurden nie dafür ausgerichtet, im weltweiten Netz erreichbar zu sein. Daher sind sie oft…

Carbanak und mehr: Banken sehen sich neuen Angriffen gegenüber

Neue Tricks und Trittbrettfahrer der berüchtigten Cyber-Bankräuber. Vor einem Jahr warnte Kaspersky Lab davor, dass Cyberkriminelle mit ähnlichen Methoden wie nationalstaatlich unterstützte APT-Attacken (Advanced Persitent Threats) Banken ausrauben könnten. Jetzt bestätigt das Unternehmen die Rückkehr von Carbanak als Carbanak 2.0 und enthüllt darüber hinaus zwei weitere Gruppen, die in diesem Stil operieren: Metel und GCMAN…