Sonderveröffentlichung

Digitalisierung
Wie funktioniert ein Penetrationstest?

Mit der wachsenden Digitalisierung in allen Branchen, wird auch das Thema IT-Sicherheit immer wichtiger. Schließlich sollen Kundendaten, Unternehmensgeheimnisse und Abrechnungsmodalitäten streng vertraulich bleiben. Doch Cyberkriminelle haben es gerade auf die Daten abgesehen, die eigentlich niemand zu sehen bekommen soll. Wie kann man sich dagegen schützen? Einen ersten Aufschluss über mögliche Schwachstellen und Verbesserungsmöglichkeiten gibt der sogenannten Penetrationstest, auch Pen-Test genannt. Dabei handelt es sich um einen simulierten Zugriff auf das unternehmenseigene IT-System. Hierbei werden Schwachstellen gesucht, aufgedeckt und in einem anschließenden Reporting für die IT-Fachleute nachvollziehbar dargestellt.

Mittwoch, 21.04.2021, 07:55 Uhr aktualisiert: 21.04.2021, 14:00 Uhr
Digitalisierung: Wie funktioniert ein Penetrationstest?
Foto: Colourbox

Was genau ist ein Penetrationstest?

Bei dem Penetrationstest geht es darum, herauszufinden, wie schnell und einfach Cyberkriminelle in die eigenen IT-Systeme eindringen können. Der Pen-Test soll das komplette Netzwerk auf mögliche Schwachstellen und damit Zugriffspunkte für unbefugtes Eindringen von außen untersuchen. Dabei gehören unterschiedliche Komponenten zu dem untersuchten System – nicht nur die naheliegenden Server, Computer und das bestehende W-Lan-Netzwerk, sondern auch beispielsweise Bedienanlagen von Voice-over-IP-Telefonanlagen (VoIP) oder die installierten Zeiterfassungssysteme.

Der Penetrationstest hat zum Ziel, das Risiko von Cyber-Angriffen erheblich zu senken, indem mögliche Schwachstellen und Mängel aufgedeckt werden, bevor es zu solch einer Attacke überhaupt kommt. Wie umfangreich der Penetrationstest ist, hängt dabei von individuellen Faktoren ab. So sind die Größe und der Tätigkeitsbereich des Unternehmens genauso entscheidend wie die Möglichkeiten des Anbieters. Wer einen möglichst umfassenden Check seines Systems wünscht, sollte sich also nach einem Dienstleister für Cybersicherheit umschauen, der möglichst viele Tools im Programm hat.

Die Beseitigung der Mängel ist nicht mehr Bestandteil des Penetrationstests. Viele Dienstleister liefern aber mit dem Ergebnis eine Handlungsempfehlung, welche Mängel zunächst behoben werden sollten. Einige Penetrations-Tester haben außerdem den passenden IT-Sicherheitsservice im Gepäck.

Was wird beim Penetrationstest überprüft?

Beim Pen-Test handelt es sich um einen simulierten Hacker-Angriff, der zeigen soll, welche Schwachstellen die eigene IT-Sicherheit hat. Das bedeutet, der Dienstleister für Cybersicherheit fingiert einen Zugriff von außen und untersucht das Netzwerk auf mögliche Schwachstellen, die für einen Daten-Diebstahl ausgenutzt werden können. Dabei können folgende Elemente in den Blick genommen werden:

  • bestehende Sicherheitsvorkehrungen wie Firewalls, Passwortmanager etc.
  • Web-Anwendungen, wie die Zeiterfassung im Homeoffice, Urlaubsplanungen, Projektmanagement-Tools oder Online-Terminvergaben
  • die verwendeten Server für den Mailverkehr, Unternehmensdatenbanken, gemeinsames Dokumentenmanagement oder für das digitale Büro
  • Prozesscontainer und ihre Schnittstellen
  • Virenscanner
  • W-Lan und Bluetooth-Netzwerke
  • Clients, also die einzelnen Anwenderkonten, über die sich Mitarbeitende anmelden
  • Physische Netzwerkpunkte wie Router, Gateways oder Switches
  • Telefonanlagen
  • Gebäudesicherheitssysteme, etwa elektronische Schließanlagen

Je nach Unternehmensgröße und Unternehmensart kommen hier noch verschiedene Testpunkte mehr zusammen, so gehören bei Einzelhändlern auch immer die Zahl- und Kassensysteme zum Penetrationstest dazu.

So läuft der Penetrationstest

Der komplette Pen-Test gliedert sich in fünf verschiedene Phasen: Methodik und Design des Tests, der Scan des zu prüfenden Netzwerkes, der tatsächliche Zugriffsversuch, die Überprüfung der Antwortzeit der Sicherheitssysteme und schließlich die Berichterstattung über das Ergebnis. Die einzelnen Phasen und deren Umsetzung variieren je nach Anbieter. Allerdings gibt das Bundesamt für Sicherheit in der Informationstechnologie sechs Testkriterien an, die erfüllt werden sollten:

  • Aggressivität des Angriffs
  • Umfang
  • Informationsbasis
  • Ausgangspunkt für den Angriff
  • Technik des Angriffs
  • Vorgehensweise

Anhand dieser Kriterien lassen sich auch die fünf verschiedenen Phasen aufbauen.

  1. In der ersten Phase werden Methodik und Design des Penetrationstests festgelegt. Dabei verschafft sich der Dienstleister einen Überblick über die Infrastruktur und das IT-System. Die Testbereiche werden festgelegt und anhand derer entschieden, welche Tests und Tools konkret zum Einsatz kommen. Außerdem wird in dieser Phase das Ziel gesetzt, welches am Ende mit dem Pen-Test erreicht werden sollt.
  2. Die zweite Phase ist die genaue Analyse des Systems, bei welcher der Dienstleister die konkreten Schwachstellen des Systems ausfindig macht. Alle Ergebnisse sollten gründlich dokumentiert werden, um anschließend einen umfänglichen Überblick über die Mängel zu haben. Die Penetrationstester nehmen dabei den Code genau in den Blick, um herauszufinden, wo genau sie zugreifen müssen.
  3. Als dritte Phase erfolgt schließlich der Angriff auf das System des Unternehmens. Dabei wird das System mit allen vorher festgelegten Testvarianten einer starken Belastungsprobe ausgesetzt, um genau herauszufinden, wo die Probleme liegen. Ist der Zugriff schließlich gelungen, testet der Dienstleister, wie groß die Sicherheitslücken sind. Können Kundendaten entwendet werden? Kann man vom Sicherheitsleck aus auf weitere Netzwerkbereiche zugreifen?
  4. Als vierten Schritt wird schließlich geprüft, wie lange das Sicherheitsleck ausgenutzt werden kann. Dieser Persistenztest geht davon aus, dass Cyberkriminelle vor allem auf den Faktor Zeit angewiesen sind, um möglichst großen Schaden anzurichten. Also testen die Cybersicherheits-Spezialisten, wie lange die unternehmenseigenen Alarmsysteme benötigen, um Sicherheitsprotokolle in Kraft zu setzen. Auch die Reaktionsfähigkeit des IT-Sicherheitspersonals wird so auf die Probe gestellt.
  5. Anschließend erfolgen die Auswertung und Aufbereitung der Ergebnisse. Alle Phasen werden genau dokumentiert. Die Erkenntnisse der Phasen zwei bis vier bieten Anhaltspunkte, aus denen eine Prioritätenliste erstellt werden kann.

Welche Penetrationstests gibt es?

Um sein IT-Netzwerk vor unbefugten Zugriffen zu schützen, kann man vier unterschiedliche Wege gehen. Der erste Weg ist der interne Penetrationstest . Hierbei geht es vor allem darum, herauszufinden, auf welchem Wege Mitarbeitende Daten aus dem Unternehmensnetzwerk stehlen können. Es werden also vor allem die Netzwerkbereiche auf den Prüfstand gestellt, zu denen Mitarbeitende direkten Zugriff haben.

Der klassische Pen-Test ist allerdings der externe Penetrationstest. Dieser wird wie ein klassischer Hacker-Angriff simuliert, es wird also der Zugriff via Internet von außen bemüht. Auch Überlastungen des Netzwerks durch sogenannte DDos-Angriffe werden dabei versucht. Diesen externen Penetrationstest kann man entweder in detaillierter Absprache durchführen oder als sogenannten Blindtest.

Ein einfacher Blindtest sieht so aus, dass der Dienstleister den Namen und das Einverständnis des Auftraggebers erhält und auch dessen IT-Fachpersonal eingeweiht ist. Allerdings erfolgen keine Absprachen darüber hinaus, das heißt, der Penetrationstester hat keine weitere Kenntnis über das Netzwerk und interne Prozesse. Mit diesem Blindtest lässt sich vor allem die Zuverlässigkeit der eigenen IT-Sicherheit testen.

Entscheidet man sich für einen Doppelblindtest, dann ist auch die unternehmenseigene IT-Abteilung nicht eingeweiht. Der Penetrationstester versucht sich über einen klassischen Hacking-Angriff Zugriff zu verschaffen. Damit stellt er die Reaktionszeit der IT-Sicherheit sowie die der etablierten Sicherheitsprotokolle auf den Prüfstand. Auf diesem Wege können sowohl menschliche als auch technische Sicherheitslücken aufgetan werden.

https://event.yoochoose.net/news/705/consume/10/2/7928142?categorypath=%2F2%2F84%2F61%2F198%2F711292%2F711749%2F
Nachrichten-Ticker