Kurz und knapp

Penetrationstests helfen bei der Identifikation von Sicherheitslücken
Bei Pentests werden Angriffe auf Webanwendungen, Netzwerke oder Computersysteme simuliert
Es gibt eine Vielzahl an Arten und Methoden
Dienstleister sind eingehend auf Vertrauenswürdigkeit zu prüfen
Regelmäßigkeit ist bei Pentests das A und O

Was ist ein Penetrationstest?

Ein Penetrationstest, auch Pentest genannt, ist ein gezielter und kontrollierter Cyberangriff auf ein Computersystem, Netzwerk oder eine Anwendung. Dieser dient dazu, Schwachstellen und Sicherheitslücken zu identifizieren. IT-Sicherheitsexperten simulieren dabei die Techniken und Methoden, die von böswilligen Hackern verwendet werden könnten, um unbefugten Zugang zu Systemen zu erlangen oder Daten zu stehlen.

Diese Angriffe auf die eigene IT-Infrastruktur werden dabei von den jeweiligen Unternehmen selbst in Auftrag gegeben. Indem diese Sicherheitslücken nämlich unter „kontrollierten Bedingungen“ aufgedeckt werden, lassen sich im Anschluss Maßnahmen ergreifen, um besagte Lücken zu schließen. So ist auch sichergestellt, dass die Einhaltung aller gesetzlichen und branchenspezifischen Sicherheitsstandards gegeben ist.

Die Relevanz von Pentests für Unternehmen

Professionell durchgeführte Penetrationstests sind für Unternehmen aus mehreren Gründen ein kostspieliges, aber enorm wichtiges Instrument im Bereich Cybersicherheit:

Schutz vor Cyberangriffen

Durch Pentests aufgedeckte Sicherheitslücken in IT-Systemen, Netzwerken und Anwendungen können aktiv analysiert und geschlossen werden. Indem solche Tests in regelmäßigen Abständen wiederholt und eventuelle Schwachstellen immer wieder adressiert werden, sinkt die Wahrscheinlichkeit, dass das jeweilige Unternehmen Opfer eines tatsächlichen Cyberangriffs wird.

Optimierung der Sicherheitsstrategie

Penetrationstests liefern wertvolle Erkenntnisse über die Stärken und Schwächen der aktuellen Sicherheitsmaßnahmen eines Unternehmens – online und offline. Anhand dieser Daten lässt sich die gesamte eigene Sicherheitsstrategie konstant und transparent weiterentwickeln. Dieses offene und aktive Engagement für mehr IT-Sicherheit wird zudem in der Regel auch positiv von Kunden und Geschäftspartnern aufgenommen.

Schutz von Kundendaten

Die Datenschutzgrundverordnung (DSGVO) enthält klare Vorgaben hinsichtlich der Aufbewahrung und Sicherung von personenbezogenen Daten. Daran geknüpft sind zudem empfindliche Strafen bei Verstößen – etwa dann, wenn Cyberkriminelle über Sicherheitslücken ins System eindringen und sensible Daten erbeuten. Pentests helfen dabei, solche Datenlecks proaktiv zu vermeiden und unternehmenskritische Daten zu schützen.

Erfüllung von Compliance-Vorgaben

Für einige Dienstleister kann die regelmäßige Durchführung von Penetrationstests sogar eine gesetzliche Vorgabe sein. So schreibt etwa der Payment Card Industry Data Security Standard (PCI DSS) Penetrationstests für Unternehmen vor, die Kreditkarteninformationen verarbeiten, um deren IT-Sicherheit durch mindestens jährliche Penetrationstests immer wieder neu zu validieren.

Arten von Penetrationstests

Das Instrument des Penetrationstests kann genutzt werden, um unterschiedlichste Aspekte der IT-Infrastruktur sehr gezielt auf die Probe zu stellen. Am häufigsten sind die Kenntnisse von Pentestern dabei in folgenden Bereichen gefragt:

Netzwerk-Penetrationstest

Bei diesem Test wird die Sicherheit von Netzwerkinfrastrukturen geprüft, einschließlich Firewalls, Routern und Switches. Der Angriff auf das Netzwerk insgesamt zielt darauf ab, unternehmenskritische Daten zu erbeuten oder dessen Funktion zu stören.

Webanwendungs-Penetrationstest

An dieser Stelle analysieren Pentester Webanwendungen (Onlineshops / Kundenportale) auf Schwachstellen wie SQL-Injektionen, Cross-Site-Scripting (XSS) und andere Arten von unsicheren Authentifizierungsmechanismen. Hierzu zählen auch Sicherheitslücken der jeweiligen Schnittstelle (API) sowie eventuelle anwendungsspezifische Exploits.

Wireless Network-Penetrationstest

Dieser simulierte Angriff zielt darauf ab, Schwachstellen in drahtlosen Netzwerken aufzudecken, die Hackern Zugriff auf den Datenverkehr im Netzwerk erlauben würden. Dies sind häufig unsichere WLAN-Konfigurationen oder unzureichende Verschlüsselungsstandards auf Geräten.

Cloud-Penetrationstest

Bei einem Pentest mit Cloud-Fokus sind Cloud-Infrastrukturen und -Anwendungen, die auf Cloud-Diensten aufsetzen, das primäre Angriffsziel. Im Laufe dieses Tests wird ermittelt, wie es um die Cloud Security bestellt ist und ob etwa die jeweilige Cloud Computing-Lösung – zum Beispiel unsere GFOS knownCloud – richtig und somit sicher konfiguriert wurde.

Social Engineering

Im Bereich Social Engineering geht es um die Ausnutzung menschlicher statt technischer Schwachstellen. Mit verschiedenen Techniken werden Mitarbeiter hier dazu verleitet, sensible Informationen herauszugeben. Eine sehr gängige Angriffsform ist etwa das (Spear) Phishing via Mail. Viele Pentester beziehen diese Methoden in ihre Arbeit mit ein, da der Mensch in der IT eine der zuverlässigsten Sicherheitslücken darstellt.

Physische Penetrationstests

Eng verknüpft mit dem Social Engineering sind physische Pentests – hierbei geben sich Hacker als autorisierte Personen aus und versuchen, auf diesem Wege Zugang zu Serveranlagen, Rechenzentren oder anderen sensiblen Bereichen der Unternehmens-IT zu erlangen. Dies stellt einen zusätzlichen Test für die örtlichen Sicherheitskontrollen dar.

In der Praxis wird zudem zwischen internen und externen Penetrationstests differenziert. Bei der externen Variante wird ein Angriff durch einen böswilligen Dritten imitiert, der sich Zugang zum System verschaffen möchte. Interne Tests fokussieren sich hingegen auf den möglichen Schaden, den böswillige Insider anrichten können – also Akteure, die schlimmstenfalls weitreichende Zugriffsrechte innerhalb des Systems haben.

Penetrationstest – Methoden im Überblick

Die Art und Weise, wie und in welchem Rahmen die Pentester bei ihrer Arbeit vorgehen sollen, wird im Vorfeld zwischen Dienstleister und auftraggebendem Unternehmen festgelegt. Dabei wird vereinfacht zwischen drei Test-Methoden unterschieden:

Black Box-Testing

In diesem Szenario verfügen die beauftragten Pentester über keinerlei Details zum System. Alle für einen Angriff erforderlichen Informationen müssen eigenständig zusammengetragen werden. Diese Herangehensweise eignet sich besonders gut, um einen realen Cyberangriff auf die eigene IT zu simulieren und die Widerstandsfähigkeit der Sicherheitssysteme zu testen.

White Box-Testing

Bei diesem Szenario erhalten die Pentester im Vorfeld vollständigen Zugriff auf Informationen über das System, einschließlich Quellcode, Netzwerkarchitektur und Anwendungsdetails. Dies stellt den potenziellen Informationsstand eines gut informierten Insiders dar. Diese Methode erlaubt eine sehr gründliche und tiefgehende Prüfung der jeweiligen IT-Systeme auf Schwachstellen und Sicherheitslücken.

Gray Box-Testing

Das Gray Box-Testing stellt eine Mischung der Varianten dar – Pentester erhalten einige Informationen zum Zielsystem, aber nicht alle Details. Mit dieser Methode lassen sich Angriffe von teilweise informierten Insidern simulieren, wodurch in diesen Penetrationstest sowohl interne als auch externe Vorgehensweisen einfließen.

Der Ablauf eines Penetrationstests

Ein idealtypischer Penetrationstest sollte nach diesem Muster ablaufen bzw. die hier genannten Phasen umfassen:

1) Planung / Vorbereitung

Zwischen Unternehmen und Dienstleister („Hacker“) wird definiert, welche Bereiche und Systeme der Penetrationstest genau abdecken soll. Hierbei wird außerdem das Ziel des Tests selbst festgelegt. Wichtig: All diese Vereinbarungen werden schriftlich festgehalten – gerade auch, um sicherzustellen, dass der Pentester für die festgelegten Aktivitäten keine strafrechtlichen Konsequenzen fürchten muss.

2) Informationsbeschaffung

Im nächsten Schritt des Pentests sammelt der beauftragte IT-Experte weitere Informationen über sein Ziel. Dies kann etwa dadurch geschehen, dass der Angreifer auf öffentlich verfügbare Informationen (Github / Datenbanken) zurückgreift oder aktiv Systeme sowie Netzwerke ausspäht. Hierfür bedient er sich beispielswese Pen-Test-Tools wie Port-Scannern und Co.

3) Prüfung auf Schwachstellen

Nachdem er sich einen Überblick vom Ziel verschafft hat, sucht der Pentester gezielt Schwachstellen im System. Ein beliebtes Tool zum Aufspüren solcher „Vulnerabilities“ in Netzwerken ist der Open Vulnerability Assessment Scanner (OpenVAS). Sind Webanwendungen das Ziel, wird für Penetrationstests gerne auf den Open Source-Sicherheitsscanner „ZAP“ (früher: OWASP ZAP) zurückgegriffen.

Übersicht zum Ablauf eines Penetrationstests

4) Exploitation

Die nächste Phase sieht das Ausnutzen der identifizierten Schwachstelle(n) vor, um Zugriff auf Systeme und Daten zu erhalten. Idealerweise gelingt es dabei, über diesen ersten Zugang weitere Schwachstellen zu identifizieren und diese für eine Ausweitung des simulierten Angriffs zu nutzen. Bei der Nutzung entsprechender Exploits sollten Pentester jedoch immer sicherstellen, dass die eigenen Aktivitäten keine tatsächliche Gefahr für die Anwendungen und Netzwerke des Unternehmens darstellen.

5) Post-Exploitation

Ist der Penetrationstest abgeschlossen, zieht sich der IT-Experte wieder aus dem System zurück. Dabei beseitigt er alle eingerichteten Hintertüren sowie jegliche Skripte und Code, der während seiner Aktivitäten eingesetzt wurde. So ist gewährleistet, dass Cyberkriminelle nicht durch die Arbeit des Pentesters auf Schwachstellen aufmerksam werden und diese für eigene Zwecke ausnutzen.

6) Analyse / Berichterstattung

Den finalen Abschluss jedes Penetrationstests bildet eine Zusammenfassung aller Erkenntnisse und Ereignisse, die dem auftraggebenden Unternehmen vorgelegt wird. Hier ist im Detail aufgeführt, welche Lücken wo und wie aufgespürt wurden, was dadurch an Zugriffen ermöglicht wurde und welche potenziellen Schäden (Datenverluste) hätten verursacht werden können. Teil dieses Abschlussbericht sind auch konkrete Handlungsempfehlungen, um die Sicherheit der IT zu erhöhen.

Pentests zwischen Notwendigkeit und Risikofaktor

Wichtig: Die Zusammenarbeit von Unternehmen mit erfahrenen Pentestern kann erheblich dazu beitragen, die eigene IT-Sicherheit zu stärken. Gleichzeitig erhalten die beauftragten Hacker potenziell schon zu Beginn der Zusammenarbeit sehr sensible Unternehmensdaten.

Um an dieser Stelle den richtigen Dienstleister zu finden, stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Praxis-Leitfaden für IS-Penetrationstests bereit. In diesem sind wesentliche Punkte wie etwa die Prüfung fachlicher Qualifikationen, die Festlegung des Scopes einer Prüfung und mehr zur Orientierung aufgeführt.

Penetrationstests - Best Practices

Damit Unternehmen immer die Gewissheit haben, auf die Sicherheit der eigenen IT vertrauen zu können, empfehlen wir die nachfolgenden Best Practices:

Regelmäßige Tests

Penetrationstests dürfen keine einmalige Angelegenheit sein – ganz im Gegenteil. Jeder abgeschlossene Test ist immer nur eine Momentaufnahme und die nächste Sicherheitslücke ist schlimmstenfalls nicht fern. Darum sollten solche Pentests in regelmäßigen Abständen wiederholt werden – je kritischer die Infrastruktur, desto wichtiger. Darum sind solche Tests auch fester Bestandteil unseres GFOS Hosting-Leistungspakets.

Zusammenarbeit mit Experten

Für belastbare Erkenntnisse ist es erforderlich, dass entsprechende Pentests von erfahrenen IT-Experten durchgeführt werden. Hier bedarf es einer sorgfältigen Recherche, bei der auf anerkannte Zertifikate wie Certified Ethical Hacker (CEH), Offensive Security Certified Professional (OSCP) und artverwandte Qualifikationen zu achten ist. Hier können Unternehmen mit hoher Wahrscheinlichkeit auf eine professionelle Durchführung und Zusammenarbeit vertrauen, die dazu beiträgt, die eigene IT nachhaltig abzusichern.

Benötigen Sie Unterstützung rund um Ihre IT?

Unsere GFOS Cloud & IT-Infrastructures GmbH steht Ihnen mit Rat und Tat zur Seite. Lassen Sie sich gerne unverbindlich beraten – für Sicherheit und Performance aus einer Hand.

Jetzt informieren