Penetrationstest: die ultimative Methode zur Identifikation von Schwachstellen

Ethische Hacker führen beim Pentest (Penetration Testing) gezielte Angriffe auf die Sicherheitsinfrastruktur eines Unternehmens durch, um Schwachstellen zu identifizieren und zu beheben. Diese Tests sind ein integraler Bestandteil einer umfassenden Sicherheitsstrategie für Webanwendungen.

Penetrationstest in Kürze

IT-Systeme mit hohem Sicherheitsniveau sind essentiell für Ihr Unternehmen, denn sie ermöglichen die sichere Speicherung von Daten und die Einhaltung der DSGVO. Jede Schwachstelle in den IT-Systemen macht Ihr Unternehmen angreifbar.

Wissen Sie, wie es um das IT-Sicherheitsniveau in Ihrem Unternehmen bestellt ist? Im Rahmen eines Penetrationstests finden wir heraus, wie fehleranfällig Ihre IT ist und welche Sicherheitsmaßnahmen ergriffen werden müssen. 

  • Mit einem Penetrationstest ermöglicht die Prüfung der IT-Sicherheit in Unternehmen.
  • Regelmäßige Penetration Tests sind notwendig für ein angemessenes IT-Sicherheitsniveau.

Was ist ein Penetrationstest? eine grundlegende Einführung

Ein sogenannter Penetrationstest oder kurz Pentest (Penetration Testing) ist ein Verfahren, das dazu dient, die aktuelle Sicherheit eines IT-Systems oder einer (Web-)Anwendung zu überprüfen. Dieser Test wird als Sicherheitscheck für Unternehmen jeglicher Größenordnung angesehen und verwendet Mittel und Methoden, wie sie auch von Hackern eingesetzt werden würden, um in das System einzudringen - also es zu durchdringen. 

Durch den Einsatz des Pentests (Pen Testing) kann festgestellt werden, wie empfindlich das System auf solche Angriffe reagiert. Manchmal wird der Begriff "Penetrationstest" auch synonym mit einem automatisierten Schwachstellen-Scan oder Security-Scan verwendet. Die Konsequenzen eines Penetrationstests können weitreichend sein und sollten daher nur von Personen mit entsprechendem Fachwissen im Bereich der IT-Sicherheit durchgeführt werden.

Warum ein Pentest unerlässlich ist: Schutz vor Sicherheitslücken

Es ist nicht mehr ausreichend, lediglich Antiviren-Software und eine Firewall zu haben, um Ihr Unternehmen vor Cyber-Kriminalität zu schützen. In den letzten Jahren hat die Bedrohung durch Cyberangriffe exponentiell zugenommen.

Dies liegt zum einen daran, dass Hacking-Tools frei im Internet verfügbar sind und auch unerfahrene Personen Angriffe durchführen können. Zum anderen gibt es immer mehr kriminelle Hackerbanden, die gezielt Schwachstellen in Unternehmen ausnutzen.

Um dieser Bedrohung entgegenzuwirken und festzustellen, ob Ihr Unternehmen angemessen gegen Hacking-Angriffe geschützt ist, empfehlen wir Ihnen einen professionellen Penetration Test.

Wie erfolgt ein Penetrationstest?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Klassifikationsschema entwickelt, das Penetrationstests in sechs Hauptkriterien unterteilt. Gemeinsam mit dem Kunden werden diese Kriterien verwendet, um einen maßgeschneiderten Pentest zu erstellen. Vor Beginn des Tests müssen die folgenden Kriterien geklärt werden:

  • Informationsbasis,
  • Aggressivität,
  • Umfang,
  • Vorgehensweise,
  • Technik und
  • Ausgangspunkt.

Der Zweck des Penetrationstests besteht darin, bisher unentdeckte Schwachstellen und Anwenderfehler aufzudecken. Durch die Simulation eines Hackerangriffs sollen sowohl technische als auch organisatorische Aspekte der IT-Sicherheit verbessert oder bestätigt werden. Die Ergebnisse des simulierten Hackerangriffs werden in einem Bericht festgehalten, der auch Empfehlungen zur Behebung von identifizierten Sicherheitslücken beinhaltet.

Effektive Penetrationstests: Schritte zur erfolgreichen Durchführung

1. Beginnen Sie mit der richtigen Planung und Erkundung

Während der anfänglichen Phase des Eindringens wird eine böswillige Attacke geplant und nachgestellt. Diese Attacke ist darauf ausgerichtet, möglichst viele Informationen über das System zu sammeln.

Dies ist möglicherweise eine der längsten Phasen, da ethische Hacker das System überprüfen, um Schwachstellen zu entdecken und die Reaktion des technischen Stacks auf etwaige Angriffe zu testen. Die gesuchten Informationen reichen von den Namen und E-Mail-Adressen der Mitarbeiter bis hin zur Netzwerktopologie, IP-Adressen und vielem mehr. 

Es sollte beachtet werden, dass Art und Umfang der Untersuchung von den festgelegten Prüfzielen abhängig sind. Zu den Methoden zur Informationsbeschaffung gehören Social Engineering, Durchsuchung von Abfallcontainern (Dumpster Diving), Scannen des Netzwerks sowie Abrufen von Registrierungsdaten für Domänen.

2. Scannen der Schwachstellen

Basierend auf den Erkenntnissen aus der Planungsphase verwenden die Penetrationstester Scanning-Tools, um die Schwachstellen des Systems und Netzwerks zu untersuchen. In diesem Testabschnitt werden die Mängel im System identifiziert, welche für gezielte Angriffe genutzt werden könnten. Die korrekte Beschaffung all dieser Informationen ist von großer Bedeutung, da sie über den Erfolg der nachfolgenden Phasen entscheidet.

3. Erlangung des Zugriffs auf das System

Sobald die IT Sicherheitsexperten für Penetrationstests die Mängel des Systems identifiziert haben, infiltrieren sie das Netzwerk, indem sie gezielt vorhandene Sicherheitslücken ausnutzen. Im Anschluss daran streben sie danach, ihre Rechte zu erweitern und somit aufzuzeigen, wie weitreichend ihr Eindringen in die Zielumgebung erfolgen kann.

4. Sicherung eines dauerhaften Zugriff

In diesem Schritt des Penetrationstests wird analysiert, welche Folgen eine Ausnutzung von Schwachstellen durch die Ausnutzung von Zugriffsrechten haben könnte. Nachdem sich die Penetrationstester erfolgreich in ein System eingehackt haben, ist es wichtig, den Zugang aufrechtzuerhalten und den simulierten Angriff lange genug fortzuführen, um die Ziele der böswilligen Hacker zu erreichen und nachzuahmen.

Daher zielt diese Testphase darauf ab, möglichst viele Privilegien, Netzwerkinformationen und Zugänge zu verschiedenen Systemen zu erlangen. Es geht darum herauszufinden, welche Daten oder Dienste uns zur Verfügung stehen.

In dieser Phase wird verdeutlicht, welchen Schaden diese Sicherheitsverletzung für Unternehmen bedeuten könnte. Den Zugriff auf einen alten Computer ohne Verbindung zur Domäne zu erhalten ist nicht das Gleiche wie direkter Zugang zu Passwörtern oder kompromittierten Daten.

5. Analyse, Auswertung und Berichterstattung

Im letzten Schritt des Penetrationstest wird vom Sicherheitsteam ein umfassender Bericht erstellt, der den gesamten Ablauf des Tests beschreibt. Der Bericht sollte bestimmte Informationen und Details enthalten:

  • Die Ernsthaftigkeit der Risiken, die durch die aufgedeckten Schwachstellen entstehen,
  • Die verwendeten Werkzeuge für einen erfolgreichen Systemeinbruch
  • Hervorhebung der Bereiche mit korrekter Sicherheitsimplementierung
  • Identifizierung der Schwachstellen, die behoben werden müssen, sowie Empfehlungen zur Verhinderung zukünftiger Angriffe

Die Berichterstattung ist möglicherweise entscheidend für beide Parteien. Da sowohl IT-Mitarbeiter als auch nichttechnische Manager wahrscheinlich den Bericht lesen werden, empfiehlt es sich, ihn in eine allgemeine Erläuterung und einen technischen Aspekt zu unterteilen - also in einen Executive-Bericht und einen technischen Bericht.

Welche verschiedene Arten eines Penetrationstests gibt es?

Es existieren drei primäre Arten von Penetrationstests: Black-Box, Grey-Box und White-Box.

Black-Box

Bei einem Black-Box Pentest erhält der Pentester keinerlei Informationen über die IT-Infrastruktur des Unternehmens. Der Test imitiert die typische Vorgehensweise eines Cyberangriffs und versucht, in das Netzwerk einzudringen. Normalerweise wird die IT-Abteilung nicht über den Test informiert, um einen möglichst realitätsnahen Angriff zu simulieren.

Ein Black-Box Netzwerktest bietet somit eine äußerst detaillierte und realistische Bewertung der Sicherheitssysteme, ist jedoch auch sehr zeitaufwendig und daher auch kostenintensiv.

Grey-Box

Im Rahmen eines Grey-Box-Tests hat der Penetrationstester die Zugriffsrechte eines internen Benutzers und verfügt somit über Kenntnisse des Systems. Der Tester nutzt dieses Benutzerkonto, um den Test durchzuführen.

Grey-Box-Pentests sind ideal für eine gezielte Sicherheitsanalyse geeignet, da die Tester bereits im Voraus Informationen haben und nicht wie beim zuvor erwähnten Black-Box Test von außen in das System eindringen müssen.

White-Box

Im Rahmen eines White-Box Pentests kooperiert der Prüfer eng mit der internen IT-Abteilung des Unternehmens und verfügt bereits über umfassendes Wissen zur Infrastruktur. Durch den Zugriff auf sämtliche Systeme können zahlreiche Sicherheitslücken identifiziert werden, doch es fehlt häufig der Bezug zu realen Bedrohungen wie beim Black-Box Test.

Sicherheit braucht Zeit: Wie lange dauert ein Penetrationstest?

Die Durchführung eines Penetrationstests kann eine Zeitspanne von mehreren Tagen bis hin zu einigen Wochen in Anspruch nehmen. Die exakte Dauer hängt dabei von Faktoren wie der Größe des Unternehmens, der Komplexität der IT-Infrastruktur, dem spezifischen Typ des Penetrationstests und dem abschließenden Bericht ab.

Was versteht man unter Web Application Penetrationstest

Web Application Penetration Testing ist eine Methode, um die Sicherheit von Webanwendungen zu überprüfen. Dabei werden Schwachstellen aktiv analysiert, um die Sicherheit einer Webapplikation einzuschätzen.

Das Hauptziel besteht darin, möglichst viele Schwachstellen und Sicherheitslücken aufzudecken und auszunutzen. Die Vorgehensweise ähnelt einem Penetration Test und hat zum Ziel, durch gezielte Angriffe in die Webapps einzudringen.

Was ist ein Schwachstellenscan?

Das Schwachstellenscanning ist ein automatisiertes Verfahren, das proaktiv die IT-Infrastruktur Ihres Unternehmens auf vorhandene Sicherheitslücken untersucht.

Ein spezieller Scanner ermittelt dabei die Komponenten Ihrer IT-Infrastruktur und identifiziert mögliche Schwachstellen. Hierfür nutzt er Datenbanken mit Informationen zu bekannten Sicherheitslücken und Fehlkonfigurationen wie:

  1. Schwachstellen infolge fehlender Sicherheitsupdates
  2. Schwachstellen durch falsche Konfiguration
  3. Unsichere Verschlüsselungseinstellungen
  4. Freigegebene oder unzureichend gesicherte Shares (Dateifreigaben)
  5. Mangelnder Patchstand von Software und Diensten
  6. Verwendung von Standardkennwörtern

Sobald der Schwachstellenscanner IT-Sicherheitslücken erkennt, werden diesen Lücken bestimmte Schweregrade zugewiesen (beispielsweise niedrig, mittel, hoch oder kritisch) und den Verantwortlichen für die IT-Sicherheit in Form eines Berichts mit entsprechenden Handlungsempfehlungen übermittelt.

Zusätzlich stellt er dem IT-Management regelmäßige statistische Reports bereit. Durch regelmäßiges Scannen auf Schwachstellen können neue Lücken sofort erkannt und gezielt behoben werden.

Was versteht man unter Social Engineering?

Social Engineering bezieht sich auf die Art und Weise, wie ein Hacker eine Person durch zwischenmenschliche Beeinflussung manipuliert. Der Zweck besteht darin, das Vertrauen des Opfers zu gewinnen und es dazu zu bringen, sensible Informationen preiszugeben oder Kreditkartendaten sowie Passwörter freizugeben.

Obwohl Social Engineering hauptsächlich im Internet stattfindet, handelt es sich um eine Betrugsmasche, die seit Jahrzehnten verwendet wird. Eine der bekanntesten Methoden ist der Enkel-Trick: Trickbetrüger rufen ältere Menschen an und geben vor, ein Familienmitglied in finanzieller Notlage zu sein (Polizeiliche Kriminalprävention 2017).

Auch auf Online-Partnerbörsen machen Kriminelle immer wieder vom Social Engineering Gebrauch, um finanziell davon profitieren können. Sie kontaktieren Männer als vermeintlich junge attraktive Frauen mit dem Wissen darüber dass sie nach einer neuen Partnerin suchen.

Die Betrüger spielen ihre Rolle so überzeugend als verliebte Single-Frau aus dass sie schon innerhalb kurzer Zeit das Vertrauen des Opfers gewonnen haben werden. Beispielsweise bitten diese dann für einen Besuch beim "neuen Partner" schließlich um finanzielle Unterstützung von ihrem Opfer. Danach brechen oft den Kontakt ab.

FAQ - Penetration Testing