Die 5 meistgestellten Fragen rund um den Penetrationstest

Mit der Beauftragung eines Penetrationstests entscheiden Sie sich dafür, ein optimales Sicherheitsniveau Ihrer Dienste und Systeme sicherzustellen und somit Ihr Unternehmen wirksam vor Schäden, die durch Cyber-Kriminalität verursacht werden, zu schützen. Nachfolgend geben unserer Cyber Security Experten Antworten auf die 5 meist gestellten Fragen zur Durchführung eines Penetrationstests. 

1. Weshalb ist die Durchführung von Penetrationstests so wichtig für Unternehmen?

Aktuelle Sicherheitsanalysen zeigen, dass Unternehmen weltweit der permanenten Gefahr unterliegen, Opfer von Cyberangriffen zu werden. Die Zahl bekannter krimineller Angreifergruppen ist im Jahr 2019 weltweit auf über 1800 gestiegen, während je Sicherheitsvorfall allein durchschnittlicher Schaden von 3.92 Millionen USD verursacht wurde.

Die meisten Angriffe wurden dabei von Dritten identifiziert (53%) und blieben bis zum Zeitpunkt der Entdeckung durchschnittlich 141 Tage für das betroffene Unternehmen unerkannt. Gleichzeitig verlieren klassische Abwehrmaßnahmen wie Virenscanner und Firewalls weiter an Wirksamkeit. Dies betrifft alle Nutzer: Private, Unternehmen, Staat und Verwaltung.

Die Mehrzahl der Angriffe auf Unternehmen zielt auf den Diebstahl von geistigem Eigentum (22%) oder die finanzielle Bereicherung durch Erpressung (29%). Letzteres zeigt sich vor allem in der steigenden kriminellen Energie durch die Platzierung von Erpressungstrojanern. In der Konsequenz sind die Folgen eines erfolgreichen Cyberangriffes in der Regel immens. Es droht nicht nur ein hoher finanzieller Schaden, auch ein durch Datendiebstahl verursachter Imageverlust kann lang anhaltende negative Konsequenzen für Unternehmen bedeuten.

Im Rahmen eines Penetrationstests decken unsere Pentester die IT-Schwachstellen Ihres Unternehmens auf und liefern Ihnen konkrete Handlungsempfehlungen zur Beseitigung aller Defizite. Die Methoden und Werkzeuge, die sie zur Überprüfung einsetzen, entsprechen denen, die auch Cyberkriminelle nutzen. Penetrationstests dienen damit auch dem Selbstschutz der Unternehmensverantwortlichen, da sie Unternehmensrisiken, wie z.B. Betriebsausfälle oder Reputationsverluste, minimieren sowie die sensiblen Daten ihres Unternehmens und ihrer Kunden schützen.

2. Welche Verfahren gibt es, um einen Penetrationstest durchzuführen?

Generell wird bei der Durchführung eines Penetrationstests zwischen White Box-, Black Box- und Grey Box Audit unterschieden, die als Testansatz das Wissensprofil eines Angreifers darstellen.

Im Rahmen des White Box Audits werden unseren verantwortlichen Penetrationstestern alle notwendigen Informationen über die IT-Systeme und internen Strukturen Ihres Unternehmens vor Testbeginn zur Verfügung gestellt. Dies umfasst bei Bedarf auch die Bereitstellung von unterschiedlichen Benutzerzugriffen sowie ggf. Quellcode von zu analysierenden Einzelapplikationen in einer Testumgebung.

Im Gegensatz hierzu liegen beim Black Box Audit kaum Informationen über die zu prüfenden IT-Systeme vor. Analog zum Vorgehen eines echten Angreifers müssen vorab möglichst viele angriffsrelevante Informationen beschafft werden, die eine erfolgreiche Durchführung ermöglichen. Damit simuliert diese Art des Penetrationstests einen möglichen Angriff sehr realitätsnah, führt jedoch unter Umständen zu einer geringeren Abdeckung und Überprüfungstiefe als ein White Box Audit.

Das Grey Box Audit beinhaltet eine Kombination aus Black Box Audit und nachgelagertem White Box Audit. Aus ökonomischer Sicht stellt das Grey Box Verfahren damit im Vergleich zum häufig nachgefragten Black Box Verfahren eine effizientere Vorgehensweise dar.

3. Welche Punkte sollten vor der Durchführung eines Penetrationstests erörtert werden?

In einem Vorgespräch zwischen den für Penetrationstests beauftragten IT Sicherheitsexperten und den Projektverantwortlichen Ihres Unternehmens werden zunächst das Ziel und der Prüfungsgegenstand des Penetrationstests definiert.

Welche Systeme sollen auf Sicherheitslücken überprüft werden - öffentlich verfügbare Dienste wie Ihr Webserver (Portale, Webseite oder Shopsysteme), Mailserver oder Mitarbeiterzugänge, das WLAN oder das gesamte Unternehmensnetzwerk? Möchten Sie wissen, ob bestimmte Compliance-Vorgaben eingehalten werden? Funktioniert Ihr Patch-Management?

Die Zielvorgaben können in die unterschiedlichsten Richtungen gehen – und müssen aus diesem Grund exakt geplant und formuliert werden. Im Rahmen des Vorgesprächs werden neben den Überprüfungsszenarien und Umfang auch die Handlungsgrenzen definiert. In diesem Zusammenhang ist wichtig zu wissen, dass sich bestimmte Sicherheitslücken nur dann sicher nachweisen lassen, wenn sie von unseren IT-Sicherheitsexperten aktiv ausgenutzt bzw. verifiziert werden. Häufig verbergen sich hinter derartigen IT-Sicherheitslücken weitere schwerwiegendere Sicherheitsprobleme, die erst nach der Ausnutzung identifiziert werden können. Wir empfehlen deshalb, den Testumfang so wenig wie möglich einzuschränken – für einen Angreifer würden derartige Einschränkungen schließlich ebenso wenig gelten.

Unabhängig davon legen wir ein besonderes Augenmerk auf eine systemschonende Testdurchführung und setzen potenziell stabilitätsgefährdende Tests nur nach erfolgter Rücksprache und in enger Abstimmung mit Ihren IT-Verantwortlichen um. Somit garantieren wir jederzeit eine reibungslose und erfolgreiche Testdurchführung.

4. Welche Penetrationstest-Methode ist für Ihr Unternehmen geeignet?

Je nachdem, welche Zielsetzung Sie mit der Durchführung eines Penetrationstests verfolgen, finden wir gemeinsam mit Ihnen die geeignete Form des Testverfahrens anhand verschiedener Kriterien heraus. Häufig empfehlen unsere IT-Sicherheitsexperten das White Box Audit, da mit diesem Verfahren eine optimale Abdeckung der zu untersuchenden Systeme gewährleistet wird und somit sehr effektiv relevante Schwachstellen identifiziert werden. Des Weiteren sollte diese Variante generell bei der Prüfung von Einzelanwendungen gewählt werden.

DDoS-Attacke – ja oder nein?

Unseren Pentestern wird häufig die Frage gestellt, ob es sinnvoll ist, einen Distributed Denial of Service-Angriff (DDoS) im Rahmen eines Penetrationstests durchzuführen.

Aus Sicht unserer IT-Sicherheitsexperten ist dieses Testverfahren sinnvoll, wenn Sie bereits DDoS-Schutzmechanismen implementiert haben und deren Wirksamkeit überprüfen möchten. Ansonsten raten wir von diesem Testverfahren eher ab, da die zur Verfügung stehende Netzwerkkapazität Ihres Unternehmens komplett ausgelastet würde und technische Beeinträchtigungen die Folge wären.

5. Ist die Durchführung einer Innentäter-Simulation empfehlenswert?

Entgegen der oft vertretenen Meinung, „Angriffe kommen immer von außen, daher müssen die Systeme auch primär von außen abgesichert werden“, bergen die intern erreichbaren IT-Systeme erfahrungsgemäß das deutlich größere Risiko. Typischerweise befinden sich in internen Netzen oft zu wenig wirksame Kontrollmechanismen, nachlässig gewartete oder sogar nicht dokumentierte Systeme und eine riskante Berechtigungsvergabe. Daher ist es einem Angreifer aus dieser Perspektive sehr häufig möglich, in kurzer Zeit die Kontrolle über die gesamte IT-Umgebung zu erlangen.

Tatsächlich muss es sich bei einem Innentäter nicht einmal um einen eigenen Mitarbeiter handeln, sondern auch externe Dienstleister oder gekaperte interne PCs können zu Innentäter-Angriffen führen.

Im Rahmen einer Innentäter-Simulation erhalten wir von Ihnen einen repräsentativen Arbeitsplatzrechner inklusive einem Standard-Benutzerzugang. Ausgehend von diesem System versuchen wir, unsere Berechtigungen so weit wie möglich auszuweiten und in andere Netzbereiche vorzudringen – oft mit dem Ergebnis, dass sogar die Kontrolle über vermeintlich isolierte Produktionsnetze möglich ist und keine interne Überwachung Alarm schlägt. Es bietet sich häufig an, Innentäter-Simulationen mit Aspekten des Social Engineering zu kombinieren, um zusätzlich die Einhaltung von internen Richtlinien (z. B. keine Passwörter auf Post-its, keine vertraulichen Dokumente im Papiermüll, ungesperrte Desktops) oder die Effektivität physischer Schutzmaßnahmen zu prüfen.