Penetrationstest vs. Schwachstellenanalyse - Ein Vergleich
von Svenja Koch
Zielsetzung der Überprüfungsmethoden
Penetrationstests gelten als grundlegender Bestandteil jeder nachhaltigen IT-Sicherheits- sowie Informationssicherheitsstrategie. Das elementare Ziel dieser Testverfahren ist, Schwachstellen in IT-Infrastrukturen aufzudecken und Sicherheitslücken zu schließen, bevor diese von Angreifern ausgenutzt werden. Als Momentaufnahme und zur Identifikation von Ad-hoc-Gefahren sind White Box-, Black Box- oder Grey Box-Audits heutzutage unabdingbar.
Neben diesen „klassischen“ Penetrationstests gibt es weitere Verfahren, um die IT-Sicherheit einer Infrastruktur zu überprüfen. Darunter fallen beispielsweise auch automatisierte Schwachstellenscans.
IT-Sicherheitsverantwortliche von Unternehmen benötigen beides, um ihre Sicherheitsstrategie mit Nachdruck zu verfolgen. Wann aber ist welche Methode notwendig bzw. sinnvoll? Kann eines der Verfahren das andere ersetzen?
Das Schwachstellenscanning
Schwachstellenscanning ist ein automatisiertes Verfahren, mit dem die IT-Infrastruktur Ihres Unternehmens proaktiv auf vorhandene Schwachstellen untersucht wird.
Der eingesetzte Schwachstellenscanner erkennt die Komponenten der betreffenden IT-Infrastruktur und findet die hier vorhandenen IT-Sicherheitslücken. Als Basis dienen dabei Datenbanken, die Informationen zu bekannten Schwachstellen und Fehlkonfigurationen enthalten, wie beispielsweise:
- Schwachstellen aufgrund fehlender Sicherheitsupdates
- Schwachstellen aufgrund von Fehlkonfigurationen
- Unsichere Verschlüsselungseinstellungen
- Freigegebene bzw. nicht ausreichend gesicherte Shares
- Unzureichende Patchstände von Software und Diensten
- Einsatz von Standardkennwörtern
Identifiziert der Schwachstellenscanner IT-Sicherheitslücken, werden diesen Schweregrade zugeordnet (z.B. niedrig, mittel, hoch, kritisch) und mit entsprechenden Handlungsempfehlungen den IT-Sicherheitsverantwortlichen in Form eines Berichts übermittelt. Zudem liefert er dem IT-Management regelmäßig statistische Reports. Ein regelmäßiger Schwachstellenscan ermöglicht somit, dass neue Schwachstellen umgehend erkannt werden und passgenau gepatcht werden können.
Herausforderung False Positives
Da ein Schwachstellenscanner typischerweise ausschließlich Schwachstellen erkennt, die der Hersteller dieses spezifischen Scanners in der Datenbank hinterlegt hat, können ggf. sehr neue Schwachstellen nicht erkannt werden. Zusätzlich verfügt der Scanner nur über eingeschränkte Prüfmechanismen, um eine Schwachstelle zu identifizieren – es kann somit zu einer False Negatives- oder False Positives Problematik kommen.
Im Falle eines False Negative wird eine existierende Schwachstelle beispielsweise aufgrund fehlender Informationen nicht erkannt. Im Gegensatz dazu meldet der Scanner bei einem False Positive die Erkennung einer Schwachstelle, ist aber nicht in der Lage, diese durch den Einsatz eines entsprechenden Exploits* oder weiteren Tools bzw. Angriffsmethoden zu bestätigen. Tatsächlich ist es möglich, dass die Schwachstelle in diesem Fall gar nicht vorhanden ist - im Report wird die betreffende Schwachstelle aber dennoch mit einer entsprechenden Priorität ausgewiesen.
Das Verfahren des Credentialed Scanning führt zu präziseren Ergebnissen: Bei diesem Verfahren prüft der Scanner das Zielsystem „von innen“. Dazu erhält dieser eigene Login- Daten, um im angemeldeten Zustand sämtliche auf dem System installierte Software auf Sicherheitslücken zu untersuchen. Als Ergebnis wird u.a. die Gefahr eines Fehlalarms (False Positives) reduziert.
Der Penetrationstest
Ein Penetrationstest ist eine gezielte und individuell durchgeführte IT-Sicherheitsüberprüfung. Er analysiert, inwieweit die IT-bzw. Informationssicherheit eines Unternehmens durch externe oder interne Angriffe gefährdet ist und ob die bereits getroffenen Maßnahmen einen ausreichenden Schutz bieten.
Die Zielsetzung ist mit dem Schwachstellenscanning vergleichbar, jedoch verfügt der Penetrationstester über zusätzliche Möglichkeiten, potentielle Schwachstellen aufzudecken, zu verifizieren und zu kombinieren.
Im Gegensatz zum Schwachstellenscanner ist ein Penetrationstester in der Lage, die Schwachstelle durch den Einsatz weiterer Tools, Module oder eines Exploits zu verifizieren. Darüber hinaus ist er nicht durch eine einzelne Schwachstellendatenbank limitiert. Ergänzend ist bei dieser manuellen Vorgehensweise möglich, weitere Sicherheitslücken „hinter“ der ausgenutzten Schwachstelle zu identifizieren. Ein Schwachstellenscanner stößt beispielsweise bei eigenentwickelten Applikationen schnell an Grenzen, da es für diese keine Datenbank bekannter Schwachstellen gibt. Ein Penetrationstester hingegen kann durch manuelle Analyse die Funktionsweise der Applikation gezielt prüfen, um neue Schwachstellen zu identifizieren.
Nur durch manuelle Pentest-Techniken wird es möglich, verschiedene Sicherheitslücken zu verketten und das tatsächliche Schadpotenzial zu ermitteln.
*Ein Exploit stellt eine systematische Möglichkeit dar, basierend auf einer Sicherheitslücke gezielt die Kontrolle über ein System zu übernehmen oder es zu manipulieren. Ein Exploit ermöglicht somit die konkrete Ausnutzung einer Sicherheitslücke und liegt in Form von Programmcode oder einer technischen Beschreibung vor.
Wann wird welches Untersuchungsverfahren eingesetzt?
Das Schwachstellenscanning als Basis
Ein Schwachstellenscan liefert insbesondere bei Infrastruktur-Analysen einen ersten grundlegenden Einblick von potenziell vorhandenen Schwachstellen und dienst deshalb häufig als Basis für weiterführende manuelle IT-Sicherheitsüberprüfungen, so auch für Penetrationstests.
Penetrationstest: Vorgehen wie ein Hacker
Nach der Analyse der automatisiert gefundenen Schwachstellen durch den Schwachstellenscanner erfolgt eine umfangreiche manuelle Analyse dieser durch den Penetrationstester. Hierbei steht u.a. die nicht-autorisierte Ausnutzung von implementierten Funktionen im Fokus.
Aufzudeckende IT-Sicherheitslücken können im Webshop lauern, in mobilen Applikationen, bei der Erfassung von Kreditkartendaten oder auch an der Schnittstelle zwischen einer Bewerbungsplattform und internem SAP-System. Im Gegensatz zum automatisierten Scanning-Verfahren sind Penetrationstester in der Lage, diese durch zielgerichtetes bzw. manuelles Vorgehen zu identifizieren.
Im Rahmen des Penetrationstests wird überprüft, ob die erlangten Informationen der zuvor automatisiert aufgedeckten Schwachstellen validiert werden können. Bestehende Sicherheitsmechanismen umgeht der Penetrationstester manuell. Weitere Komponenten, wie Dokumente auf der Homepage des Unternehmens, überprüft er auf Metadaten, wie z.B. hinterlegte Zugangsdaten, Passwörter, Pfade oder IP-Adressen. Ggf. macht er sich Drittsysteme (z.B. andere Webseiten oder soziale Medien, wie Xing und Facebook) als Informationsquelle zunutze, um weitere Privilegien bzw. höchstmögliche Administrationsrechte zu erlangen.
Penetrationstests zeigen im Gegensatz zum Schwachstellenscanning auf, inwieweit ein Angreifer in vermeintlich geschützte Systembereiche vordringen kann.
Hier ist das Vorgehen ist im Vergleich zum Scanning mehrstufig: Der Penetrationstester stellt gezielte und intelligente Anfragen an das System und kombiniert ggf. unterschiedliche Schwachstellen. Die aus der vorherigen Phase ermittelten Schwachstellen liefern die ersten Anhaltspunkte für sein weiteres Vorgehen. Sind bekannte Lücken ermittelt worden, werden die notwendigen Exploits eingesetzt, um diese auszunutzen. Dadurch ist er in der Lage zu bewerten, wie hoch das tatsächliche Risiko für die Ausnutzung einer Schwachstelle ist.
Je nach Art der Schwachstelle ist es nun möglich, bestimmte Dienste zu unterbinden (DoS-Attacke), Web-Inhalte zu verändern oder sich Zugang zum gewünschten Zielsystem zu verschaffen: Ist es beispielsweise realisierbar, die Webshop-Anwendung eines Unternehmens zu manipulieren? Hierfür prüft der Penetrationstester die Information der Applikation auf Fehlfunktionen und nutzt z.B. nach Möglichkeit das Kontaktformular zum Spamversand.
Optimale IT-Sicherheit: Regelmäßiges Schwachstellenscanning als Ergänzung von Penetrationstests
Bei der Konzeption einer nachhaltigen IT-Sicherheitsstrategie sind sowohl Penetrationstests als auch ein kontinuierliches Schwachstellenscanning von elementarer Bedeutung. Beide IT-Sicherheitsüberprüfungen liefern konkrete Handlungsempfehlungen zur Beseitigung aller identifizierten IT-Sicherheitslücken und sollten als Maßnahmenpaket implementiert werden. Hiermit wird gewährleistet, dass Schwachstellen in der IT-Infrastruktur entdeckt werden, bevor Angreifer dies tun.
Im Vergleich zum (beispielsweise jährlichen) Penetrationstest liefert das IT-Schwachstellenscanning in wesentlich kürzeren Zeitabständen (z.B. monatlich oder wöchentlich) eine exakte Aussage über das vorhandene IT-Sicherheitsniveau der zu prüfenden Infrastruktur.
Fazit:
Um einen zuverlässigen Schutz vor Hackerangriffen, Datendiebstahl und Wirtschaftsspionage zu erreichen, empfehlen unsere IT-Sicherheitsspezialisten, die gesamte IT-Infrastruktur auch nach Abschluss eines Penetrationstests regelmäßig auf neue Schwachstellen zu scannen.