Pentesting: Welche Testverfahren eignen sich besonders für den Mittelstand
von Tina Siering
Welche Pentesting-Methoden gibt es – und welche ist die richtige?
Unter Pentesting – oder Penetrationstest – versteht man gezielte und vorab abgestimmte Cyber-Angriffsversuche auf die IT-Systeme eines Unternehmens - automatisiert oder in Person, wobei der menschliche Pentester effektiver ist als ein Programm. Einwilligung und Kenntnis sind erforderlich, da einige der Angriffsmethoden eines Pentesters nach dem Gesetz Straftaten darstellen. Ziel des Pentestings ist es, IT-Schwachstellen des Unternehmens aufzudecken und konkrete Handlungsempfehlungen zur Beseitigung aller Defizite zu liefern. Bestehende Sicherheitslücken werden geschlossen und das Sicherheitsniveau erhöht. Neben bekannten Methoden, wie White Box-, Black Box- und Grey Box Audit gehören auch das Social Engineering Audit, das Red Teaming und die Innentäter-Simulation zu gängigen Verfahren. In einem Vorgespräch zwischen den für Penetrationstests beauftragten IT-Sicherheitsexperten und den Projektverantwortlichen Ihres Unternehmens werden zunächst das Ziel und der Prüfungsgegenstand des Penetrationstests definiert. Die Zielvorgaben können in die unterschiedlichsten Richtungen gehen – und müssen aus diesem Grund exakt geplant und formuliert werden und neben dem Umfang auch die Handlungsgrenzen definiert. Die Methoden und Werkzeuge, die sie zur Überprüfung einsetzen, entsprechen denen, die auch Cyberkriminelle nutzen.
Social Engineering Audit
Mit einem Social Engineering Audit werden die Verhaltensregeln der Mitarbeiter eines Unternehmens auf den Prüfstand gestellt, denn längst nutzen Hacker nicht mehr nur Schadsoftware, um in Unternehmensnetzwerke einzudringen. Social Engineering ist daher nicht nur eine der effizientesten, sondern zählt auch zu den gefährlichsten Methoden der Cyberkriminalität, denn ein großes Sicherheitsrisiko in Unternehmen sind die Mitarbeiter. Vor allem die mangelnde Sensibilisierung der Mitarbeiter für Angriffs-Varianten, die per Phishing, telefonisch oder über eine persönliche Kontaktaufnahme ausgeführt werden, machen die Methode bei Cyberkriminellen so beliebt.
Ein Social Engineering Audit dient dabei zwei Zwecken. Zum einen wird die Security Awareness der Mitarbeiter überprüft (und somit auch geschult), zum anderen werden Schwachstellen aufgedeckt und im Rahmen einer Analyse für die Erarbeitung eines Konzepts für mehr Security Awareness eingesetzt. Die IT Security Experten liefern zur Steigerung der unternehmenseigenen IT-Sicherheit einen exakten Maßnahmenkatalog auch auf nicht-technischer Ebene, wie zum Beispiel in Bezug auf das IT-Sicherheitsbewusstsein Ihrer Mitarbeiter. Häufig ist es sinnvoll, eine Innentäter-Simulation mit Social Engineering-Elementen zu kombinieren, um auch die Einhaltung von internen Richtlinien oder die Effektivität Ihrer physischen Schutzmaßnahmen zu testen.
Red Teaming
Zu den speziellen Angriffsmethoden der Pentester gehört das Red Teaming. Dieses Audit stellt quasi einen der “Höhepunkte der Angriffssimulation” dar. Red Teaming ist eine Sicherheitstaktik, die ihren Ursprung im Militärwesen hat. Ähnlich wie bei einer militärischen Konfliktsimulation versucht eine Pentester-Gruppe eine Cyberattacke gemeinsam erfolgreich durchzuführen. Die Rolle des Red Teams ist dabei klar definiert: Es mimt den „bösartigen Akteur“, der in eine IT-Architektur eindringen will. Durch die Simulation von Angriffen auf die eigenen Systeme lassen sich Schwachstellen aufdecken und Angriffspunkte, die ausgenutzt werden könnten, erkennen. Red Teaming basiert dabei auf einer ganz einfachen, aber gleichfalls immens wichtigen Erkenntnis: Niemand kann wissen, wie sicher die eigenen Systeme wirklich sind, bis ein wirklicher Angriff stattgefunden hat. Und diesen Angriff übernehmen die Red Teams. Aus der Sicht unseres Kunden handelt es sich also um einen echten Cyberangriff, welcher reale Aktionen erfordert. Es gibt keinerlei Begrenzungen, keine festgelegten Zielsysteme und auch keine Handlungseinschränkungen. Das Red Teaming findet vor allem bei Sicherheitstests von Unternehmen Anwendung, die über eine entsprechend leistungsfähige IT Security verfügen.
Innentäter-Simulation
Bedrohungen durch Insider zählen zu den stärksten Gefährdungen der Integrität von Unternehmen überhaupt. Bei dem „Innentäter“ muss es sich dabei nicht unbedingt um einen eigenen Mitarbeiter handeln – denn auch externe Dienstleister oder gekaperte interne PCs können zu Innentäter-Angriffen führen! Was macht die Innentäter-Angriffe so gefährlich? Zum einen vertreten gerade kleine und mittlere Unternehmen oft die Meinung, dass Gefahren immer von außen drohen. Entsprechend werden die Systeme nach außen abgesichert – die interne IT-Infrastruktur hingegen wird vernachlässigt, obwohl sich hier das deutlich größere Risiko verbergen kann. In internen Netzen finden sich somit unwirksame Schutzmechanismen, undokumentierte Systeme und Berechtigungsvergaben, die bestenfalls als riskant bezeichnet werden können. Ein wahres Paradies für Cyberkriminelle also, die sich in kürzester Zeit die Kontrolle über die komplette IT-Umgebung sichern können.
Innentäter lassen sich in zwei Gruppen aufteilen. Es gibt zum einen die Täter, die gezielt handeln und dem Unternehmen bewusst Schaden zufügen wollen. Die andere Gruppe hingegen wird sich selbst nicht als Täter erkennen, sondern handelt vielmehr unbewusst und sorglos. Eine vorschnell geöffnete, anonyme Mail, der Einsatz von nicht autorisierter Software oder der Download unbekannter Anhänge reichen – und der unbedarfte Mitarbeiter hat dem Hacker im Hintergrund Tür und Tor geöffnet. Hat der Angreifer Zugang zu den Systemen und Netzwerken, kann er in aller Ruhe die Struktur analysieren, Schwachstellen aufdecken und sich einen Weg suchen, um mit geringem Aufwand ein Maximum an Schaden auszurichten. In der Rolle als Innentäter schleust der Angreifer sodann Schadsoftware ein und greift sensible Daten, vertrauliche Informationen oder auch finanzielle Mittel ab.
Die Innentäter-Simulation übernimmt im Rahmen der Sicherheitsüberprüfung die Rolle eines Innentäters. Die IT Security Spezialisten erhalten dafür einen Arbeitsplatzrechner und einen Standard-Benutzerzugang, wie ihn auch die anderen Mitarbeiter des Unternehmens bekommen. Mit diesem Setup versuchen die Spezialisten dann, in andere Unternehmensbereiche vorzudringen und ihre Berechtigungen so weit wie nur möglich auszudehnen. Geprüft wird bei der Innentäter-Simulation, wann die interne IT-Abteilung auf die Aktivitäten des „Eindringlings“ aufmerksam wird, ob vorhandene Sicherheitsprozesse ausreichend greifen oder ob alle sicherheitstechnischen Normen auch von allen Mitarbeitern umgesetzt werden. Aus den Ergebnissen der Innentäter-Simulation lassen sich im Anschluss strategische Handlungsempfehlungen ableiten, die erkannte Schwachstellen zukünftig zuverlässig abschalten.
Was kostet ein Penetrationstest?
Die Kosten für einen Penetrationstest richten sich immer nach dem zeitlichen Aufwand, der für den benötigten Pentest anzusetzen ist. Die Preisspanne für Penetrationstests durch die Allgeier secion IT Security Experten beginnt bei rund 3.800 Euro für eine grundlegende IT-Schwachstellenanalyse und reichen bis zu 18.200 Euro für umfangreiche Black Box Audits. Dabei ist immer zu beachten, dass die Kosten für jedes Projekt individuell berechnet werden und sich vom Aufwand der Vorbereitung, der eigentlichen Durchführung der Tests und dem gewünschten Umfang der Dokumentationen im Anschluss an den Pentest abhängen.
Was macht das Pentesting durch Allgeier secion so besonders?
Die Penetrationstester von Allgeier secion führen mehr als 100 Pentests pro Jahr durch und blicken zusammengenommen auf mehr als 50 Jahre Pentest-Erfahrung zurück. Dabei gehen die Ergebnisreports der Allgeier secion Audits deutlich über die Branchenstandards hinaus. Durch die Reports erhalten Kunden ein umfassendes Bild über den Status Quo bestehender Sicherheitsmaßnahmen, technische Informationen zu Schwachstellen und Hinweise, wie diese Schwachstellen nachhaltig zu beseitigen sind. Alle Befunde, die im Rahmen des Pentesting ermittelt worden sind, werden durch die Allgeier secion Experten in unterschiedliche Schwachstellenkategorien einsortiert. Dies ermöglicht Rückschlüsse auf den Ursprung der Schwachstellen. Mit leicht verständlichen Empfehlungen, die sich sofort umsetzen lassen, erhalten Unternehmen eine Reihe von Maßnahmenpaketen, die das gesamte Sicherheitsniveau des Unternehmens deutlich erhöhen. Ziel aller Pentesting-Einsätze der IT Security Experten ist dabei ein optimaler Wissenstransfer, der das Auftreten gleicher oder ähnlicher Schwachstellen für die Zukunft dauerhaft abstellen.
Fazit zu den Pentest-Verfahren für KMU
Schwachstellen erkennen, IT-Sicherheitslücken schließen und Angriffsmöglichkeiten minimieren: Penetrationstests stellen die bestehende IT-Security eines Unternehmens auf den Prüfstand. Insbesondere der „Risikofaktor Mensch“ wird vor allem von kleinen und mittleren Unternehmen immer noch viel zu sehr vernachlässigt. Ob Angriffe durch Social Engineers oder kompromittierte Systeme durch sorglose, nachlässige Mitarbeiter: Innentäter stellen aktuell eines der größten Sicherheitsrisiken im Bereich der IT-Security dar. Pentesting ist die Methode, mit der interne Sicherheits-Lecks zuverlässig erkannt und nachhaltig beseitigt werden können. Die Pentester von Allgeier secion sind täglich im Einsatz, um das Sicherheitsniveau von Unternehmen in ganz Deutschland zu erhöhen.