Penetrationstests als Teil einer Schwachstellenanalyse in Ihrem Unternehmen

Ein Penetrationstest durch secion ist einer der wichtigsten Schritte, um Ihrem Unternehmen langfristig zu einer umfassenden IT-Sicherheit zu verhelfen. Auf Basis dieses Cyber-Sicherheits-Checks ist es Ihnen möglich, geeignete Maßnahmen zu ergreifen, um Ihre Organisation ganzheitlich besser schützen zu können.

PENTEST FAQ –
DIE 10 MEIST GESTELLTEN FRAGEN

Warum ist die Durchführung eines Penetrationstest so wichtig für Ihr Unternehmen?

Neue Sicherheitsanalysen gehen davon aus, dass Unternehmen weltweit der permanenten Gefahr unterliegen, Opfer eines kriminellen Cyberangriffes zu werden. Die Zahl bekannter Schadprogrammvarianten ist 2016 weiter gestiegen und lag im August 2016 bei mehr als 560 Millionen. Gleichzeitig verlieren klassische bisherige Abwehrmaßnahmen weiter an Wirksamkeit. Dies betrifft alle Nutzer: Private, Unternehmen, Staat und Verwaltung*.

Die Angriffe auf die IT-Umgebung Ihres Unternehmens sind auf das Ausspähen unternehmensinterner Daten ausgerichtet mit dem Ziel, die Verfügbarkeit Ihrer IT-Systeme zu stören und somit Ihrem Unternehmen empfindlichen Schaden zuzuführen. Die kriminelle Energie hinter der platzierten Schadsoftware steigt, vor allem bei Erpressungstrojanern. Den Angreifern geht es hierbei um die Erpressung von Geld, bevor sie Dateien oder Daten wieder entschlüsseln.

In der Konsequenz sind die Folgen eines erfolgreichen Cyberangriffes in der Regel immens – es droht nicht nur ein hoher finanzieller Schaden, auch der damit verbundene Imageverlust kann eine nicht vorher zu ermessene Höhe für Ihr Unternehmen erreichen.

Im Rahmen der Durchführung eines Penetrationstests decken unsere Pen-Tester die IT-Schwachstellen Ihres Unternehmens auf und verhindern damit die Beeinträchtigung der IT-Infrastruktur. Die Methoden und Werkzeuge, die sie sich dabei zunutze machen, entsprechen grundsätzlich denen, die auch bei Cyberkriminellen Anwendung finden. 

Ein Penetrationstest dient damit in erster Linie dem Selbstschutz der Unternehmensverantwortlichen, da sie so Unternehmensrisiken, z.B. Betriebsausfälle, minimieren sowie die sensiblen Daten ihres Unternehmens bzw. ihrer Kunden schützen.

(* Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI), Die Lage der IT-Sicherheit in Deutschland 2016)

Welche Verfahren gibt es, um einen Penetrationstest durchzuführen?

Generell wird bei der Durchführung eines Penetrationstests zwischen den Verfahren White Box-, Black Box- und Grey Box Audit sowie dem Social Engineering Verfahren unterschieden. 

Im Rahmen des White Box Audit werden unseren verantwortlichen Pen-Testern alle notwendigen Informationen über die IT-Systeme und interne Strukturen Ihres Unternehmens vor Testbeginn zur Verfügung gestellt. 

Im Gegensatz hierzu liegen beim Black Box Audit kaum Vorabinformationen über die zu prüfenden IT-Systeme vor. Analog zum Vorgehen eines externen Angreifers sollen vorab jene Informationen beschafft werden, die bei einem White Box Audit bereits zu Beginn vorliegen. Damit ist diese Art des Penetrationstests sehr realitätsnah, aber auch zeitaufwändiger und damit kostspieliger als das White Box Audit. 

Das Grey Box Audit kombiniert beide oben genannten Verfahren. Unsere Pen-Tester erhalten im ersten Schritt keine Informationen über die zu testenden IT-Systeme. Die von ihnen gewonnenen Informationen (z.B. hinsichtlich Infrastruktur und bestehender Abwehrmechanismen) werden dann in einem 2. Schritt mit den realen Gegebenheiten abgeglichen. Erst dann werden dem verantwortlichen Pen-Tester Informationen zu Infrastruktur und Zugangsdaten, beispielsweise für Webportale, gegeben. Aus ökonomischer Sicht stellt der Grey Box Ansatz damit im Vergleich zum häufig nachgefragten Black Box Ansatz eine effizientere Vorgehensweise dar.

Von zunehmender Bedeutung ist die Social Engineering Methode, bei der der Faktor Mensch in den Mittelpunkt des Untersuchungsansatzes gestellt und dessen Sicherheitsverhalten innerhalb Ihrer Unternehmung untersucht wird.

Welche Pentest-Methode empfehlen unsere IT-Sicherheitsexperten und von welcher raten sie ab?

Je nachdem, welche Zielsetzung Sie für Ihr Unternehmen mit der Durchführung eines Penetrationstests verfolgen, finden wir gemeinsam mit Ihnen die geeignete Form des Testverfahrens anhand verschiedener Kriterien heraus. Generell bevorzugen und empfehlen unsere IT-Sicherheitsexperten das White Box Audit, da mit diesem Verfahren Zeit für die aufwändige Informationsbeschaffung eingespart wird, die z.B. beim Black Box Audit veranschlagt werden muss. Die unseren Pen-Testern für das Audit zur Verfügung stehende Zeit kann damit sehr viel effizienter für die Überprüfung Ihrer IT-Systeme hinsichtlich bestehender Schwachstellen genutzt werden.

Des Weiteren werden beim White Box Audit besonders valide Ergebnisse erreicht. Nachdem unsere Pen-Tester Ihre IT-Systeme von extern hinsichtlich bestehender Schwachstellen überprüft haben, erfolgt mit diesen Befunden eine Gegenprüfung Ihres internen Unternehmensnetzes. Mit der direkten Gegenüberstellung der Ergebnisse erreichen wir eine umfassende Prüfung Ihres Netzwerkes und zeigen Ihnen auf, wo akuter Handlungsbedarf besteht.

Unseren Pen-Testern wird häufig die Frage gestellt, ob es sinnvoll ist, Distributed Denial of Service-Angriffe (DDoS) im Rahmen eines Penetrationstests durchzuführen. Aus Sicht unserer IT-Sicherheitsexperten ist dieses Testverfahren nur dann sinnvoll, wenn Sie bereits spezifische Abwehrsysteme in Ihr Unternehmensnetzwerk implementiert haben und deren Wirksamkeit gegenüber einer DDoS Attacke überprüfen möchten. Ansonsten raten wir von diesem Testverfahren ab, da bei dieser Art von Angriffsszenario die zur Verfügung stehende Netzwerkkapazität Ihres Unternehmens komplett ausgelastet würde und die wenigsten Systeme darauf ausgerichtet sind, dieser Last standzuhalten.

Ist die Durchführung eines „Innentäter-Tests“ empfehlenswert?

Grundsätzlich birgt das interne Unternehmensnetz ein besonderes Risiko, das von sogenannten Innentätern ausgeht. Diese Angreifer verfügen in der Regel über volle physische und virtuelle Zugangsmöglichkeiten zu Räumlichkeiten, Netzwerken und Datenbanken in Ihrem Unternehmen. Damit sind Innentäter in der Lage, möglicherweise unbemerkt zu agieren und vorhandene IT-Schwachstellen zu ihren Gunsten auszunutzen. Unsere IT-Sicherheitsexperten empfehlen daher verstärkt die Durchführung eines sogenannten Innentäter-Tests.

Im Rahmen dieses Testverfahrens beantworten wir Ihnen z.B. folgende sicherheitsrelevante Fragen: sind die technischen Normen und Prozessrichtlinien in Ihrem Unternehmen umfassend implementiert und werden diese auch von allen Mitarbeitern korrekt umgesetzt? Wann fällt es Ihrer IT-Abteilung auf, wenn eine Sicherheitslücke in Ihrem Netzwerk von einem Innentäter ausgenutzt und einer Ihrer Clients gehackt wird? Verhindern Ihre Sicherheitsprozesse in der Folge, dass sich der Innentäter Administrator-Rechte verschaffen und auf Ihre Server zugreifen kann? Die Prüfung von unbemerktem Datenabfluss liegt ebenfalls im Fokus unserer Untersuchungen.

Welche rechtlichen Vorschriften zeigen die Notwendigkeit zur Durchführung eines Penetrationstests an?

Am 25. Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten*.

Das IT-Sicherheitsgesetz hat mehrere Adressaten:

  • Für Betreiber von Webangeboten wie zum Beispiel Online-Shops gelten mit Inkrafttreten ab sofort erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme.
  • Telekommunikationsunternehmen sind ab sofort verpflichtet, ihre Kunden zu warnen, wenn sie bemerken, dass der Anschluss des Kunden - etwa als Teil eines Botnetzes - für IT-Angriffe missbraucht wird.
  • Betreiber Kritischer Infrastrukturen werden verpflichtet, die für die Erbringung ihrer wichtigen Dienste erforderliche IT nach dem Stand der Technik angemessen abzusichern und – sofern nicht andere Spezialregelungen bestehen – diese Sicherheit mindestens alle zwei Jahre überprüfen zu lassen. Darüber hinaus müssen die Betreiber dem BSI erhebliche IT-Sicherheitsvorfälle melden. 

(* Quelle: Bundesamt für Sicherheit in der Informationstechnik, https://www.bsi.bund.de)

Wodurch zeichnet sich der secion Penetrationstest im Vergleich zu anderen Dienstleistern aus?

Für unsere IT-Sicherheitsexperten wird ein enger und vertrauensvoller Kontakt zu den IT-Verantwortlichen Ihres Unternehmens oberste Priorität haben. Bereits bei der Planung des Penetrationstests benennen wir gemeinsam mit Ihnen feste Ansprechpartner auf beiden Seiten, deren Erreichbarkeit während der Testphasen sichergestellt werden muss. Nur so ist z.B. im Falle der Identifizierung kritischer Schwachstellen gewährleistet, dass Informationen mit schnellstmöglichen Reaktionszeiten zwischen unseren Pen-Testern und Ihnen ausgetauscht werden.

Nach der Analyse der automatisiert gefundenen Schwachstellen erfolgt eine umfangreiche manuelle Analyse durch unsere Pen-Tester. Hierbei steht die nicht-autorisierte Ausnutzung von implementierten Funktionen im Fokus. Gegenstand der manuellen Analyse könnten z.B. folgende Fragestellungen sein:

  • Ist es möglich, über Ihr Kontaktformular Spam-Mails zu versenden?
  • Sind bei den hinterlegten Eingabefeldern Plausibilitätsprüfungen aktiv?
  • Sind die eingesetzten Verschlüsselungsmechanismen noch aktuell und damit gegen Angriffe wirksam?
  • Können Login Seiten zum Zugriff auf Ihre internen Daten genutzt werden?
  • Verraten Konfigurationseinstellungen interne IP-Adressen oder DNS-Namen?
  • Enthalten Dateien auf Ihrer Webseite Metadaten mit internen Informationen wie Benutzernamen?

Die Abschlusspräsentation des secion Projektteams zeichnet sich dadurch aus, dass komplexe technische Inhalte in verständlicher Form erörtert und somit auch IT-fremden Mitarbeitern zugänglich gemacht werden. Grundsätzlich wird die Präsentation in zwei Teile untergliedert: Der erste richtet sich an die Management-Ebene. Darin wird aufgezeigt, wo akuter Handlungsbedarf besteht und darüber hinaus ein umfassender Überblick über den aktuellen Sicherheitsstatus Ihres Unternehmens gegeben. Der zweite Teil ist an die verantwortlichen Administratoren gerichtet und enthält detailliertere technische Informationen und priorisierte Handlungsanweisungen zur Beseitigung Ihrer IT- Sicherheitslücken.

Grundsätzlich empfehlen wir die Durchführung eines Re-Tests nach einem gemeinsam mit Ihnen definierten Zeitraum, z.B. nach 3 oder 6 Monaten. Mit dieser Form des Pen-Tests gilt es zu prüfen, ob die zuvor aufgezeigten IT-Schwachstellen erfolgreich beseitigt worden sind und Sie damit gemeinsam mit uns Ihr Sicherheitsniveau signifikant erhöht haben.

Dem Expertenwissen unserer Pen-Tester liegt eine umfangreiche Projekterfahrung zugrunde. Unsere Referenzen erstrecken sich über die verschiedensten Branchen wie Banken und Versicherungen, Logistik, Forschung und Web-Entwicklung, gemeinnützige Einrichtungen, Medizin, Industrie, Sport, Medien und Nahrungsmittel.

Welche Aspekte sollten vor der Durchführung eines Penetrationstests erörtert werden?

In einem Vorgespräch zwischen den IT-Sicherheitsexperten von secion und den Projekt-Verantwortlichen Ihres Unternehmens werden als erster Schritt Ziel und Prüfungsgegenstand des Penetrationstest definiert: Welches System soll auf Sicherheitslücken überprüft werden - öffentlich verfügbare Dienste wie Ihr Webserver (Portale, Webseite oder Shopsysteme), Mailserver oder Mitarbeiterzugänge, das WLAN oder gar das gesamte Unternehmensnetzwerk? Oder aber möchten Sie wissen, ob bestimmte Compliance-Vorgaben eingehalten werden? Funktioniert Ihr Patch-Management? Die Zielvorgaben können in die unterschiedlichsten Richtungen gehen – und müssen aus diesem Grund exakt geplant und formuliert werden. 

Im Rahmen des Vorgesprächs wird auch das Testszenario festgelegt und Handlungsgrenzen definiert. In diesem Zusammenhang zeigen Ihnen unsere IT-Sicherheitsexperten auf, dass sich bestimmte Sicherheitslücken nur dann sicher nachweisen lassen, wenn sie auch aktiv ausgenutzt werden. Damit ist es von entscheidender Bedeutung, konkrete Zeitfenster für die aktiven Tests festzulegen, um sicherzustellen, dass die Fachabteilungen bzw. Ansprechpartner auf beiden Seiten besetzt sind und so im seltenen Falle eines Systemausfalls umgehend reagiert werden kann.

Welchen zeitlichen Projektrahmen müssen Sie für die Durchführung einen Penetrationstest einplanen?

Die Kalkulation des zeitlichen Projektaufwands darf nicht nur auf der eigentlichen zeitlichen Durchführung des Penetrationstests basieren. Vielmehr muss auch genügend Vorlauf für die Bearbeitung notwendiger Vertragsunterlagen sowie Vereinbarungen eingeplant werden. Hierzu gehören neben dem Vertrag zur Durchführung eines Penetrationstests auch die Vertraulichkeitsvereinbarung, Datenschutzerklärung sowie die Erklärung zu den technischen und organisatorischen Maßnahmen i.S.d. § 9 des BDSG (Bundesdatenschutzgesetz), die geprüft und unterzeichnet werden müssen. Bei der Prüfung und Bearbeitung sind in der Regel die Rechtsabteilung sowie die Geschäftsleitung beteiligt. Als Richtwert empfehlen wir, ein Zeitfenster von 4 Wochen bis zum Beginn des Audits für diesen Prozess einzuplanen.

Welche potentiellen Gefahren birgt ein Penetrationstest für Ihr Unternehmen und wie wirkt secion diesen entgegen?

Bei der Durchführung eines Penetrationstests besteht trotz sorgfältiger und ausführlicher Vorabprüfungen grundsätzlich ein Restrisiko: die getesteten Systeme halten der zusätzlich erzeugten Last nicht stand und können ausfallen oder instabil werden. Gemäß der Erfahrungen unserer IT-Sicherheitsexperten liegt die Ausfallwahrscheinlichkeit bei einem penetrierten System bei 1:100. Über die möglichen Risiken sowie die in der Folge zu ergreifenden Maßnahmen klären wir die Projektverantwortlichen Ihres Unternehmens selbstverständlich detailliert im Rahmen unseres Vorgespräches auf.

Was passiert mit Ihren vertraulichen Unternehmensdaten nach Projekt-Abschluss?

Ihre Unternehmensdaten werden von der secion GmbH selbstverständlich vertraulich behandelt. In einer von uns unterzeichneten Verschwiegenheitsvereinbarung sichern wir Ihnen dies bereits vor Projektbeginn schriftlich zu. Nachdem der Penetrationstest von uns abgeschlossen worden ist, werden alle im Zusammenhang des Projektes von uns generierten Daten anonymisiert oder auf Wunsch vernichtet.

Erhöhen Sie Ihre Unternehmenssicherheit durch Penetrationstests

Zielsetzung eines Penetrationstests

Um einen umfangreichen Schutz vor Cyberangriffen zu gewährleisten, nehmen wir im Rahmen der IT-Schwachstellenanalyse unter anderem eine Prüfung einzelner Server, Dienste oder auf Wunsch auch kompletter Netzwerke bzw. Netz-Segmente vor. Als Basis-Sicherheitsüberprüfung dient diese Analyse dazu, diejenigen Angriffe zu simulieren, welche Hacker ebenfalls nutzen würden, um sich Zugriff zu Ihrem System zu verschaffen. Diese Form der IT-Sicherheitsanalyse zeichnet daher ein sehr originalgetreues Abbild der Realität, mit welchem sich IT-Verantwortliche der Unternehmen jeden Tag auseinandersetzen müssen. Im Rahmen des Tests ermitteln wir, wie empfindlich Ihr Unternehmen auf typische, aber auch außergewöhnliche Angriffsarten reagiert und ob angemessene Gegenmaßnahmen schnell und effizient ergriffen werden.

Untersuchungskomponenten des Penetrationstest

Diese IT-Schwachstellenanalyse orientiert sich an bewährten Sicherheits-Audits (White Box, Black Box und die Überprüfung der Mitarbeiter durch Social Engineering) und arbeitet flexibel und anwendungsorientiert: Ihre IT-Infrastruktur wird durch unsere Penetrationstests untersucht und eventuelle Sicherheitslücken sofort aufgezeigt. Der Penetrationstest in Form einer Basis-Sicherheitsüberprüfung stellt somit den Anfang dar, welchen Sie durch unsere secion Managed Vulnerability Scanning Platform komplettieren können. Hierbei handelt es sich um einen Sicherheitsservice, welcher Ihre IT kontinuierlich nach Schwachstellen scannt, so dass eine zeitnahe Reaktion auf Bedrohungen realisierbar ist.

Im Rahmen der Durchführung eines Cyber-Sicherheits-Checks ermitteln wir, wie hoch der praktische Aufwand für einen möglichen Angriff ist, um sich Zugriff zu Ihrem System zu verschaffen oder - in konkreten Anwendungsfällen - beispielsweise Dokumente zu entwenden oder andere Datensätze einzusehen. Im Anschluss an diesen Test präsentieren wir Ihnen selbstverständlich alle gewonnenen Erkenntnisse, so dass Sie genau erfahren, wie sich ein Angreifer Zugang zu Ihren Systemen, Anwendungen oder Daten verschaffen würde.

Fazit: Verbessern Sie Ihren Schutz vor Cyberangriffen!
Durch einen Penetrationstest und den anschließenden Einsatz der Managed Vulnerability Scanning Platform von secion wird Ihre langfristige IT-Sicherheit sowohl auf technischer als auch organisatorischer Ebene dauerhaft erhöht. Durch das secion Professional Services Team werden im Anschluss an die Priorisierung der Bedrohungen spezifische Handlungsempfehlungen gegeben.