Was ist ein Penetrationstest?

 

Mit einem Penetrationstest werden IT-Systeme und Netzwerkkomponenten mit der Firmware, ihrem Betriebssystem und den Services und Anwendungen auf sicherheitsrelevante Schwachstellen untersucht. Schwachstellen können auftreten durch fehlerhafte Programmierung der Software oder Konfigurationsfehler.

Der Test unterstützt die Betriebssysteme Windows, Linux, Unix, Android, iOS, und alle gängigen Anwendungen. Es können Server, Arbeitsplatzgeräte und mobile Endgeräte in den Test aufgenommen werden.

Es hat sich als gute Praxis erwiesen, bei der Auswahl der zu testenden Systeme von den Geschäftsprozessen auszugehen.
Für einen Geschäftsprozess wird ein sogenannter Informationsverbund modelliert, der für den reibungslosen Ablauf dieses Geschäftsprozesses maßgeblich sind. Der Penetrationstest bezieht sich dann auf alle Systeme dieses Informationsverbundes. Bestimmte Systeme können vom Test auch ausgeschlossen werden.
 

Warum Penetrationstests?

Von diesen Cyber-Angriffen aus der jüngeren Vergangenheit habe Sie bestimmt gehört.

Sony Pictures wurde in 2015 angegriffen. Es wurden aktuelle und noch nicht veröffentlichte Filme gestohlen und  Sony Büros in den USA lahm gelegt.

In Russland wurden Geldausgabeautomaten von Wincor-Nixdorf angegriffen und geplündert. Die renommierte Fachzeitschrift Heise titelte sarkastisch: So geht Bankraub im 21. Jahrhundert.


Krankenhäuser in Deutschland und Kanada wurden Opfer von Erpressungstrojanern, die durch den Besuch infizierter Webseiten eingeschleust wurden.Darstellung von Presseartikeln zu Sicherheitsvorfällen


Regelmäßig hören wir davon, dass neue Sicherheitslücken entdeckt werden, z.B. in Internet Browsern, oder in weit verbreiteten Contents Management Systemen.

 

 

 

Zahlen und Fakten

Das Bundeskriminalamtes schätzt einen Schaden durch Cyber-Kriminalität von 80 Mrd. € allein in 2014.
In 30% aller Fälle sind kleine und mittlere Unternehmen betroffen.

Bild eines Hackers

Kleinen und mittleren Unternehmen leiden zunehmend. Das Ponemon Institut (ponemon.org) ermittelte einen Schaden von $1.550 pro Arbeitsplatz für Sicherheitsvorfälle in 2015 je Unternehmen.

Die Anzahl krimineller Webseiten wird auf über 5 Mio geschätzt.

Tabelle der Software mit den häufigsten Schwachstellen in 2015 Es gibt eine immens hohe Anzahl bekannter Schwachstellen in Software und Firmware. Die in den USA gepflegte  National Vulnerability Database hat mehr als 78.000 Schwachstellen registriert. Allein in 2015 sind über 14.000 neue Schwachstellen in Betriebssystemen und Anwendungssoftware bekannt geworden.
 

 

Unglaublich: Bei 99% aller Angriffe wurden bekannte Schwachstellen oder Konfigurationsfehler ausgenutzt, bei denen Gegenmaßnahmen möglich gewesen wären!

 

 

Die Testmethode

 

"Wenn Sie Ihr Unternehmen schützen wollen, müssen Sie die Angriffsszenarien der Hacker kennen."

Das ist das Paradigma des Penetrationstests. Der Penetrationstest arbeitet also mit den Angriffsszenarien und den Werkzeugen der Hacker.
Der Penetrationstest folgt dabei dem Leitbild eines ethischen Hackers.

Dazu gehören die Leitlinien des Bundesamt für Sicherheit in der Informationstechnik (BSI) für Penetrationstests ebenso wie die Methodik nach dem Open Source Security Testing Methodology Manual (OSSTMM) des Institute for Security and Open Methodologies (ISECOM).

Der Penetrationstest wird in den folgenden Schritten durchgeführt:

1

     

IP-Adressen des Testziels festlegen und verifizieren

Zusamen mit Ihnen als Kunde legen wir fest, welcher Bereich von IP-Adressen und welche Web-Applikationen untersucht werden sollen. Dabei können auch bestimmte IP-Adressen bzw. Systeme von einer Untersuchung ausgenommen werden.

Der festgelegte Bereich von IP-Adressen und Web-Applikationen wird verifiziert. Damit soll ausgeschlossen werden, dass IP-Adressen getestet werden, die nicht zu Ihrem Unternehmen gehören.

2  

IT inventarisieren

Es wird ermittelt, welche Systeme in dem festgelegten IP-Bereich liegen. Die Rolle dieser Systeme und die auf den Systemen verfügbaren Services werden ermitteln.

3  

Schwachstellensuche durchführen

Für die inventarisierten Systeme wird eine Schwachstellensuche durchführen. Ebenfalls werden die dafür vorgesehenen Web-Applikationen auf Schwachstellen untersucht.

4  

(Optional) ausnutzen einiger gefundener Schwachstellen für einen fiktiven Angriff

Optional können gefundene Schwachstellen für die Demonstration eines Cyber-Angriffs ausgenutzt werden.
Mit diesem Schritt kann gezeigt werden, dass es sich bei der gefundenen Schwachstelle tatsächlich eine Sicherheitslücke handelt, die von einem Angreifer ausgenutzt werden könnte.

5  

Bericht erstellen

Es wird ein Bericht erstellt, in dem alle durchgeführten Tests und die Testergebnisse dokumentiert werden.
Weiterhin enthält der Bericht eine Empfehlung, welche der gefundenen Sicherheitslücken mit welcher Priorität behoben werden sollten.