Penetrationstests

Überprüfung von Schwachstellen und Sicherheitslücken in der IT-Sicherheit.

Die Prüfung des Sicherheitslevels möglichst aller Systemkomponenten eines Netzwerks mit Methoden und Werkzeugen, die potenzielle Angreifer (Hacker) verwenden, ist das Hauptziel von Penetrationstests.

Die Gefahren bestehen vorwiegend aus Zugriffen von IP-Netzwerken über das Internet. Aber auch interne Angriffe – innerhalb des eigenen Netzwerks – nehmen stark zu und bleiben oft unentdeckt. Penetrationstests sind technische Tests und decken keine organisatorischen oder personellen Schwächen auf.

Zielsetzungen sowie Maßnahmen von Penetrationstests sind u.a.:

  • Einstufung der Sicherheit der technischen Systeme
  • Identifikation von Schwachstellen
  • Bestätigung der IT-Sicherheit durch Spezialisten
  • Dokumentation des Sicherheitslevels als Nachweis für interne und externe Partner

Um sich vor unautorisierten Eindringlingen zu schützen, müssen alle potenziellen Sicherheitslücken aufgedeckt und Methoden zur wirksamen Prävention angewendet werden. CIO Solutions listet die gefundenen Schwachstellen nicht nur auf, sondern empfiehlt auch konkrete Lösungsvorschläge für deren Beseitigung.

Diese kann um Social Engineering Penetrationstests erweitert werden. Dabei versuchen potentielle Angreifer wie Hacker vorzugehen und an Informationen und Zugänge der Mitarbeiter über Social Engineering zu gelangen. Es werden interne Schwachstellen aufgedeckt und versucht durch Schulungsmaßnahmen und Mitarbeitersensibilisierung das Sicherheit Bewusstsein geschärft.

Im Vorfeld eines Penetrationstests müssen entsprechend dem Durchführungskonzept für Penetrationstests des BSI folgende Parameter festgelegt werden:

  • Informationsbasis
  • Aggressivitätsgrad
  • Umfang
  • Vorgehensweise
  • Technik
  • Ausgangspunkt

Informationsbasis

Von welchem Wissensstand über das anzugreifende Netz bzw. Objekt geht der Penetrationstester aus?

Bei einem Blackbox-Test bekommt der Penetrationstester nur minimale Informationen über die zu testenden Systeme, wie z. B. URL oder IP-Adresse. Die weiteren Informationen ermittelt der Tester selbst. Wie auch der typische Angriff eines externen Hackers, findet der Test von extern über das Internet statt.

Bei einem Whitebox-Test bekommt der Tester umfangreiche Informationen über die zu testenden Systeme. Der Test findet in aller Regel aus dem internen Netz statt, um den Angriff eines Insiders zu simulieren.

Aggressivitätsgrad

Wie aggressiv geht der Penetrationstester beim Testen vor?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterscheidet vier Aggressivitätsstufen:

  • Passiv: Das Testobjekt wird nur passiv untersucht, gefundene Schwachstellen werden nicht ausgenutzt.
  • Vorsichtig: Schwachstellen werden nur ausgenutzt, wenn eine Beeinträchtigung des untersuchten Systems ausgeschlossen werden kann (z. B. die Benutzung von bekannten Default-Passwörtern oder Ausprobieren von Verzeichniszugriffen bei einem Web-Server).
  • Abwägend: Es wird versucht, Schwachstellen auszunutzen, die auch zu Systembeeinträchtigungen führen könnten (z. B. das automatische Durchprobieren von Passwörtern oder das Ausnutzen von Buffer-Overflows bei eindeutig identifizierten Zielsystemen). Allerdings wird abgewägt, wie wahrscheinlich ein Erfolg ist und wie stark die Konsequenzen wären.
  • Aggressiv: Es wird versucht, alle potentiellen Schwachstellen auszunutzen (z. B. werden Buffer-Overflows auch bei nicht eindeutig identifizierten Zielsystemen eingesetzt oder Sicherungssysteme werden durch gezielte Überlastung (Denial of Service, DoS-Attacken) deaktiviert).

Umfang

Welche Systeme sollen getestet werden?

  • Fokussiert: Nur ein bestimmtes Teilnetz, System oder ein bestimmter Dienst wird geprüft. Dieser Umfang bietet sich z. B. nach einer Änderung oder Erweiterung der Systemlandschaft an.
  • Begrenzt: Eine begrenzte Anzahl von Systemen oder Diensten wird untersucht. So können beispielsweise alle Systeme in der DMZ geprüft werden oder auch Systeme, die einen funktionalen Verbund bilden.
  • Vollständig: Geprüft werden alle erreichbaren Systeme.

Umfang und Komplexität der IT-Infrastruktur beeinflussen dabei maßgeblich den zeitlichen Aufwand.

Vorgehensweise

Wie „sichtbar“ geht das Team beim Testen vor? Sollen nur verdeckte Methoden zum Einsatz kommen, die nicht direkt als Angriffsversuche erkannt werden können oder sollen auch offensichtliche Methoden wie z.B. umfangreiche Port-Scans mit direktem Connect angewendet werden?

Technik

Welche Techniken werden beim Testen eingesetzt? Der Penetrationstest über das Netzwerk entspricht dem normalen Vorgehen und simuliert einen typischen Hackerangriff.

Mittlerweile sind Sicherheitssysteme wie Firewalls weitverbreitet und ein Angriff unter Überwindung dieser Systeme nicht oder nur mit sehr hohem Aufwand möglich. Eventuell ist es einfacher, die Daten durch Umgehung dieser Systeme durch einen direkten physischen Zugriff zu erlangen. Hierzu zählt z.B. der direkte Datenzugriff an einer nichtpasswortgeschützten Arbeitsstation nach Erlangung von unberechtigtem Zugang in die Gebäude und/oder Serverräume.

Das schwächste Glied in der Kette der Sicherungssysteme ist oftmals der Mensch. Daher sind Social-Engineering-Techniken, die unzureichende Sicherheitskenntnisse oder ein mangelndes Sicherheitsbewusstsein ausnutzen, häufig erfolgreich.

Ausgangspunkt

Von wo aus wird der Penetrationstest durchgeführt?

Von außen: Die meisten Angriffe erfolgen über die Netzwerkanbindung an das Internet. Ein entsprechender Penetrationstest kann die potenziellen Risiken eines solchen Angriffs erfassen und bewerten. Typischerweise werden hierbei die Firewall und Systeme in der DMZ sowie RAS-Verbindungen untersucht.

Von innen: Üblicherweise müssen keine Firewalls bzw. Eingangskontrollen überwunden werden, um Zugang zu den internen Netzen zu erhalten. Daher kann mit einem Test von innen bewertet werden, was z.B. bei einem Fehler in der Firewall-Konfiguration oder bei einem erfolgreichen Angriff auf die Firewall passieren könnte bzw. welche Zugriffsmöglichkeiten Personen mit Zugang zum internen Netzwerk erlangen könnten.

Was tun nach einem Penetrationstest?

Nach dem der Penetrationstest durchgeführt wurde, ist es dringend erforderlich, die offengelegten Schwachstellen zu schließen.
Ein Penetrationstest legt jedoch nicht nur Schwachstellen offen, sondern zeigt auch wo die Sicherheit besonders gut ausgeprägt ist.
Da ein Penetrationstest aber nur eine Momentaufnahme darstellt, ist es unerlässlich weiter das gesamte System im Auge zu behalten und Bereiche mit guter Sicherheit nicht zu vernachlässigen. Nur durch regelmäßige Tests kann die Sicherheit der IT-Infrastruktur nachhaltig gesichert werden

Penetrationstest Software kostenlos testen: