zur Startseite zur Hauptnavigation zum Hauptinhalt zum Kontaktformular zum Suchformular
AdobeStock 297841435
Wie Unternehmen Pen-Tests für sich nutzen können

Der simulierte Cyber-Angriff: Pen-Test

03. Januar 2021 |  Allgeier CyRis

Penetrationstests sind für Unternehmen und öffentliche Einrichtungen eine zentrale Maßnahme, um sich gegen Attacken auf Ihre IT-Systeme zu schützen und wertvolle Erkenntnisse über die eigene Abwehrkraft zu sammeln. Lesen Sie hier, worauf es bei der Planung und Ausführung ankommt.

Die Europäische Arzneimittel-Behörde (EMA), verschiedene US-Ministerien wie das Handels- oder Finanzministerium oder sogar das Pentagon, die Justus-Liebig-Universität Gießen: Dies sind nur einige Beispiele für Opfer von Cyberattacken, die in den letzten Monaten stattgefunden haben.  

Für viele Unternehmen und öffentliche Einrichtungen gehören Angriffe dieser Art heute zum Alltag. In einer repräsentativen Forsa-Umfrage im Auftrag des GDV (Gesamtverband der Versicherungswirtschaft) unter 500 Unternehmen gab ein Viertel (26%) der befragten Mittelständler an, bereits Opfer von Cyberattacken gewesen zu sein. Und laut „Lagebericht zur IT-Sicherheitslage in Deutschland“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bleibt die IT-Sicherheit „angespannt.“

Nahezu sämtliche Untersuchungen hierzu zeigen auf, dass die Gefahr, Ziel eines solchen Angriffs zu werden, zunehmend steigt. Nicht ausreichend gesicherte IT-Systeme ermöglichen potenziellen Angreifern das Eindringen in die Organisation. Die Folgen einer Cyberattacke können erheblich sein: Direkte finanzielle Schäden durch Produktionsausfall, Lösegelder für die Entsperrung von Daten über Rating-Abstufungen bis hin zu Image- und Reputationsverlusten.

Um IT-Systeme ausreichend zu schützen und damit Angriffen und dessen Auswirkungen zu vermeiden, empfiehlt sich die Durchführung eines Penetrationstests. Der Penetrationstest – auch kurz Pen-Test genannt – simuliert einen Cyberangriff auf ein Unternehmen oder eine öffentliche Einrichtung und soll so bisher unbekannte Angriffspunkte identifizieren.

Er soll so eine Risikobewertung über die aktuelle Sicherheitslage eines IT-Systems ermöglichen und Schlüsse darüber zulassen, ob und wenn inwieweit sich Unbefugte (Externe oder auch eigene Mitarbeiter) Zugang zu vertraulichen Informationen und Daten beschaffen könnenSchwachstellen in Netzwerken, Anwendungen, Netzdiensten oder Datenbanken sollen so beseitigt und das größtmögliche Maß an IT-Sicherheit erreicht werden.

Black-Box, White-Box, Grey-Box:
Penetrationstests unterscheiden sich durch Vor-Informationen

Für die Durchführung eines Penetrationstests benötigt ein IT-Sicherheitsanalytiker den ausdrücklichen Auftrag des Kunden. Erhält er keine weiteren Informationen über Beschaffenheit bzw. Zustand der IT-Systeme, handelt es sich um einen sogenannten Black-Box-Test. Demgegenüber steht der White-Box-Test, bei dem der IT-Experte grundlegende Informationen über das System, das er penetrieren soll, sowie auch das IT-Sicherheitskonzept mit der Dokumentation der zugehörigen IT-Infrastruktur erhält. Wird nur ein gewisser Teil der möglichen Informationen vorab zur Verfügung gestellt, wird auch von einem Grey-Box-Test gesprochen.

Zusätzlich existieren noch folgende Formen:

  • Social Engeneering: Diese Angriffsform fokussiert sich auf mögliche menschliche Schwächen. Technische Hürden werden in dieser Form des Pen-Tests umgangen, indem die oft unwissentliche Unterstützung der Mitarbeiter durch gezielte soziale Interaktion erlangt wird.
  • Innentäter-Audit: Diese Testart prüft die Organisation aus Sicht eines internen Mitarbeiters oder Personen, die Zugriff auf das Netzwerk haben, um herauszufinden, welche Sicherheitslücken von Angestellten im Falle von Unzufriedenheit etc. ausgenutzt werden könnten.
  • Red Team Test: Experten bilden ein sogenanntes Red Team und führen einen realistischen Angriff auf das Unternehmen durch. Organisatorische Prozesse und die Awareness der Mitarbeiter können damit auf die Probe gestellt werden.

 

Gestaltung des optimalen Penetrationstests

Welches ist nun das ideale Testverfahren? Eine Pauschalantwort hierauf gibt es nicht. Entscheidend sind die individuellen Anforderungen der Kunden. Die IT-Sicherheitsexperten setzen sich dazu mit den Projektverantwortlichen der Organisation zusammen, um Vorgaben und Ziele, Prüfmethoden und -geräte sowie Angriffsauswahl festzulegen.

Hierbei ist die klare Empfehlung, den Handlungsrahmen so breit wie möglich zu halten und auf Einschränkungen weitestgehend zu verzichten. Nur so können Pen-Tests im optimalen Umfang durchgeführt werden. Je weniger Einschränkungen es von Organisationsseite gibt, desto ergebnisreicher sind die Resultate.

Hier gilt: Kriminelle Energie ist – leider – äußert kreativ. Kein Hacker denkt daran, sich einzuschränken. Entsprechend sollten Pen-Tests so breit wie möglich angelegt werden.

Ablauf und Dokumentation des Pen-Tests

Die Durchführungsdauer eines Penetrationstests liegt bei einem Arbeitsaufwand von ca. einem Tag. Wichtig sind hierbei feste Ansprechpartner auf beiden Seiten, deren Erreichbarkeit während der Testphasen sichergestellt werden muss. Nur so ist z. B. im Falle der Identifizierung kritischer Schwachstellen gewährleistet, dass Informationen mit schnellstmöglichen Reaktionszeiten zwischen Pen-Testern und Kunden ausgetauscht werden können.

Der eigentliche Penetrationstest beginnt in der Regel mit einem toolbasierten Scan des Netzwerks. Die Tools liefern die Informationen für die System- und Anwendungsanalyse. Auf Basis dieser Informationen können identifizierte Schwachstellen gezielt angegriffen beziehungsweise penetriert werden. Anschließend erfolgt die Dokumentation der gefundenen Risiken, bei der alle Eindringungsversuche protokolliert, Sicherheitseinschätzungen vorgenommen sowie Empfehlungen zur Optimierung der IT-Sicherheit zusammengestellt werden. Diese werden in einer Abschlusspräsentation dem Projektteam des Kunden zur Verfügung gestellt.

 

Penetrationstest – Was folgt danach?

Mit einem einfachen Pen-Test ist es aber in der Regel nicht getan. Grundsätzlich empfiehlt sich die Durchführung eines Re-Tests nach einem gemeinsam mit dem Kunden definierten Zeitraum, z. B. nach 3 oder 6 Monaten. Mit dieser Form des Pen-Tests gilt es zu prüfen, ob die zuvor aufgezeigten IT-Schwachstellen erfolgreich beseitigt worden sind oder sich neue Sicherheitslücken ergeben haben.

Der Penetrationstest von Allgeier CyRis ermöglicht es, IT-Schwachstellen aufzuzeigen, zu beseitigen und damit das Sicherheitsniveau signifikant zu erhöhen. Dem Expertenwissen unserer Pen-Tester liegt eine umfangreiche Projekterfahrung und vielfältiges Branchenwissen zugrunde. Unsere Referenzen reichen von den Bereichen Banken und Versicherungen, Logistik, Forschung und Web-Entwicklung über Medizin, Industrie, Medien und Nahrungsmittel bis zu Sport und gemeinnützigen Einrichtungen.

Der Penetrationstest ist eine der zahlreichen Lösungen, die Allgeier CyRis bietet. Unsere aufeinander abgestimmten, leicht implementierbaren Produkte bilden ein integriertes Konzept, wenn es um das Thema IT-Sicherheit geht.

Artikel teilen:

AdobeStock 256822296
CYBERSECURITY-WISSEN DIREKT IN IHR POSTFACH!
WERDEN SIE ZUM CYBERSECURITY INSIDER
CYBERSECURITY INSIGHTS HIER ABONNIEREN ✔
AdobeStock 392993132 Beschnitten

Privatsphäre-Einstellungen

Wir verwenden Cookies, um unseren Besuchern ein optimales Website-Erlebnis zu bieten, zu Statistik- und Marketingzwecken sowie zur Einbindung externer Inhalte. Im Zusammenhang mit der Nutzung dieser Technologien werden Informationen auf Ihrem Gerät gespeichert und/oder abgerufen. Für die o.g. Zwecke werden eventuell personenbezogene Daten (wie IP-Adressen, Cookie-IDs) weiterverarbeitet und teilweise an Drittanbieter (z. B. Google) übermittelt. Durch Klicken auf „Alle akzeptieren“ willigen Sie in die Verarbeitung in dem beschriebenen Umfang und zu den genannten Zwecken ein. Sie können Ihre Einstellungen jederzeit nachträglich anpassen.