Pentest und Angriffssimulation – mehr Sicherheit in der IT

Bei einem Penetrationstest führt ein erfahrener Partner einen geplanten Hacker-Angriff durch. Dabei versetzen sich dessen Mitarbeiter in die Situation des potenziellen Hackers, denken und arbeiten wie ein Hacker und nutzen auch die dabei üblichen Tools. Es gibt verschiedene Arten, die Schwachstellen zu finden, um sie dann zu schließen, bevor ein Hacker mit bösen Absichten sie ausnutzen kann. Was ist ein Pentest genau? Und wie läuft ein solcher Test ab?

Penetrationstest – was ist das?

Beim Penetration Testing, übersetzt Durchbruchs- oder Eindringtest, versucht jemand in ein geschütztes IT-System einzudringen, um Schwachstellen im System aufzudecken. White-Hat-Hacker, wie die Pentester auch genannt werden, richten im Gegensatz zu Black-Hat-Hackern keinen Schaden an. Ihnen geht es nur darum, Sicherheitslücken aufzudecken.

Die Pentester sind ausgebildete Sicherheitsexperten, die auf verschiedene Arten versuchen, in die IT-Architektur einzudringen. Dieses Tests sind individuell auf die vorhandene Hard- und Software in den Unternehmen abgestimmt und folgen keinem vorgegebenen Muster, wie beispielsweise ein automatisierter Vulnerability Scan. Im Verlauf des Tests sammeln die Sicherheitsexperten alle Daten, die sie während das Angriffs erreichen können. Sie suchen gezielt nach Sicherheitslücken und bauen die weiteren Schritte auf dem Wissen aus den vorherigen Testschritten auf, genau wie das ein Hacker bei einem echten Hacker-Angriff tun würde.

Pentests sind dabei ganzheitlich angelegt. Laut Bundesamt für Sicherheit in der Informationstechnik sind Pentests „ein geeignetes Verfahren, um die aktuelle Sicherheit eines IT-Netzes, eines einzelnen IT-Systems oder einer (Web-)Anwendung festzustellen.” Das bedeutet, die Sicherheitsexperten schauen sich nicht nur die Internetzugänge isoliert an oder die Speichersysteme und Server. Sie haben das vollständige Unternehmensnetzwerk im Blick und auch die verschiedenen Anwender. Dazu gehört beispielsweise auch der Umgang der Mitarbeitenden mit Passwörtern, Schnittstellen zu Kunden und Geschäftspartnern oder die Technik im gesamten Unternehmen, sofern sie für einen Hacker-Angriff geeignet ist. Pentests können auch die Sicherheitslücken und die Schwachstellen finden, die auf den ersten Blick ganz harmlos erscheinen. Die meisten Attacken erfolgen an übersehenen Schwachstellen oder aufgrund von Nachlässigkeit.

So läuft ein Pentest ab

Schritt 1: Die Systeme erkunden, den Angriff planen

Zunächst geht es darum einen heimtückischen Angriff zu planen und zu simulieren, um so viele Daten wie möglich über das IT-System zu erhalten. Das kann sehr zeitaufwendig sein, da die Sicherheitsexperten das System auf Schwachstellen prüfen und testen, wie die Technologiekomponenten im Unternehmen auf Sicherheitsverletzungen reagieren. Die Angreifer suchen nach Namen, E-Mail-Adressen von Mitarbeitern, IP-Adressen, Netzwerktopologie und vielem mehr. Dabei legt der Kunde fest, wie tiefgehend die Untersuchung der Systeme erfolgen soll. Um diese Informationen zu erhalten, setzen die Sicherheitsexperten unter anderem auf Netzwerk-Scanning, das Abrufen der Domain-Registrierungs-Informationen, Dumpster Diving oder Social Engineering.

Schritt 2: Die Systeme scannen

Die Informationen und Erkenntnisse aus der ersten Phase nutzen die Experten, um passende Scanning-Tools einzusetzen, mit deren Hilfe sie das Netzwerk und die Schwachstellen genauer untersuchen. Dieser Schritt im Pentest ist wichtig, um gezielt Systemschwächen zu finden, die sich für einen Angriff eignen.

Schritt 3: Systemzugang verschaffen

Wenn die White-Hat-Hacker die Schwachstellen erkannt haben, nutzen sie diese Sicherheitslücken, um in das System einzudringen. Dort versuchen sie dann, weitere Privilegien zu erlangen, indem sie das System ausnutzen. Damit zeigen sie, wie tief ein Angreifer in die Zielumgebung eindringen könnte.

Schritt 4: Zugriff auf Dauer

Dieser Schritt dient dazu, aufzuzeigen, wie groß der potenzielle Schaden sein könnte, den Angreifer anrichten könnte, wenn er diese Schwachstellen ausnutzt. Sobald die Pentester im

System sind, halten sie den Zugriff lange genug aufrecht, um bestimmte Ziele, die auch ein echter Angreifer hätte, zu erreichen. Sie versuchen dabei, so viele Informationen wie möglich zu erhalten, die Zugriffsrechte auf ein Höchstmaß zu steigern und Zugang zu möglichst vielen Systeme zu erhalten.

In dieser Phase wird deutlich, wie groß der Schaden sein könnte, den ein Cyber-Krimineller verursachen würde und was diese Sicherheitsverletzungen für das Unternehmen bedeuten.

Schritt 5: Testanalyse und Bericht

Im letzten Schritt des Pentests erstellen die Sicherheitsexperten einen ausführlichen Bericht und beschreiben darin den Ablauf des Pentests. Folgende Informationen sind in der Regel darin enthalten:

• Entdeckte Schwachstellen und die Höhe der Risiken, die davon ausgehen
• Alle Werkzeuge, die beim Eindringen ins System im Einsatz waren
• Alle wesentlichen Punkte, die das Unternehmen im Bereich Cyber Security bereits richtig macht
• Alle Schwachstellen, die zu beheben sind, damit in der Zukunft an diesen Stellen keine Hacker-Angriffe erfolgen können.

Dieser Schritt ist wahrscheinlich der wichtigste für beide Seiten. Denn im Unternehmen lesen möglicherweise auch Nicht-ITler den Bericht. Daher ist es sinnvoll den Bericht so zu gestalten, dass er einen allgemein erläuternden Teil und einen technischen Teil enthält.

Fazit

Es ist von wesentlicher Bedeutung, im Anschluss an den Test auch die entsprechenden Maßnahmen zu ergreifen, um künftige Hackerangriffe zu verhindern. Die Zahl der Angriffe ist in den letzten Jahren stark angestiegen. Es sind nicht mehr nur große Konzerne und Organisationen betroffen. Cyberangriffe haben meist nur ein Ziel: wertvolle Informationen erlangen, um beispielsweise Lösegeld zu erpressen.