In den heutigen Zeiten gewinnt IT-Security zunehmend an Priorität. Fast täglich hört man von erfolgreichen Angriffen auf renommierte Firmen und deren Software, wie Microsoft1 und andere2. Daher stellt sich besonders bei Großkonzernen die Frage, wie solche Vorfälle hätten vermieden werden können. Einen wichtigen Beitrag dazu leistet das sogenannte Pentesting, ein Schritt in die richtige Richtung. Dabei handelt es sich um das gezielte Testen von Systemen auf Schwachstellen. Wie genau dies aussehen kann, stellen wir Ihnen in diesem Artikel vor.
Einordnung zum Thema (Audio 🎧)
Welche Arten von Pentesting gibt es?
Neben technischen Herangehensweisen, wie dem Angriff auf Software-Schnittstellen oder dem Überfluten eines Netzwerks mit übergroßen Datenpaketen, gibt es eine weitere Methode, die besonders hervorsticht, da sie kaum technisches Detailwissen erfordert.
Social Engineering
Beim Social Engineering versucht der Angreifer, Mitarbeiter gezielt zu manipulieren, um freiwilligen Zugriff auf interne Daten zu erhalten. Dabei kann eine Vielzahl von Tricks angewendet werden. Ein typisches Beispiel ist Phishing. Hier ist das Ziel, die Zugangsdaten der Zielperson über eine täuschend echte gefälschte Webseite zu erlangen. Da lediglich ein nachgebauter Anmeldebildschirm angezeigt wird, bemerkt das Opfer nicht, dass seine Daten direkt an den Angreifer übermittelt werden. Eine sehr effektive Maßnahme gegen Phishing haben wir bereits im Artikel " Bitwarden als Passwortmanager" erwähnt.
WLAN Penetrationstests
WLAN, also Wireless Local Area Network, ist ein essenzieller Bestandteil jedes Büros und praktisch jedes Haushalts. Neben den offensichtlichen Vorteilen kabelloser Verbindungen birgt WLAN auch Risiken. Schon die Reichweite des Netzwerks stellt ein potenzielles Risiko dar, da das Signal oft über das Firmengelände hinausreicht. Mit der richtigen Ausrüstung kann hier eine Hintertür ins interne Netzwerk gefunden werden, da vor allem schwächere WLAN Passwörter mit genügend Zeit berechnet werden können.
Software Tests
Beim Softwaretest versucht der Pentester, möglichst viele Schwachstellen in einer Anwendung zu finden. Dabei geht es nicht nur um bekannte Fehler, sondern auch um sogenannte Zero-Day-Exploits. Das sind unbekannte Sicherheitslücken mit besonders hohem Risikopotenzial, die auf einschlägigen Märkten hohe Kommissionen erzielen3. Bei interner Software wird hingegen selten mit einem Kommissionsmodell gearbeitet.
Was haben Unternehmen für Vorteile durch regelmäßige Tests
Der primäre Vorteil liegt klar auf der Hand: die Sicherheit des Unternehmens und seiner Software wird umfassend überprüft. Diese Tests sind nicht nur für den aktuellen Stand wichtig, sondern auch für zukünftige Sicherheitsmaßnahmen.
Regelmäßige Pentests helfen dabei, Fragen rund um die Sicherheit zu klären, Schwachstellen zu erkennen und konkrete Lösungen zu implementieren. Unternehmen profitieren dadurch doppelt, da Risiken reduziert werden und gleichzeitig ein Lernprozess stattfindet. Außerdem werden Mitarbeiter für das Thema Sicherheit sensibilisiert und verstehen besser, dass es in jeder Umgebung Risiken gibt.
Ein unmittelbarer finanzieller Vorteil ergibt sich zusätzlich aus der möglichen Reduzierung von Versicherungskosten. Versicherer bieten häufig bessere Konditionen für Unternehmen an, deren Risiken besser einschätzbar und nachweislich reduziert sind.
Der Ablauf eines Pentest
Der Ablauf eines Pentests variiert von Unternehmen zu Unternehmen, dennoch gibt es typische Schritte, die sich wiederholen. Vor dem eigentlichen Test findet stets eine genaue Absprache mit der Geschäftsführung und den zuständigen Personen statt. Hier werden die rechtlichen Rahmenbedingungen festgelegt und entschieden, welche Methoden zulässig sind.
Grundsätzlich besteht ein Pentest aus vier Phasen: Reconnaissance, Scanning, Exploit und Dokumentation.
- In der Reconnaissance Phase, auch Recon oder Informationsbeschaffungsphase genannt, werden relevante Informationen über das Zielsystem gesammelt.
- In der Scanning Phase werden die Systeme analysiert, beispielsweise Softwareversionen und weitere technische Eigenschaften.
- In der Exploit Phase wird eine kontrollierte Attacke auf das System ausgeführt. Es wird gezielt versucht, über eine vermeintlich verwundbare Stelle in eine Software oder ein Netzwerk zu gelangen. Nicht immer wird der Angriff tatsächlich ausgeführt, wenn dies für die Behebung nicht notwendig ist.
- In der Dokumentationsphase wird beschrieben, wie sich die Angreifer Zugriff verschaffen konnten, welche Ursachen die Schwachstelle hatte und wie mögliche Lösungen aussehen.
Fazit
Risiken durch noch unbekannte Sicherheitslücken wirken oft abstrakt. Doch schon ein kurzer Blick in die Nachrichten zeigt, dass es längst nicht mehr um die Frage geht, ob ein Angriff erfolgt, sondern nur noch wann und wie schwer die Auswirkungen sein werden.