Warum bezahlen Unternehmen für Angriffe auf ihre IT Infrastruktur? (Pentesting)

Icon For Clock 4 Min. Lesezeit

In den heutigen Zeiten gewinnt IT-Security zunehmend an Priorität. Fast täglich hört man von erfolgreichen Angriffen auf renommierte Firmen und deren Software, wie Microsoft1 und Anderen2. Da kommt schnell die Frage auf, vor allem bei Großkonzernen, wie dies zu vermeiden gewesen wären. Einen Anteil daran hat das sogenannte Pentesting, ein Schritt in die richtige Richtung. Es handelt sich dabei um das gezielte Testen von Systemen auf Schwachstellen. Wie genau dies aussehen kann, stellen wir Ihnen in diesem Artikel vor.

Einordnung zum Thema (Audio 🎧)

Welche Arten von Pentesting gibt es?

Neben technischen Herangehensweisen, wie zum Beispiel dem Angreifen von Software-Schnittstellen oder Überfluten eines Netzwerkes mit übergroßen Datenpaketen, gibt es vor allem eine weitere Methode die heraussticht, da sie kaum bis gar nicht auf technischem Detailwissen aufbaut.

Social Engineering

Das Social Engineering, bei dem der Angreifer versucht Mitarbeiter gezielt zu manipulieren den Zugriff auf interne Daten freiwillig zu gewähren. Hierbei kann eine riesige Palette an Tricks verwendet werden, zu denen gehört beispielsweise das Phishing. Hierbei ist es das Ziel des Angreifers, die Daten der Zielperson durch eine echt aussehende Webseite zu erhalten.Durch eine Kopie eines Anmeldebildschirms bekommt das Opfer nicht einmal mit, dass die Zugangsdaten gerade freiwillig dem Angreifer übergeben werden. Eine effektive Maßnahme gegen Phishing haben wir bereits in unserem Artikel " Bitwarden als Passwortmanager" angesprochen.

WLAN Penetrationstests

WLAN, also Wireless Local Area Network, ist ein essenzieller Bestandteil, nicht nur jedes Büros, sondern auch jedes Haushaltes. Neben dem offensichtlichen Vorteil der einfachen kabellosen Verbindungen birgt es allerdings auch einige Risiken. Allein die Reichweite des Netzwerks birgt ein gewisses Risikopotenzial, da der Empfang selten am Rand des Firmengeländes aufhört. Mit der richtigen Ausrüstung kann hier eine Hintertür in das interne Netzwerk gefunden werden, denn vor allem schwächere WLAN Passwörter können mit genügend Zeit errechnet werden.

Software Tests

Der Pentester versucht möglichst viele Schwachstellen in der Anwendung / Software zu finden. Hierbei geht es nicht nur um bekannte Fehler, sondern auch um sogenannte 0-Day Exploits. Diese sind unbekannte Sicherheitslücken, welche ein besonders großes Sicherheitsrisikopotenzial besitzen und dementsprechend viel Kommission einbringen3. Bei interner Software hingegen wird eher selten mit einem Bezahlmodell gearbeitet, welches auf Kommissionen basiert.

Was haben Unternehmen für Vorteile durch regelmäßige Tests

Der primäre Vorteil liegt sicherlich auf der Hand, die Sicherheit der Software bzw. des Unternehmens wird auf die Probe gestellt. Dies ist nicht nur nützlich für den Moment, sondern auch für die Zukunft. Des Weiteren werden Fragen, rund um das Thema Sicherheit in der Firma, geklärt und Lösungen für die Lücken gefunden und implementiert. Somit werden Risiken nicht nur vermindert, sondern es wird ebenfalls aktiv gelernt. Außerdem sind die Mitarbeiter nach diesem Test voll im Bilde, was die Sicherheit der Anwendungen anbelangt und dem Fakt, dass es stets Risiken gibt. Ein sofortiger finanzieller Vorteil ist zusätzlich die Reduzierung der Versicherungskosten, da Versicherer häufig bereit sind starke Reduktionen der Konditionen für Firmen anzubieten, dessen Risiken besser einzuschätzen sind.

Der Ablauf eines Pentest

Der Ablauf variiert von Unternehmen zu Unternehmen, allerdings gibt es einige Punkte, die sich ähneln bzw. annähernd gleichen. Vor einem Pentest muss es immer eine genaue Absprache mit Geschäftsführung und weiteren Zuständigen geben. Es werden zunächst die rechtliche Rahmenbedingungen abgesteckt und entschieden, welche Methoden eingesetzt werden dürfen.

Im Grunde gesehen hat ein Pentest vier Phasen: Reconnaissance, Scanning, Exploit und Dokumentation.

  1. In der Reconnaissance, auch Recon oder Informationsbeschaffungsphase genannt, werden relevante Informationen zum Angriff gesammelt.
  2. Die Scanningphase beinhaltet die Analyse der Systeme, wie zum Beispiel Softwareversionen und ähnliches, um dann
  3. in der Exploitphase eine kontrollierte Attacke auf das System vorzunehmen. Es wird speziell auf eine vermeintlich verwundbare Stelle abgezielt in eine Software oder in ein Netzwerk zu gelangen. Nicht immer wird eine Attacke wirklich auch ausgeführt, da dieser Schritt für das Beheben nicht notwendig ist.
  4. In der letzten Phase der Dokumentation, wird das genaue Verfahren beschrieben, wie sich die Angreifer Zugriff verschafft haben und wie eventuelle Behebungen aussehen könnten und was die Ursachen waren.

Fazit

Sicherlich wirken Risiken durch noch unbekannte Sicherheitslücken abstrakt, doch selbst wenn man nur zwischendurch die Nachrichten verfolgt, merkt man, dass es sich nicht um die Frage „Ob?“ handelt, sondern nur noch um ein „Wann?“ und „Wie schlimm?“.