{"id":9744,"date":"2023-04-25T16:22:08","date_gmt":"2023-04-25T14:22:08","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=9744"},"modified":"2023-10-23T13:39:11","modified_gmt":"2023-10-23T11:39:11","slug":"pentesting-autorisierte-und-simulierte-cyberangriffe","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/pentesting-autorisierte-und-simulierte-cyberangriffe\/","title":{"rendered":"Pentesting: Autorisierte und simulierte Cyberangriffe"},"content":{"rendered":"

Cybersecurity ist f\u00fcr Unternehmen heute \u00fcberlebenswichtig. Aber wie gut greifen die bestehenden Ma\u00dfnahmen? IT-Infrastrukturen und Angriffsmethoden \u00e4ndern sich schnell. Was gestern sicher war, kann heute schon gef\u00e4hrdet sein. Deshalb ist es unumg\u00e4nglich, die eigene Sicherheitsaufstellung regelm\u00e4\u00dfig auf Herz und Nieren zu pr\u00fcfen und eventuell existierende Schwachstellen zu schlie\u00dfen. Dieser Beitrag besch\u00e4ftigt sich mit dem Penetrationstest<\/a> oder Pentesting. Wir wollen aufkl\u00e4ren, worum es dabei geht, welche M\u00f6glichkeiten es gibt und vor allem welche Vorteile es hat, die eigene IT-Sicherheit regelm\u00e4\u00dfig testen zu lassen.<\/p>\n

 <\/p>\n

Digitalisierung zwingt zu umfassendem Schutz: Pentesting kann Ihnen helfen!<\/h2>\n

Die fortschreitende Digitalisierung ist inzwischen in jeder Branche und in jeder Unternehmensgr\u00f6\u00dfe bemerkbar: Prozesse werden zunehmend digitalisiert und Systeme miteinander verbunden, kritische Gesch\u00e4ftsanwendungen erfolgen immer h\u00e4ufiger web- und\/oder mobilbasiert und immer mehr Anwendungen und Daten werden in die Cloud verlagert.<\/p>\n

Das erh\u00f6ht nat\u00fcrlich auch die Angriffsfl\u00e4che f\u00fcr Cyberkriminelle und mit zunehmender Digitalisierung nehmen auch Sicherheitsbedrohungen und Angriffe best\u00e4ndig zu. F\u00fcr Unternehmen kann ein Angriff nicht nur die Daten kompromittieren sowie die DSGVO-Compliance beeintr\u00e4chtigen und damit erhebliche Kosten verursachen, sondern auch den Ruf langfristig sch\u00e4digen. Vor allem Unternehmen m\u00fcssen sich deshalb umfassend vor solchen Angriffen sch\u00fctzen.<\/p>\n

Mit Pentests lassen sich vorhandene Schwachstellen fr\u00fchzeitig erkennen, noch bevor Hacker die Systeme attackieren k\u00f6nnen.<\/p>\n

 <\/p>\n

Hackern eine Spur voraus: Sicherheitsl\u00fccken mi Pentesting aufdecken<\/h2>\n

Die beste Methode, Hacker und ihre Methoden<\/a> zu verstehen, ist, genauso zu handeln wie sie. Dies geschieht bei Penetrationstests, kurz \u201ePentests\u201c, bei denen Sicherheitsexperten alle Systemkomponenten und Anwendungen in einem Netzwerk oder Softwaresystem mit den Mitteln und Methoden pr\u00fcfen, die ein Hacker verwenden w\u00fcrde, um in das System einzudringen.<\/p>\n

Ziel ist es, Schwachstellen in bestehender IT-Infrastruktur (Netzwerke und IT-Systeme) sowie Webapplikationen (z.B. Onlineshops, Kundenportale, Online-Banking) und Anwenderfehler aufzudecken, die bisher und ohne simulierten Hackerangriff nicht erkannt worden sind.<\/p>\n

Oder anders gesagt: Der Pentest ermittelt, wie empfindlich ein System f\u00fcr Angriffe ist. Anhand der erkannten Muster und Schwachstellen k\u00f6nnen die Experten Folgenabsch\u00e4tzungen erstellen und Abschlussberichte mit Vorschl\u00e4gen zur Risikominimierung und technischen Sicherheitsl\u00f6sungen vorlegen.<\/p>\n

Da Cyberkriminelle immer gewiefter werden und ihre Angriffsmethoden und \u2013Verfahren fortw\u00e4hrend anpassen und erneuern, um neue Sicherheitsbarrieren zu \u00fcberwinden, sollten Unternehmen Pentests in regelm\u00e4\u00dfigen Abst\u00e4nden durchf\u00fchren. Damit reduzieren sich Netzwerkausfallzeiten, Sanierungskosten und das Risiko eines Imageschadens f\u00fcr das Unternehmen. Denn bedenken Sie bitte: Ein Penetrationstest ist \u2013 \u00fcbrigens wie alle anderen Sicherheitspr\u00fcfungen \u2013 nur eine Momentaufnahme der Resilienz des Unternehmens.<\/p>\n

Varianten eines Penetrationstests<\/h3>\n

Das deutsche Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat ein Klassifikationsschema f\u00fcr Penetrationstests entwickelt, das im Wesentlichen sechs Kriterien umfasst. Anhand dieser Kriterien stellen die beauftragen Sicherheitsexperten gemeinsam mit dem Kunden einen individuellen Pentest zusammen. Die zu kl\u00e4renden Kriterien sind dabei: Informationsbasis, Aggressivit\u00e4t, Umfang, Vorgehensweise, Technik und Ausgangspunkt.<\/p>\n

Externe vs. Interne Pentests<\/h3>\n

Zu unterscheiden ist zun\u00e4chst der interne vom externen Penetrationstest. Wird ein externer Penetrationstest durchgef\u00fchrt, pr\u00fcfen Sicherheitsexperten wie gut Unternehmensnetzwerke, Systeme oder Webpr\u00e4senzen von au\u00dfen angreifbar sind. Dem gegen\u00fcber untersuchen sie beim internen Penetrationstest, welchen Bewegungs- und Handlungsspielraum Hacker haben, wenn sie sich bereits im Netzwerk befinden. Gerade interne Pentests sind besonders wichtig, denn auch mit den besten technischen Schutzma\u00dfnahmen kann es passieren, dass Menschen Fehler machen oder sich von Cyberkriminellen austricksen lassen.<\/p>\n

Black-Box-Test, White-Box-Test und Grey-Box-Test<\/h3>\n

Als realistischste Form eines externen Angriffs gilt der sogenannte Black-Box-Test. Hier erh\u00e4lt der Testende keine weiteren Informationen \u00fcber das System.<\/p>\n

Bei einem sogenannten White-Box-Test erh\u00e4lt der Testende hingegen grundlegende Informationen \u00fcber das System, das er penetrieren soll, sowie \u2013 idealerweise \u2013 auch das IT-Sicherheitskonzept mit der Dokumentation der zugeh\u00f6rigen IT-Infrastruktur. Bei dieser Variante geht es oft darum, theoretische Szenarien auszuloten \u2013 nur f\u00fcr Ernstfall und um dann auf der sicheren Seite zu sein.<\/p>\n

Wird nur ein bestimmter Teil der m\u00f6glichen Informationen vorab zur Verf\u00fcgung gestellt, sprechen Experten von einem Grey-Box-Test, einer Mischform der beiden vorangehenden.<\/p>\n

Da die Pentester:innen das Vorgehen einer Gruppe von Angreifenden simulieren, werden sie als \u201eRed Team\u201c bezeichnet. Ist nicht nur die Antwort der Schutzmechanismen und Sicherheitsma\u00dfnahmen im Mittelpunkt des Tests, sondern steht auch die Schnelligkeit und Kompetenz der Sicherheitsexperten des Auftraggebers auf dem Pr\u00fcfstein, werden die Pentester:innen als \u201eBlue Team\u201c bezeichnet.<\/p>\n

 <\/p>\n

Welche Arten an Pentesting gibt es?<\/h2>\n

Je nach Unternehmensgr\u00f6\u00dfe oder Projekt lassen sich Pentests in drei Arten unterteilen, die jedoch auch miteinander kombiniert werden k\u00f6nnen.<\/p>\n

    \n
  1. Pentests f\u00fcr Webanwendungen<\/strong>
    \nEin Web-Pentest konzentriert sich auf eine Web- oder API-Anwendung, nicht auf ein Netzwerk. Ziel ist es, Sicherheitsl\u00fccken in der Web-Anwendung aufzudecken und Verteidigungsmechanismen zu st\u00e4rken. Getestet werden dabei das Frontend und das Backend mit allen zugrunde liegenden Datenbanksystemen und den entsprechenden Schnittstellen. Um zu verhindern, dass durch einen m\u00f6glichen Datendiebstahl eine meldepflichtige (und teure) Datenpanne entsteht, sollten sich diese Pentests am Praxis-Leitfaden f\u00fcr IS-Penetrationstests des Bundesamtes f\u00fcr Sicherheit in der Informationstechnik (BSI) und an den Vorgaben der Datenschutz-Grundverordnung (DSGVO) orientieren.<\/li>\n
  2. Pentests f\u00fcr Mobile Apps
    \n<\/strong>Mobile Apps sind aus unserem Alltag nicht mehr wegzudenken. Ihre Sicherheit ist damit ein Grundpfeiler f\u00fcr den Schutz von unternehmenseigenen und privaten Mobilger\u00e4ten. Der Schwerpunkt dieser Pentests liegt vor allem auf der Sicherheit der Architektur, der sicheren Datenspeicherung und dem Datenschutz, der Verschl\u00fcsselung von Daten bei der Netzwerkkommunikation und der Manipulationssicherheit. Mobile-Pentests orientieren sich am Mobile Application Security Verification Standard (MASVS) sowie an den oben erw\u00e4hnten Leitf\u00e4den f\u00fcr Datensicherheit.<\/li>\n
  3. Pentests f\u00fcr Infrastrukturen
    \n<\/strong>Gro\u00dfe Unternehmen arbeiten meist mit sehr komplexen Netzwerken, die fehleranf\u00e4llig sein k\u00f6nnen. Insbesondere kritische Infrastrukturen (KRITIS) ben\u00f6tigen besonderen Schutz. Pentester:innen analysieren bei ihren Test mittels manueller und automatisierter Scans die Firewall und Versionsupdates, \u00fcberpr\u00fcfen die Verschl\u00fcsselung von Kommunikationskan\u00e4len wie dem VPN, pr\u00fcfen Berechtigungen und ob und wie sich Manipulation des Routings von Nachrichten und Daten verhindern lassen. Au\u00dferdem decken sie unbeabsichtigte Beziehungen in der Active-Directory-Umgebung und analysieren die Sicherheit von IoT-Ger\u00e4ten. Als Grundlage dienen neben den Richtlinien, die die DSGVO vorgibt, die Leitlinien des BSI sowie diverse andere Standards, wie OSSTMM, NIST, PCIDSS und PTES.<\/li>\n<\/ol>\n

     <\/p>\n

    Phasen eines Penetrationstests<\/h3>\n

    Je umfassender, l\u00e4nger und regelm\u00e4\u00dfiger Pentests durchgef\u00fchrt werden, desto besser lassen sich Sicherheitsl\u00fccken erkennen und verhindern. Dabei ist der genaue Ablauf und die Art des Penetrationstests ein agiler Prozess, der auf jede Unternehmensgr\u00f6\u00dfe, seine Infrastruktur und Projekte angepasst wird. Ohne eine strukturierte Vorgehensweise geht es allerdings nicht und so umfasst ein Pentest mehrere Schritte.<\/p>\n

      \n
    1. Vorbereitung<\/strong>
      \nBei einem Vorbereitungsgespr\u00e4ch werden die Anforderungen und Rahmenbedingungen festgelegt, Ansprechpartner sowie notwendige Zugriffe auf Benutzerkonten ermittelt und Eskalationswege definiert, damit der Pentest-Prozess einem detaillierten Pfad folgen kann.<\/li>\n
    2. Informationsbeschaffung
      \n<\/strong>Jetzt geht es an die Informationsbeschaffung. Die Sicherheitsexperten erfassen nun so viele Informationen \u00fcber die Webanwendungen, mobilen Apps und Infrastrukturen wie m\u00f6glich, um Analysestrategien zu entwickeln, anhand derer m\u00f6gliche Angriffsvektoren ermittelt werden. Diese werden in dann in umfassenden Tests auf Schwachstellen untersucht.<\/li>\n
    3. Verifikationstests
      \n<\/strong>Jetzt wird es ernst: Die Schwachstellen werden im Test ausgenutzt. Die Tester:innen verschaffen sich mithilfe vorhandener oder neu erstellter Exploits Zugriff auf das Zielsystem. Best\u00e4tigte Schwachstellen werden in einem Bericht zusammengetragen und anhand ihres Schweregrads bewertet.<\/li>\n
    4. Abschlussanalyse
      \n<\/strong>Es folgt die Auswertung und Dokumentation der Ergebnisse. In einem Managementbericht und in einer umfassenden Test- und Schwachstellenbeschreibung werden die Schwachstellen aufgelistet und Gegenma\u00dfnahmen empfohlen bzw. Handlungsempfehlungen ausgesprochen.<\/li>\n
    5. Nachbereitung
      \n<\/strong>Anhand des Analyseberichts w\u00fcrde sich die Beseitigung der Schwachstellen anbieten. Hier sind Auftraggeber nicht allein, sondern sollten die Unterst\u00fctzung des Pentest-Diensteanbieters oder weiterer Sicherheitsexperten in Anspruch nehmen. Wurden die Empfehlungen umgesetzt, sollten die Sicherheitsl\u00fccken erneut \u00fcberpr\u00fcft werden, um neue oder noch nicht gestopfte L\u00fccken zu erkennen.<\/li>\n<\/ol>\n

       <\/p>\n

      Manuelles vs. automatisches Pentesting<\/h3>\n

      Manuell durchgef\u00fchrte Tests machen aktuell noch den gr\u00f6\u00dften Teil der Analysen aus \u2013 und werden es wohl noch eine ganze Weile. Allerdings sind sie auch sehr aufw\u00e4ndig und kostenintensiv, weshalb sie h\u00e4ufig nur einmal im Jahr durchgef\u00fchrt werden. J\u00e4hrliches Pentesting reicht jedoch nicht aus, um gut gesch\u00fctzt zu sein: Cyberangreifende \u00e4ndern ihre Methoden schnell und entwickeln ihre Angriffstechniken \u00e4u\u00dferst dynamisch. Zumal die Tester:innen die neuesten Hacking-Methoden kennen m\u00fcssen, um diese beim Kunden zu simulieren.<\/p>\n

      Deshalb werden automatisch durchgef\u00fchrte Pentests immer wichtiger: Moderne Software-L\u00f6sungen erm\u00f6glichen es inzwischen, Pentests weitgehend automatisiert durchzuf\u00fchren. Das spart Aufwand, erh\u00f6ht die Geschwindigkeit der Untersuchungen und reduziert die Kosten deutlich. Im Ergebnis k\u00f6nnen Systeme sogar von komplexen IT-Umgebungen schnell und effizient auf Schwachstellen gescannt werden. H\u00e4ufig liegen Ergebnisse bereits nach 48 Stunden vor.<\/p>\n

      Langfristig wird der Trend vermutlich dahin gehen, manuelle Pentests nur noch in Sonderf\u00e4llen zu pr\u00fcfen oder um Whitebox-Testing durchzuf\u00fchren.<\/p>\n

      Pentesting-Angebote des BSI<\/h3>\n

      Das BSI bietet vorrangig Bundesbeh\u00f6rden zwei Testmethoden<\/a> an: den IS-Penetrationstest sowie den IS-Webcheck. Beide konzentrieren sich auf die h\u00e4ufigsten und bekanntesten Schwachstellen von weitverbreiteten IT-Systemen und sollten \u2013 um langfristig einen guten Sicherheitseindruck \u00fcber die IT-Systeme zu gewinnen \u2013 in regelm\u00e4\u00dfigen Abst\u00e4nden wiederholt werden.<\/p>\n

      IS-Penetrationstest<\/strong>
      \nBei IS-Penetrationstests werden vorrangig Schnittstellen nach au\u00dfen untersucht, \u00fcber die potenzielle Angreifende in die IT-Systeme eindringen k\u00f6nnten. Hierbei werden Konfigurationsfehler sowie noch nicht behobene Schwachstellen identifiziert. Je nach Kundenwunsch testet das BSI in unterschiedlicher Tiefe getestet werden. So k\u00f6nnen wahlweise nur stichprobenartig sicherheitsrelevante Konfigurationen und Regelwerke der eingesetzten IT-Systeme untersucht und daraufhin Empfehlungen f\u00fcr die Schlie\u00dfung m\u00f6glicher Schwachstellen gegeben werden. Oder aber es werden durch umfangreiche technische Untersuchungen Schwachstellen in den getesteten IT-Systemen aufgesp\u00fcrt.<\/p>\n

      IS-Webcheck<\/strong>
      \nMit einem IS-Webcheck des BSI wird der Sicherheitsstand der Internetpr\u00e4senz einer Beh\u00f6rde oder einer Institution gepr\u00fcft. Diese Tests werden zum Gro\u00dfteil durch den Einsatz automatisierter Methoden \u00fcber das Internet durchgef\u00fchrt.<\/p>\n

       <\/p>\n

      Fazit zu Pentesting: Vorsorge ist besser als Nachsorge<\/h2>\n

      Die eigene IT-Sicherheit auf Herz und Nieren zu pr\u00fcfen ist wichtig und als Investition zu sehen, denn ein entstandener Schaden ist meist teurer. Es empfiehlt sich jedoch, beim Pentesting mit einem erfahrenen Cybersecurity-Dienstleister zusammenzuarbeiten, der \u00fcber entsprechende Referenzen und Expertise verf\u00fcgt.<\/p>\n

      Alternativ k\u00f6nnen IT-Teams selbst automatisiertes Pentesting etablieren: Die Software ist meist schnell installiert und eingerichtet. Dennoch d\u00fcrfte f\u00fcr viele Unternehmen die Herausforderung in der Auswertung der Ergebnisse liegen: Es gen\u00fcgt nicht, Sicherheitsl\u00fccken zu identifizieren. Es m\u00fcssen auch die richtigen Ma\u00dfnahmen ergriffen werden, um die Schwachstellen zu schlie\u00dfen.<\/p>\n

       <\/p>\n