Wir beraten Sie gerne auch persönlich, wenn Sie konkrete Fragen zum Penetration Testing für Ihr Unternehmen haben
Nikolas Rösener
Security Expert
- cyber-security@ohb-ds.de
- 0421220950
Die Welt ist zunehmend vernetzt und kein Unternehmen kommt mehr ohne das Internet aus. Deshalb betrifft auch IT-Sicherheit heute ausnahmslos jedes Unternehmen. Doch jedes Unternehmen ist anders und hat dementsprechend auch andere Anforderungen und Voraussetzungen an die eigene IT-Sicherheit. Mit Pentesting können die Sicherheitslücken im eigenen Unternehmen entlarvt und beseitigt werden. Doch was genau ist eigentlich ein Pentest und welche Art von Pentest ist denn nun der Richtige?
Ein Pentest ist ein Sicherheitstest, bei dem ein sogenannter “Pentester” versucht, in z.B. ein Computer-System oder ein Netzwerk einzudringen, um dessen Sicherheit zu überprüfen und eventuell bestehende Schwachstellen aufzudecken. Dieser Test wird häufig von Unternehmen durchgeführt, um sicherzustellen, dass ihre Systeme und Netzwerke vor Angriffen von außen geschützt sind. Bei einem Pentest werden darüber hinaus verschiedene Techniken und Werkzeuge verwendet, um die Sicherheit des Systems auf mögliche Schwachstellen zu überprüfen und gegebenenfalls zu verbessern.
Die verschiedenen Arten von Pentests sind klassifiziert in Black Box, White Box oder Grey Box. Aber wie kann diese Klassifizierung bei der Entscheidung für den richtigen Pentest helfen?
Mit der Art des ausgewählten Pentest werden gewisse Ergebnisse vorgegeben. Je nachdem, für welches Szenario man sich entscheidet, ist auch schon die Richtung und das Ergebnis des Pentests eingegrenzt. Weitere Faktoren, die die Wahl des Pentests einschränken, sind der ökonomische Nutzen (Aufwand, Kosten) und die Realitätsnähe der Szenarien. Ziel sollte es sein, beides zu optimieren.
Bei diesen Szenarien:
haben die Pentester keinerlei Insiderwissen oder Vorwissen vom Unternehmen
wird eine Situation nachgestellt, in der Unbekannte von außen versuchen in die IT-Infrastruktur des Unternehmens einzudringen
stehen offensichtliche Probleme im Fokus, es können jedoch auch schnell Schwachstellen übersehen werden, wie zum Beispiel Praktikantenszenario (interne Bedrohungen)
Bei diesen Szenarien:
haben die Hacker umfassende Kenntnisse über die IT-Infrastruktur des Unternehmens, sind oder waren ggfs. sogar Teil des Unternehmens (Belegschaft)
können durch die volle Sicht auf alle Systeme auch obskurere Schwachstellen aufgedeckt werden
steht jedoch das Ergebnis des Pentests und die Priorisierung der IT-Schwachstellen häufig wenig in Bezug zu echten Bedrohungen und Pentester können auch in Zukunft zunehmend den “neutralem Blick” verlieren
Bei diesen Szenarien:
haben die Pentester teilweise Einblicke und Vorwissen vom Unternehmen
können Szenarien simuliert werden bei denen, genau wie auch häufig in der Realität, keine klare Abgrenzung zwischen internen und externen Bedrohungen gezogen werden kann
Neben der Klassifizierung von Pentest in White-Box-, Black-Box- und Grey-Box-Szenarien gibt es noch weitere Arten und Bezeichnungen, auf die wir im nachfolgenden Abschnitt einmal – der Vollständigkeit halber – eingehen möchten.
Ein externer Pentest (auch External-Pentest genannt) ist ein Sicherheitstest, bei dem der Pentester von außen versucht, in das Netzwerk und die Systeme eines Unternehmens einzudringen. Das Gegenstück ist der interne Pentest, wobei der Angriff durch einen Insider simuliert werden soll. Interne Pentest kommen häufig zum Einsatz, wenn es beispielsweise darum geht in das E-Mail-Konto eines Mitarbeiters einzudringen (Phishing-Angriff).
Ein blinder Penetrationstest (auch als Closed-Box-Penetrationstest bekannt) ist eine Form des Sicherheitstests, bei dem die Tester keinerlei Informationen über das zu testende System oder Netzwerk haben. Sie beginnen den Test ohne Vorwissen und versuchen mögliche Schwachstellen und Sicherheitslücken aufzudecken. Diese Art von Pentest kann als realitätsnaher angesehen werden, da es im realen Leben möglich ist, dass Angreifer keine Informationen über das Ziel haben und sich daher einen Weg ins System erschleichen müssen.
Ein DoS-Test (Denial of Service) ist ein Sicherheitstest, bei dem versucht wird ein Zielsystem zu überlasten, indem es mit einer großen Anzahl von Anfragen bombardiert wird. Der Zweck dieses Tests besteht darin, die Stabilität und Robustheit des Systems zu prüfen und festzustellen, wie es auf eine solche Belastung reagiert.
Social Engineering Angriffe müssen nicht unbedingt ausführlich sein, sondern können auch innerhalb weniger Minuten gestartet werden. Des Weiteren öffnet ein erfolgreicher Angriff meist die Tür für noch schwerwiegendere Angriffe.
Wenn Sie feststellen, dass Ihre Firma Opfer eines Social-Engineering-Angriffs wurde, ist schnelles Handeln entscheidend – Zeit ist kostbar. Melden Sie den Vorfall sofort an Ihre interne Anlaufstelle für Sicherheitszwischenfälle und scheuen Sie sich nicht davor, Ihre internen sowie mögliche externen Experten einzubeziehen, um rasch geeignete Maßnahmen zu ergreifen.
Wenn Sie einen externen Einblick benötigen, stehen unsere IT-Sicherheitsexperten für ein kostenloses Erstgespräch zur Verfügung. Wir unterstützen Sie gerne dabei, die Situation zu bewerten und angemessene Schritte einzuleiten.
Im ersten Schritt wird das Thema Social Engineering in Zusammenarbeit mit den Zuhörenden ausgearbeitet. Dabei geht es um die verschiedenen Arten des Social Engineerings und die Sensibilisierung für das Thema.
Ist das Fundament für das Thema gegossen, folgt eine kurze Beschreibung, wie die aktuelle Gefahrenlage beim Social Engineering ist und wie professionell Angreifer mittlerweile vorgehen.
Im Anschluss wird Social Engineering konkret am Beispiel eines Phishing-Angriffs aufgezeigt. Dabei werden folgende vier Angriffsschritte der „Cyber-Kill-Chain“ untersucht
Abschließend wird detailliert über Gegenmaßnahmen gesprochen und wie man sich in Zukunft vor Social-Engineering-Attacken besser schützen kann.
Ein Netzwerk-Pentest ist ein Sicherheitstest, bei dem mögliche Schwachstellen und Sicherheitslücken in der Netzwerkinfrastruktur aufgedeckt werden. Dabei wird die gesamte interne Infrastruktur bewertet, auf Sicherheitsrisiken geprüft und Handlungsmaßnahmen erarbeitet, um eventuell identifizierte Sicherheitslücken zu schließen. Ein Network-Pentest eignet sich für Unternehmen jeder Größe, da heutzutage fast alle Unternehmen mit sensiblen Daten arbeiten und diese z.B. über das interne Netzwerk verarbeiten oder versenden.
Ein Application-Penetrationstest (manchmal auch als App-Pentest oder einfach nur App-Test bezeichnet) ist eine Art von Sicherheitstest, bei dem eventuell bestehende Schwachstellen und Sicherheitsrisiken in einer Anwendung (z.B. einem Computerprogramm oder einer mobilen App) aufgedeckt werden sollen.
Diese Tests werden von Experten durchgeführt, die versuchen das System auf die gleiche Weise anzugreifen, wie es ein Hacker tun würde (auch „ethical hacking“ genannt). Ziel ist es, die Sicherheit der Anwendung zu überprüfen und sicherzustellen, dass diese keine Schwachstellen aufweist, die von Hackern ausgenutzt werden könnten. Im Gegensatz zu anderen Arten von Penetrationstests, die sich auf das gesamte Netzwerk oder System konzentrieren, zielt ein Application-Penetrationstest speziell auf einzelne Anwendungen ab und versucht Schwachstellen in diesen Anwendungen zu identifizieren und zu beheben.
Social Engineering ist eine Sonderform, bei der Angreifer versuchen, vertrauliche Informationen von Menschen zu erhalten, indem sie diese dazu bringen, ihnen freiwillig Zugang zu entsprechenden Informationen zu gewähren. Dies kann auf verschiedene Arten geschehen, zum Beispiel indem die Angreifer sich als vertrauenswürdige Personen ausgeben (z.B. als Mitarbeiter eines Unternehmens oder als Dienstleister) und so die Opfer dazu bringen, ihnen vertrauliche Informationen wie Passwörter oder Zugangsdaten preiszugeben. Beim Social Engineering benötigen Angreifer in der Regel keine technischen Fähigkeiten. Stattdessen nutzen sie ihre Fähigkeiten im Bereich der Psychologie und des sozialen Einflusses, um die Opfer zu täuschen und ihnen vertrauliche Informationen zu entlocken.
Dies kann unter anderem auch indirekt über Phishing Attacken passieren, weshalb beim Penetration Testing häufiger auch sogenannte Phishing Simulationen zum Einsatz kommen. Mitarbeitende sollten darüber hinaus regelmäßige durch Awareness Trainings, für entsprechende Attacken, sensibilisiert werden.
Neben den genannten Arten von Pentests gibt es noch unzählig viele weitere Klassifizierung. Dazu zählt unter anderem das Cloud Penetration Testing, der Client Penetration Test sowie das Red Teaming. Wir beraten Sie gerne individuell zum sinnvollen Einsatz von Pentests für Ihr Unternehmen.
Die Formulierung eines klaren Ziels ist Grundvoraussetzung für den Erfolg des Pentests und auch aus zeitlicher und ökonomischer Sicht sinnvoll. Man muss überlegen, was man mit dem Pentest erreichen will. Das Ziel kann von “einfach nur die Schwachstellen sehen” bis “erkennen, wo die größten geschäftsrelevanten Probleme im Unternehmen liegen” reichen. Liegt die Priorität dabei auf dem Schutz von sensiblen Daten vor Fremden oder auf dem Schutz vor einem Betriebsausfall durch Cyber-Angriffe oder steht die Erfüllung gesetzlicher Pflichten oder Qualitätsmanagement im Vordergrund?
Tatsächlich lohnt es sich häufig, sich nicht nur für ein einziges Szenario aus den drei Kategorien zu entscheiden, sondern auch einen Blick in die Möglichkeiten der Szenarien der anderen beiden Kategorien zu werfen. Ein Beispiel: Ein reines Black-Box-Szenario auszuwählen birgt das Risiko, interne Gefahrenherde gar nicht aufzudecken. In vielen Unternehmen sind es sehr naheliegende Probleme, welche diese Szenarien offenbaren. Neue Praktikanten oder Werkstudenten im Unternehmen erhalten oft unabsichtlich oder unwissentlich Zugang zu sämtlichen sensiblen Daten des Unternehmens. Ebenfalls eine häufige Gefahr ist eine geringe Sensibilität der Mitarbeiter im Umgang mit Passwörtern. Derartige Szenarien werden jedoch in Black-Box-Pentests oft nicht betrachtet. Ein sorgfältig gewähltes Szenario, welches einen realistischen Mittelweg zwischen Black-Box und White Box abdeckt, kann in diesem Falle beides offenbaren. Es ist daher auch immer sinnvoll, sowohl ein Black-Box-Pentest Szenario als auch einen Social-Engineering-Pentest auszuwählen.
Meist ist es zu zeitaufwändig und oft auch zu kostenintensiv, die komplette IT-Infrastruktur eines Unternehmens zu testen und alle möglichen Arten von Pentests durchzuführen. Deshalb ist es hilfreich, vorab zu prüfen, welcher Bereich am angreifbarsten ist und wo der größte Schaden für das Unternehmen angerichtet werden könnte. Hat man sorgfältig eine Entscheidung für einen passenden Pentest getroffen, so können im Idealfall auch nach dem Pareto-Prinzip 20% des Testaufwands 80% der Sicherheitslücken abdecken.
Penetrationstests und Schwachstellenanalysen sind zwei verschiedene Arten von Sicherheitstests, die beide dazu dienen, Schwachstellen in einem System oder zum Beispiel in einer Netzwerkumgebung zu identifizieren. Der Hauptunterschied zwischen den beiden Vorgehensweisen besteht darin, dass Penetrationstests tatsächlich versuchen auf diese Schwachstellen zuzugreifen und diese gezielt auszunutzen, um festzustellen, ob sie tatsächlich ein Sicherheitsrisiko darstellen, während Schwachstellenanalysen sich auf das bloße Aufdecken von Schwachstellen beschränken.
In der Regel werden Penetrationstests von Sicherheitsfachleuten (sogenannten Pentestern) durchgeführt, die versuchen das System auf die gleiche Weise anzugreifen, wie es ein Hacker tun würde, während Schwachstellenanalysen häufig von internen IT-Teams durchgeführt werden, die das System regelmäßig überwachen sowie Schwachstellen identifizieren und beheben. Im Allgemeinen bieten Penetrationstests ein höheres Maß an Sicherheit, da sie tatsächlich aktiv versuchen Schwachstellen auszunutzen und festzustellen, ob sie ein Sicherheitsrisiko darstellen.
Ist der Pentest mit der Zielsetzung und den richtigen Szenarien von den beauftragten Pentestern durchgeführt worden, erhält man eine Liste von Schwachstellen. Mit dieser bloßen Liste ist jedoch noch kein einziges Problem gelöst und auch noch lange kein Ratschlag gegeben worden. Um auf Schwachstellen in der Unternehmens-IT gut reagieren zu können, müssen diese zunächst priorisiert werden, denn natürlich können nicht alle Probleme auf einmal behoben werden. Dazu sollten die Risiken, die häufig sind und große Auswirkung haben, priorisiert werden (z.B. mit Hilfe der Eisenhower-Matrix). Ein gut dimensionierter Pentest kann diese Priorisierung zum größten Teil liefern. Ziel sollte es sein, die realistischsten, teuersten und für das Unternehmen schädlichsten Szenarien zuerst zu beheben. Man muss sich also Gedanken darüber machen, welche Bereiche im Unternehmen angreifbar sind, welche davon besonders wichtig sind und sich bewusst zu werden, welchen schwerwiegenden Gefahren und Risiken man ausgesetzt ist. Hierzu ist es essenziell, die eigenen Anforderungen zu kennen.
Das Wichtigste ist jedoch, auf die Ergebnisse des Pentests zu reagieren und aktiv zu werden. Bleibe ich nach dem Pentest passiv und ändere nichts im Unternehmen, um für mehr IT-Sicherheit zu sorgen und die eigenen Sicherheitslücken zu schließen, dann ist jeder noch so umfassende und kostenintensive Pentest wirkungslos.
Nutzen Sie das Wissen aus der Raumfahrt für Ihr Business. OHB Digital Services GmbH ist seit vielen Jahren ein verlässlicher Partner für sichere & innovative IT-Lösungen. Wir sind Teil eines der erfolgreichsten Raumfahrt- und Technologieunternehmen in Europa. Mit unseren Produkten und Services unterstützen wir Sie u.a. bei der Digitalisierung Ihrer Unternehmensprozesse entlang der Wertschöpfungskette und bei allen sicherheitsrelevanten Fragen. Kontaktieren Sie uns gerne.
OHB Digital Services GmbH
Konrad-Zuse-Str. 8
28359 Bremen
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr Informationen
