Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

04. August 2021

Penetrationstests: So lässt sich die Sicherheit überprüfen

Penetrationstests decken Sicherheitslücken auf, über die externe, aber auch interne Angreifer z.B. Daten abziehen könnten
Bild: iStock.com / gorodenkoff.
5,00 (3)
Sicherheit der Verarbeitung
Angesichts der wachsenden Bedrohung müssen Unternehmen nachhaltige Cyber-Resilienz, also Widerstandsfähigkeit, anstreben, um Angriffe zu verhindern und bei Sicherheitsvorfällen schnell zu reagieren. Dazu eignen sich Sicherheitsaudits, sogenannte Penetrationstests, besonders gut.

Cyberkriminelle nutzen immer noch verstärkt die Situation aus, dass viele Beschäftigte von zu Hause aus arbeiten, um Phishing-Angriffe und Cyberattacken zu platzieren. Die Pandemie hat die Arbeitswelt verändert. Man vernetzt sich mit seinen Arbeitskollegen, arbeitet online und kommuniziert via Chats oder Videokonferenzen. Informationen, Daten und Anwendungen sind dabei über das Internet ständig verfügbar, was ein ortsunabhängiges Arbeiten möglich macht.

Im Fokus: Kollaborationslösungen

Das wissen aber auch Cyberkriminelle. Sie greifen z.B. vermehrt Kollaborationslösungen an, um über Sicherheitslücken Schadsoftware im jeweiligen Unternehmensnetzwerk zu verteilen sowie Informationen und Daten zu stehlen. Häufig verbreiten dabei Phishing-Kampagnen Malware. So versuchen die Angreifer, an sensible persönliche Daten wie Passwörter oder Bankdaten von Internetnutzern zu gelangen. Kommt es hierbei zur Verletzung des Schutzes personenbezogener Daten – etwa wenn Passwörter unbefugt offengelegt wurden – liegt eine meldepflichtige Datenpanne vor.

Forderungen aus dem Datenschutz

Eine Forderung der Datenschutz-Grundverordnung (DSGVO) bezüglich der Sicherheit der Verarbeitung von personenbezogenen Daten ist die erwähnte Resilienz oder Belastbarkeit.

„Belastbar“ sind IT-Systeme, wenn sie ausreichend widerstandsfähig sind, um auch bei Störungen oder externen Angriffen wie z.B. einer DDoS-Attacke funktionsfähig zu bleiben. Bei einem DDoS-Angriff (Distributed-Denial-of-Service-Angriff) führen Cyberkriminelle die Nichtverfügbarkeit von bestimmten Diensten oder Servern gezielt herbei. Zudem müssen diese (widerstandsfähigen) Systeme im Hinblick auf die Verarbeitung personenbezogener Daten Vertraulichkeit und Integrität garantieren.

Forderungen aus Sicht der Informationssicherheit

Neben dem Datenschutz misst auch die Informationssicherheit der Resilienz bzw. ihrer Überprüfung große Bedeutung zu. So muss sichergestellt sein, dass das Informationssicherheitsmanagementsystem (ISMS) wirksam bzw. die Informationssicherheit in Verfahren und Prozessen sichergestellt ist. In diesem Zusammenhang fordert die ISO/IEC 27001 neben der „Einhaltung von Sicherheitsrichtlinien und -standards“ und der „Überprüfung der Einhaltung von technischen Vorgaben“ eine „unabhängige Überprüfung der Informationssicherheit“.

Was sind Penetrationstests?

Um den Forderungen des Datenschutzes und der Informationssicherheit gerecht zu werden, eignen sich Sicherheitsaudits, sogenannte Penetrationstests (Pentests), sehr gut. Bei einem solchen Sicherheitstest agieren die Tester mit Erlaubnis des jeweiligen Unternehmens wie Hacker und überprüfen so Firewalls, Serversysteme, Netzwerke, Netzsegmente oder Webanwendungen auf Sicherheitslücken bzw. auf ihre Verwundbarkeit.

Welche Arten von Penetrationstests gibt es?

Innerhalb des Begriffs „Penetrationstests“ lässt sich u.a. nach Art, Vorgehensweise und Ausgangspunkt unterscheiden.

Unterscheidung nach Informationsbasis

Ein erstes Unterscheidungskriterium bildet die Informationsbasis, d.h. mit welchem Vorwissen überprüft der Tester das Unternehmen? Hier lassen sich drei Varianten unterscheiden.

Black-Box-Penetrationstest

Bei dieser Variante weiß der beauftragte Pentester nicht, welche IT-Systeme und IT-Infrastruktur ihn beim eigentlichen Test erwarten. Dieses Verfahren beschreibt vielleicht am besten die Bedingungen, die auch einem externen Angreifer, also einem Cyberkriminellen, vorliegen würden.

Nachteil dieses Verfahrens ist das ungünstige Verhältnis zwischen tatsächlichem Erkenntnisgewinn und den Kosten. Beispielsweise kostet es Zeit, die Unternehmens-IP-Adressen und die eingesetzten Software- und Hardwarekomponenten zu ermitteln. Doch generieren diese Informationen keinen (neuen) Erkenntnisgewinn im eigentlichen Sinne.

White-Box-Penetrationstest

Das Gegenteil ist beim White-Box-Penetrationstest der Fall. Hier bekommt der Tester vorab alle Informationen über die IT-Infrastruktur des zu überprüfenden Unternehmens: Welche Server, Betriebssysteme, Dienste und Anwendungen im Einsatz sind; welche Ports offen sind/sein sollten.

Darum decken White-Box-Pentests auch Angriffsszenarien ab, die ein Black-Box-Test nicht berücksichtigt – z.B. die Attacke eines gut informierten internen Angreifers aus den Reihen des eigenen Unternehmens. Da der Pentester bei dieser Variante kaum Zeit für die Recherche einsetzen muss, sind White-Box-Tests viel effektiver als Black-Box-Tests.

Grey-Box-Penetrationstest

Den Mittelweg beschreibt das sogenannte Grey-Box-Testverfahren. Hier hat der Penetrationstester bereits einige Informationen über die IT-Infrastruktur. Dieses Verfahren wird dann eingesetzt, wenn zu testende IP-Bereiche festgelegt und/oder der Test bestimmte Systeme vielleicht nicht berücksichtigen soll.

RED Teaming

Da Angriffe oft nicht nur über einen Weg stattfinden, sondern verschiedene Angriffspunkte kombinieren, reicht Cyber-Resilienz allein nicht aus. Möchten Unternehmen einen ganzheitlichen Sicherheitstest durchführen (lassen), sind die Maßnahmen des Red Teamings das Mittel der Wahl. Red Teaming überprüft Sicherheitsstrukturen durch Austesten. Üblicherweise betreffen die Tests

  • Technologien bzw. Technik (Pentests),
  • Personen (Social Engineering) und
  • die physische Sicherheit (physisches Eindringen in die Liegenschaften des Unternehmens).

Mit Methoden des Social Engineering versuchen die Angreifer, Mitarbeiter zwischenmenschlich so zu beeinflussen, dass die angesprochene Person vertrauliche Informationen wie Passwörter herausgibt. Diese Methode ist auch sehr beliebt, um in einem zweiten Schritt z.B. Schadsoftware auf die Firmenrechner zu spielen.

Unterscheidung nach Vorgehensweise

Ein weiteres Unterscheidungskriterium beschreibt die Vorgehensweise. Ist der Test angekündigt oder nicht? Ist der Ausgangspunkt des Tests intern oder extern?

Verdeckte und bekannte Tests

Bei der Vorgehensweise unterscheidet man zunächst zwischen verdeckten und offensichtlichen bzw. bekannten Penetrationstests. Sind also die betreffenden Mitarbeitenden wie die IT-Administration über die Durchführung des Sicherheitstests informiert oder nicht?

Der Vorteil eines verdeckten Tests besteht darin, dass der Dienstleister auch die Informations- bzw. Eskalationsprozesse prüft. Allerdings kann ein solcher Test die IT-Abteilung u.U. in Schwierigkeiten bringen. Sie kann eventuell auf Probleme wie Störungen und Ausfälle bei den IT-Systemen, die der Pentest hervorruft, nicht so schnell reagieren, wie wenn sie eingeweiht worden wäre. Darüber hinaus könnte ein verdeckter Test zu negativer Stimmung bei den Mitarbeitenden führen, weil er gewisse Arbeitsprozesse prüft.

Interner oder externer Test?

Beim Ausgangspunkt des Pentests wird zwischen externen und internen Tests unterschieden. Häufig streben Unternehmen v.a. einen externen Test an, weil sie wissen möchten, ob bzw. wie sicher sie gegen Angriffe von außen sind.

Hat das zu testende Unternehmen aber eine gewisse Größe erreicht – ab etwa 100 bis 200 Mitarbeitern –, gewinnen auch interne Faktoren an Wert. So steigt die Gefahr eines internen Angriffs mit der Mitarbeiteranzahl des Unternehmens.

Fazit: Individuell entscheiden

Abschließend lässt sich sagen, dass Unternehmen bei einem Penetrationstest immer zwischen dem Erkenntnisgewinn, der sich aus dem Test generiert, und dem möglichen Risiko wie Schäden und Ausfällen bei den IT-Systemen abwägen und danach erst entscheiden sollten, welche Vorgehensweise in ihrem Fall die sinnvollste ist.

Markus Vollmuth

Markus Vollmuth
Verfasst von
Markus Vollmuth
Markus Vollmuth
Markus Vollmuth ist Informationssicherheitsberater bei der atarax Unternehmensgruppe, einem Dienstleister für strategische Unternehmenssicherheit und Haftungsmanagement. Seine Schwerpunkte sind Informationssicherheit und Datenschutz.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.