Penetrationstests: Sind Ihre Daten wirklich sicher?

22.08.2007

Heute ist es Standard, Firmendaten rund um die Uhr bereitzuhalten, damit Mitarbeiter und Partnerunternehmen auch unterwegs mit ständig aktualisierten Daten arbeiten können. Mit wachsender Anzahl an Applikationen, Personen und externen Geräten, die auf ein System zugreifen können, erhöht sich auch die Anzahl der Schwachstellen und das Risiko eines Missbrauchs. Ein Penetrationstest zeigt mögliche Sicherheitslücken auf und bietet Empfehlungen zur Behebung.

Jedes System, auf das von extern zugegriffen werden kann, insbesondere aber jede Schnittstelle zum Internet, sollte in regelmäßigen Abständen einem Penetrationstest unterzogen werden. Bei einer solchen Angriffssimulation können Sicherheitslücken aufgedeckt werden, bevor sie durch einen böswilligen Angriff freigelegt werden. Der Test liefert Aufschluss über:

die technische Sicherheit eines Systems,
die Wirksamkeit der implementierten Sicherheitsprozesse sowie
die Reaktionsfähigkeit des Systems und der IT-Organisation

Je nach Bedarf werden ein oder mehrere Systembereiche und Sicherheitsrisiken getestet: Externe und interne Datennetzwerke, Voice-over-IP-Netzwerke, Applikationen, drahtlose und mobile Geräte, Zugriffs- und Zugangskontrollen, Personen und ihr Verhalten, aber auch die öffentliche Verfügbarkeit von internen und schützenswerten Informationen.

Reichweite und Häufigkeit

Die Reichweite des Penetrationstests hängt von der Risikobewertung ab. Je größer die Wahrscheinlichkeit ist, Opfer eines gezielten Angriffs zu werden, oder je weitreichender die Konsequenzen im Falle eines Angriffs wären, desto umfassender sollte ein Penetrationstest ausfallen.

Idealerweise ist Penetration Testing ein fixer Bestandteil des IT-Zyklus eines Unternehmens. Insbesondere bei Neuanschaffungen, Netzwerk- oder Applikationserweiterungen empfiehlt es sich, die Systeme neu zu testen. Selbst modernste Technologie kann durch falsche Konfiguration oder Schwachstellen der Software zu einem Sicherheitsrisiko werden.

Whitebox- und Blackbox-Tests

Beim Whitebox-Test arbeitet der Berater mit der IT-Abteilung zusammen, erhält von ihr Netzwerk-, Applikations- und Prozessablaufpläne und entsprechende Berechtigungen. Der Whitebox-Test kann als Simulation eines Worst-Case-Szenarios verstanden werden, bei dem ein Angreifer bereits systemspezifische Informationen besitzt.

Dem gegenüber steht der Blindtest (Blackbox), bei dem sich der Berater in die Ausgangslage eines potenziellen Hackers versetzt und nur auf öffentlich verfügbare Informationsquellen wie die Firmen-Webseite, Suchmaschinen oder einschlägige Newsgroups etc. Zugriff hat. Der Berater sucht dabei nach Lücken oder Informationen, die ihm erlauben in nicht-öffentliche Bereiche des Firmensystems vorzudringen.

Von der Business Analyse zum Empfehlungsbericht

Zu Beginn eines Penetrationstests werden die Zielapplikationen und -systeme definiert, die untersucht werden sollen. Im nächsten Schritt wird die gesamte IT-Architektur gescannt, und die potenziellen Risiken werden definiert. Davon ausgehend wird das individuelle Analysevorgehen bestimmt und ein entsprechendes Testszenario erstellt. Im Test werden einzelne Komponenten angegriffen und so die Risiken identifiziert. Die Infrastruktur wird mit automatisierten Methoden (Alive-Scanning, Port-Scanning, Passives Netzwerkmonitoring) nach aktiven Hosts und offenen Ports untersucht.

Bei der eigentlichen Penetration werden manuelle, auf das Unternehmen und die Systemumgebung zugeschnittene Einbruchs- und Missbrauchsversuche gestartet und vorhandene Schwachstellen ausgenutzt. Diese Penetration zielt primär auf die Kompromittierung von Business-Applikationen, Komponenten der Systemadministration und zentrale Netzwerkkomponenten.

Im nächsten und für die Qualität des Penetrationstests entscheidendsten Schritt, werden die Resultate wieder in den Unternehmenskontext gesetzt und von erfahrenen Beratern entsprechend gewichtet. Hier ist eine klare Kommunikation zwischen Berater und Management von größter Bedeutung.

Im letzten Schritt werden die Befunde dokumentiert, Lösungen herausgearbeitet, sowie ein Aktionsplan erstellt und bei Bedarf implementiert.

Applikationen – das große Risiko

Applikationen werden meist unternehmensspezifisch programmiert und basieren auf einer maßgeschneiderten Infrastruktur. Insbesondere die ans Internet geknüpften Web-Applikationen stellen ein erhöhtes Sicherheitsrisiko dar. Nachdem sich ein unbefugter Nutzer via Applikation Zutritt verschafft hat, erkennt das System seine Handlungen nicht mehr als illegal. Bei der Applikationspenetration überprüft der Berater, ob ein Angreifer die Infrastrukturkontrollen (Firewalls, Authentifikationskontrollen) umgehen und so direkt auf sensible Daten zugreifen kann.

Die Aussagekraft eines Penetrationstests ist von der Anzahl und Effektivität der eingeschlagenen Versuchspfade abhängig. Es ist deshalb von größter Bedeutung, dass die Penetrationsstrategien auf einer umfassenden Systemanalyse basieren.

Worauf ist bei der Auswahl eines Penetrationstest-Anbieters zu achten?

Da es sich um kritische Unternehmensdaten handelt, ist es wichtig, den Test von einem renommierten Anbieter durchführen zu lassen, der sich auf Sicherheitsfragen spezialisiert hat. Dieser verfügt über neueste Kenntnisse der Sicherheitstechnologien und Systemschwachstellen. Um den richtigen Anbieter auswählen zu können, empfiehlt es sich, Umfang und Anforderungen an einen Penetrationstest zu Beginn zu definieren und diese mit dem Angebot des Anbieters abzugleichen.

Anbieter unterscheiden sich in folgenden Bereichen:

Angebotsbreite: manuelles und automatisches Testen, andere Dienstleistungen im Sicherheitsbereich (zum Beispiel Application Code Review, Application Design Assessment)
Spezialisierungsgrad
Technische Eignung, beispielsweise beim anspruchsvolleren Application Testing
Analyse- und Beratungstiefe
Nachbetreuung, Schwachstellenbehebung
Verständnis der Unternehmensprozesse und branchenspezifisches Wissen
Kommunikation mit Senior Management und die Fähigkeit, Befunde und Vorschläge in einem Business-Kontext verständlich zu machen
Qualität der Dokumentation

Ein guter Penetrationstest wird durch eine umfassende Dokumentation mit Handlungsempfehlungen abgerundet: Im Idealfall werden mehrere, zielgruppenspezifische Dokumente erstellt.

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.

blog comments powered by Disqus

Autor

Olaf Lindner
Symantec (Deutschland) GmbH

Olaf Lindner ist als Director für die Symantec Security Services im Bereich Consulting in Zentraleuropa verantwortlich.

Artikel einreichen

Top Artikel

Unsere Experten

Marco Di Filippo
Compass Security AG

Alle Experten
Michael F. Schratt
MfS-Enterprise

Alle Experten
Andreas G. Weyert
Hellmann Worldwide Logistics GmbH & Co. KG

Alle Experten
Marcus Stahlhacke
Norman

Alle Experten
Jürgen Wasem-Gutensohn
PR-COM GmbH

Alle Experten

alle Experten

Premium Lösungen

Innominate mGuard
in Appliances (Komplettsysteme)
Innominate Security Technologies AG
ViPNet TUNNEL
in System/Netzwerk/Datenbank- und Softwaremanagement
INFOTECS GmbH
SecureMail Archive (EMA®)
in E-Mail-Security
IT-Security Group
Elektronische Signatur - xyzmo digital Seal
in Content Security
visiseal.com
ViPNet SAFE DISK
in Verschlüsselung / Kryptographie
INFOTECS GmbH

Marktübersicht

Premium Services

Sicherheitsberatung & -strategie
nextsolutions - Marketing & Technologiemanagement. Awareness.
06667 Weißenfels
Sicherheitsanalysen
nextsolutions - Marketing & Technologiemanagement. Awareness.
06667 Weißenfels
Sicherheitsberatung & -strategie
known_sense
50672 Köln
IT-Services
DIGITAL DISTRICT GmbH
40212 Düsseldorf
IT-Services
Hanse Escrow Management GmbH
22844 Norderstedt