Es ist nie zu spät für einen Penetrationstest. Sicherheitslücken erkennen und schließen.

Was ist ein Penetrationstest?

Ein Penetrationstest ist ein kontrollierter Versuch, mit den Tools und Methoden echter Angreifer / Hacker in Computersysteme oder Netzwerke einzudringen, um Schwachstellen aufzudecken und auszunutzen. Somit werden Pentestings eingesetzt, um Sicherheitslücken in den IT-Systemen eines Kunden zu identifizieren.

Nach der Definition des Bundesamt für Sicherheit in der Informationstechnik (BSI) ist ein Penetrationstest die Anwendung der Methoden echter Angreifer. Simulierte oder reale Angriffe sollen Schwachstellen in IT-Systemen, Infrastruktur oder organisatorischer und persönlicher Sicherheit aufdecken.

Schwachstellen in der IT-Infrastruktur und Webanwendungen ermöglichen es einem Angreifer, unbefugt Informationen auszulesen, zu verändern oder die Verfügbarkeit von Systemen zu beeinträchtigen. Mit Penetrationstests kann überprüft werden, inwieweit die Sicherheit von IT-Systemen durch Bedrohungen durch Hacker, Spione, etc. gefährdet ist bzw. ob die IT-Sicherheit durch die bestehenden Sicherheitsmaßnahmen gewährleistet ist.

Die Qualität und Sinnhaftigkeit von Pentestings werden maßgeblich dadurch bestimmt, inwieweit sie die individuelle Situation des Auftraggebers berücksichtigen, d. h. wie viel Zeit und Ressourcen für die Erforschung von Schwachstellen aufgewendet werden, die eine bestimmte IT-Infrastruktur betreffen und wie kreativ dies geschieht.

Der Zweck von Pentestings sollte im Vorfeld möglichst genau definiert werden. Die meisten Pentestings werden durchgeführt, um die Sicherheit technischer Systeme zu verbessern. Diese Tests beschränken sich in der Regel auf IT-Anwendungen und -Systeme, d. h. Webserver, Firewall, Webanwendungen usw. Organisatorische und personelle Infrastruktur wird selten getestet. Diese Art von Penetrationtest ist geläufig, wenn beispielsweise gezielt geprüft werden soll, ob ein Zugriff aus dem Internet auf interne Systeme unbefugter Dritter möglich ist.

Welche Arten von Penetrationstests gibt es ?

Je nach Aufgabenstellung gibt es unterschiedliche Scopes für einen Penetrationstest.

Externe Penetrationstests

Externe Penetrationstests sind Penetrationstests die über das Internet durchgeführt werden. Die Angriffe werden komplett von außen durchgeführt, insbesondere sind keine Angriffe von innen bzw. über VPN oder direkt gegen Mitarbeiter vorgesehen. Ein externer Penetrationstest beschreibt recht gut das Szenario eines Malicious Actors, der über (teil-)automatisierte Scans und Exploits versucht, in ein Unternehmen einzudringen.

Das Ergebnis des externen Penetrationstests ist eine recht gute Übersicht Ihrer Exposition im Internet. Welche Dienste sieht ein Angreifer, welche Angriffsfenster öffnen sich und welche sonstigen Risiken können identifiziert werden. Dabei fallen auch kleinere Schwächen auf, z.B. unsicher konfigurierte Verschlüsselungseinstellungen auf Web- oder Mailservern. Im externen Penetrationstest sind natürlich Content Management Systeme wie WordPress oder Typo3 enthalten, jedoch nicht komplexe Webanwendungen wie ein kompletter Webshop oder ein Kundenportal.

Ein externer Penetrationstest deckt natürlich nicht alle Gefährdungen aus dem Internet auf, da natürlich auch Ihre Mitarbeiter durch Social Engineering wie Phishing oder Schadcode-Mails angegriffen werden können. Trotzdem empfehlen wir Ihnen, wenn Sie erstmalig einen Penetrationstest beauftragen, mit einem externen Penetrationstest anzufangen. Sie lernen Ihre Penetrationstester kennen und können selbst damit Erfahrung sammeln.

Interne Penetrationstests

Interne Penetrationstests betrachten das Szenario eines Angreifers der bereits Zugang zu ihrem internen Netz hat. Das kann durch einen abgefischten VPN-Zugang oder durch eine Schadsoftware auf einem Client erfolgt sein.

Für einen Penetrationstest benötigen wir je nach konkreter Aufgabenstellung entweder einen Standardclient mit Standarduser oder einen Netzwerkzugang über VPN oder direkt im LAN. Ein direkter Zugang zum LAN gibt uns die meisten Angriffsmöglichkeiten, ist jedoch auch aufwändiger und damit teurer. Ein guter Kompromiss ist manchmal ein vorbereiteter Remote-Test-PC, der von Ihnen im Netz aufgestellt und von uns für Angriffe ferngesteuert werden kann.

Ein interner Penetrationstest unterscheidet sich sehr stark von einfachem Vulnerability Scanning, weil nicht nur Exploits ausgenutzt werden, sondern gezielt über verschiedene einzelne Schwachstellen und Konfigurationsfehler eine Kill Chain aufgebaut wird, um letztendlich die Kontrolle über die Domäne zu erhalten.

Web Application Penetrationstest

Ein Web Application Penetrationstest hat die Aufgabe, eine spezifische Webanwendung auf mögliche Schwachstellen und Risiken zu prüfen. Komplexe Webanwendungen lassen sich nicht gut automatisch testen, da neben einfachen Schwachstellen auch Fehler in der Anwendungslogik ermittelt werden müssen.

Ein Web Application Penetrationstest kann deshalb sehr umfangreich ausfallen. Bei einer umfangreichen Anwendung mit Kundenprofilen, Webshop und Backend-Zahlungssystem, vielleicht noch als Mikroservice-Architektur in Containern aufgebaut, kann alleine der Test der Webanwendung so umfangreich wie ein interner Penetrationstest werden.

Neben spezifischen Tests für Webanwendungen können natürlich auch andere Systeme z.B. bei der Inbetriebnahme auf mögliche Schwachstellen geprüft werden. In Frage kommt z.B. eine neu in Betrieb genommene Firewall oder ein VPN-Zugang.

KMU-Pentest

Dies ist ein Pentesting, der die Anforderungen kleiner und mittelständischer Unternehmen abdeckt. In diesem Penetrationstest werden zunächst Teile Ihrer Infrastruktur und Netzwerksicherheit geprüft. Dadurch erhalten sie einen breiten Überblick über mögliche Angriffsvektoren. Basierend auf dem KMU-Pentest können vertiefende Analysen und Tests einzelner Komponenten hinzugefügt werden.

Der KMU Pentest umfasst sowohl manuelle als auch automatisierte Testverfahren. Selbstverständlich erhalten die Unternehmen einen ausführlichen Bericht über die durchgeführten Tests, die Ergebnisse und Empfehlungen.

Warum ist ein Penetrationstest wichtig?

Aktuelle Sicherheitsanalysen zeigen, dass Unternehmen weltweit ständig Gefahr laufen, Opfer von Cyberattacken zu werden. Die Zahl der bekannten kriminellen Banden stieg in den letzten Jahren global auf über 1.800 an. Der durchschnittliche Schaden, der allein durch einen Sicherheitsvorfall verursacht wurde, betrug ca. 4 Millionen US-Dollar.

Die meisten Angriffe wurden von Dritten identifiziert (53 %) und blieben vom betroffenen Unternehmen im Schnitt 141 Tage lang unentdeckt. Gleichzeitig verlieren klassische Sicherheitsmaßnahmen wie Firewalls und Virenscanner immer mehr an Wirksamkeit. Dies gilt für alle Nutzer von IT-Systemen: Unternehmen, Privatpersonen, Regierungen und Verwaltungen.

Die meisten Angriffe auf Unternehmen zielen darauf ab, geistiges Eigentum zu stehlen oder sich durch Erpressung einen finanziellen Vorteil zu verschaffen. Letzteres macht sich vor allem in der wachsenden kriminellen Energie durch den Einsatz von Erpressungstrojanern bemerkbar. Folglich sind die Folgen eines erfolgreichen Cyberangriffs enorm. Es drohen nicht nur große finanzielle Schäden, auch der Imageverlust durch Datendiebstahl kann langfristige negative Folgen für Unternehmen haben.

Im Rahmen eines Pentestings identifizieren die Tester IT-Schwachstellen in Ihrem Unternehmen und geben Ihnen konkrete Empfehlungen zur Cyberabwehr, mit denen Sie alle Schwachstellen beseitigen können. Die Methoden und Tools, die sie zur Überprüfung verwenden, sind die gleichen wie die von Cyberkriminellen. Somit dienen Pentestings auch dem Schutz der Unternehmensverantwortlichen, da sie Geschäftsrisiken wie Betriebsunterbrechungen oder Reputationsverlust minimieren und zudem die vertraulichen Daten des Unternehmens und seiner Kunden schützen.

Insbesondere bei kritischer Infrastruktur wird mit einem weiteren Anstieg der Zahl von Cyberattacken gerechnet. Viele Unternehmen kalkulieren in den nächsten zwölf Monaten mit einem weiteren Anstieg von Cyberangriffen. Betreiber kritischer Infrastrukturen stellen sich auf noch brutalere Angriffe ein: 51 % rechnen mit starkem Wachstum. Zunächst fürchtet die Wirtschaft Ransomware-Angriffe, darauf folgen Zero-Day-Exploits und Spyware-Angriffe. 72 % sehen potenzielle Angriffe mit Quantencomputern als zukünftige Bedrohung. Doch auch die Entwicklungen auf dem Arbeitsmarkt beunruhigen Unternehmen: 72 % sehen den Mangel an IT-Sicherheitsfachkräften als Bedrohung an.

Wie findet man den richtigen Penetrationstest Anbieter?

Wer über das nötige Know-how im Unternehmen nicht verfügt, sollte sich an externe Spezialisten wenden. Der Vorteil von externen Dienstleistern besteht darin, dass sie eine unvoreingenommene Sicht auf die IT-Umgebung des Kunden haben.

Doch wie findet man den richtigen Anbieter? Bei der Auswahl sollten die folgenden Kriterien verwendet werden.

  • Referenzen
    Lassen Sie sich nicht von Statistiken über jährlich durchgeführte Pentestings oder über die Zeit, die zur Überwindung von Client-Sicherheitsmaßnahmen benötigt wurde, blenden. Besser ist: Welche Art von Links kann der Anbieter anzeigen? Diese Links sind oft anonym oder nicht sehr spezifisch, um Kunden nicht bloßzustellen. Weitere Indikatoren für die Qualität eines Lieferanten sind Veröffentlichungen in der Fachpresse und Empfehlungen, beispielsweise in einem Blog.
  • Leistungsspektrum
    Was bietet der Dienstleister eigentlich an – Schwachstellenanalyse, Sicherheitsanalyse oder Pentesting? Hier gehts zum Vergleich
  • Standards und Normen
    Welchen Prozessmodellen und Best Practices folgt der Pentester? Die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI), der OSSTMM (Open Source Security Testing Methodology Guide) oder das Vorgehensmodell des Open Web Application Security Project (OWASP) sorgen für Testvergleichbarkeit und Qualitätssicherung. Industriespezifikationen werden vom National Institute of Standards and Technology (NIST) bereitgestellt, detaillierte Spezifikationen zur Strukturierung einzelner Tests werden vom PTES Framework (Penetration Testing Techniques and Standards) angeboten.
  • Branchenerfahrung
    Die bisherigen Einsätze eines Dienstleisters beschränken sich idealerweise nicht nur auf eine Branche, sondern auch auf andere Branchen. Idealerweise haben sie Erfahrung im Studium technischer Handbücher, Prozesse oder Netzwerkarchitekturen.
  • Reporting
    Lassen Sie sich vorab einen Musterreport zeigen. Ein guter Bericht enthält eine Zusammenfassung der Ergebnisse und Empfehlungen. Erkennt der Anbieter auch mögliche bauliche Probleme oder schaut er aus einer rein technischen Brille?
  • Expertise
    Verfügt der Anbieter über die nötige Expertise, um sie in Ihrem Unternehmen einzusetzen? (z. B. Kundenanalysen, SAP, Mainframe-Systeme, mobile Apps, Software von Drittanbietern, Fertigungs- und Prozessleittechnologien usw.)
  • Zertifizierungen
    Prüfen Sie auch, ob der Anbieter bzw. seine Mitarbeiter über entsprechende Zertifizierungen als Sicherheitsdienstleister verfügen, z.B. vom BSI.

NESEC besser kennenlernen

Neugierig, überzeugt. interessiert?

Vereinbaren Sie ein unverbindliches Gespräch mit einem unserer Mitarbeiter.
Wir sind gespannt, welche Herausforderungen Sie zur Zeit beschäftigen.
Beachten Sie auch unseren aktuellen Veranstaltungen und Webinare.

Erstgespräch

Mehr Informationen

2 + 10 =