Was sind Penetrationstests?
Unter einem Penetrationstest, manchmal auch als ethisches Hacking bezeichnet, versteht man die Simulation eines realen Cyberangriffs mit dem Ziel, die Cybersicherheitsfunktionen eines Unternehmens zu prüfen und Schwachstellen aufzudecken. Manche betrachten Penetrationstests lediglich als Schwachstellenscan, der dazu dient, die Einhaltung von Compliance-Anforderungen nachzuweisen. Sie können jedoch viel mehr als das.
Bei Penetrationstests wird nicht nur die Umgebung auf Schwachstellen geprüft, sondern auch die Anfälligkeit von Personal und Prozessen gegenüber möglichen Bedrohungen unter die Lupe genommen. Wenn bekannt ist, welche Bedrohungsakteure es tendenziell auf Ihr Unternehmen abgesehen haben, können die von diesen Akteuren bevorzugten Taktiken, Techniken und Prozeduren (TTPs) anhand von Penetrationstests simuliert werden, sodass Unternehmen ein sehr realistisches Bild vom Ablauf einer Kompromittierung erhalten.
Schritte eines Penetrationstests
Die meisten Penetrationstests orientieren sich an den Schritten, die im MITRE ATT&CK-Framework beschrieben sind. Dieses Framework ist eine Wissensdatenbank bekannter Taktiken, Techniken und Prozeduren von Bedrohungsakteuren, die in den einzelnen Phasen eines Angriffslebenszyklus zum Einsatz kommen.
Durch Heranziehen dieses Frameworks gelingt es Penetrationstestern, ein Modell für das Verhalten eines bestimmten Akteurs zu entwickeln. Damit lässt sich der Angriff während des Tests genauer simulieren. Derzeit deckt die MITRE Enterprise Matrix 12 Taktiken ab:
- Initial Access (Erstzugang) bezeichnet die Vektoren, die Hacker ausnutzen, um Zugang zu einer Umgebung zu erhalten.
- Execution (Ausführung) beschreibt die Techniken, die der Bedrohungsakteur zum Ausführen seines Codes benutzt, nachdem er sich Zugang zur Umgebung verschafft hat.
- Persistence (Persistenz) bezieht sich auf Maßnahmen, die es Angreifern ermöglichen, sich in einem Netzwerk zu verankern.
- Privilege Escalation (Erweiterung der Zugriffsrechte) führt die Maßnahmen auf, mit denen ein Akteur sich erweiterte Rechte in einem System verschafft.
- Defense Evasion (Umgehung der Schutzmaßnahmen) bezeichnet Techniken von Eindringlingen, die es ihnen ermöglichen, die Schutzmaßnahmen eines Systems unerkannt zu überwinden.
- Credential Access (Anmeldedatenzugriff) bezeichnet die Techniken zum Erlangen der Anmeldedaten von Benutzern oder Administratoren.
- Discovery (Erkundung) bezeichnet den Lernprozess, den Bedrohungsakteure durchlaufen, um sich mit dem angegriffenen System und dem Zugriff darauf vertraut zu machen.
- Lateral Movement (Laterale Bewegungen) helfen Bedrohungsakteuren, remote auf Systeme zuzugreifen und sie zu kontrollieren.
- Collection (Erfassung) bezieht sich auf Taktiken, mit denen Angreifer ins Visier genommene Daten zusammentragen.
- Command and Control bezeichnet Taktiken zum Herstellen der Kommunikation zwischen dem kompromittierten Netzwerk und dem kontrollierten System.
- Exfiltration bezeichnet die Maßnahmen, die Akteure anwenden, um sensible Daten aus dem System zu extrahieren.
- Impact (Auswirkung) bezieht sich auf Aktionen, die Einfluss auf den Betrieb eines Unternehmens nehmen sollen.
Die Wahl der oben genannten Taktiken für einen Penetrationstest richtet sich danach, welche Taktiken der simulierte Angreifer einsetzt.
Im Allgemeinen setzt sich ein Penetrationstest jedoch aus folgenden Phasen zusammen: Planung, Auskundschaftung, Zugang/Zugangssicherung, Analyse, Behebung.
Arten von Penetrationstests
Wenn Sie einen Penetrationstest in Erwägung ziehen, sollten Sie sich darüber bewusst sein, dass es keinen Universaltest gibt. Die Umgebungen, Branchenrisiken und Bedrohungsakteure sind für jedes Unternehmen individuell. Zudem gibt es keinen Penetrationstest, der alle Anforderungen eines Unternehmens abdeckt.
Es gibt verschiedene Arten von Penetrationstests, die darauf ausgerichtet sind, bestimmte Ziele eines Unternehmens unter Berücksichtigung des jeweiligen Bedrohungsprofils zu erreichen. Nachfolgend sind einige der häufigsten Arten von Penetrationstests aufgeführt.
1. Interner Penetrationstest
Bei diesem Test werden die internen Systeme Ihres Unternehmens beurteilt, um zu bestimmen, wie sich ein Angreifer lateral im Netzwerk bewegen könnte. Der Test beinhaltet Systemidentifizierung, Auflistung, Schwachstellensuche, Ausnutzung, Erweiterung der Zugriffsrechte, laterale Bewegungen und Zielsetzungen.
2. Externer Penetrationstest
Bei diesem Test werden die mit dem Internet verbundenen Systeme beurteilt, um zu bestimmen, ob ausnutzbare Schwachstellen vorhanden sind, die Daten gegenüber Dritten offenlegen oder unerlaubten Zugriff gewähren könnten. Der Test beinhaltet Systemidentifizierung, Auflistung, Schwachstellensuche und Ausnutzung.
3. Penetrationstest für Web-Applikationen
Dieser Test bewertet Ihre Web-Applikation anhand eines dreistufigen Prozesses. Die erste Phase ist die Auskundschaftung. Dabei ermittelt das Team Informationen wie Betriebssystem, Services und genutzte Ressourcen. In der zweiten Phase, der Erkundungsphase, sucht das Team nach Schwachstellen. In der dritten Phase, der Ausnutzungsphase, nutzt das Team die gefundenen Schwachstellen, um sich unbefugten Zugriff auf sensible Daten zu verschaffen.
4. Penetrationstest für Insider-Bedrohungen
Bei diesem Test werden Risiken und Schwachstellen identifiziert, durch die Ihre vertraulichen internen Ressourcen und Assets in die Hände Unbefugter gelangen könnten. Das Team beurteilt Schwachstellen wie Angriffe mit De-Authentifizierung, Konfigurationsfehler, Sitzungswiederverwendung und unerlaubte WLAN-Geräte.
5. Penetrationstest für WLANs
Dieser Test identifiziert die Risiken und Schwachstellen des WLANs. Das Team beurteilt Schwachstellen wie Angriffe mit De-Authentifizierung, Konfigurationsfehler, Sitzungswiederverwendung und unerlaubte WLAN-Geräte.
6. Physischer Penetrationstest
Dieser Test identifiziert die Risiken und Schwachstellen bei physischen Sicherheitsmaßnahmen, die den Zugang zum Computersystem eines Unternehmens zu verhindern sollen. Das Team beurteilt dabei Schwachstellen wie Social Engineering, den unerlaubten Zutritt zu Gebäuden (Tailgating), Ausweisfälschung und weitere physische Sicherheitsereignisse.
Wann sollte ein Penetrationstest durchgeführt werden?
In jedem Fall sollten Sie einen Penetrationstest vor dem Ernstfall durchführen. Viele Unternehmen führen einen Penetrationstest erst durch, nachdem sie bereits angegriffen wurden und Daten, geistiges Eigentum und ihren guten Ruf verloren haben. Falls Sie bereits Opfer einer Kompromittierung geworden sind, sollten Sie trotzdem einen Penetrationstest durchführen, um zu prüfen, ob die implementierten Schutzmaßnahmen wirksam sind.
Es hat sich bewährt, einen Penetrationstest durchzuführen, wenn sich ein System in der Entwicklung befindet oder bereits installiert ist und der Einsatz in der Produktionsumgebung unmittelbar bevorsteht. Die Nachteile einer zu späten Testdurchführung sind hohe Kosten für Code-Aktualisierungen und in der Regel kleinere Zeitfenster für Code-Änderungen.
Penetrationstests sind keine einmalige Aktion. Sie sollten nach jeder Änderung vorgenommen wurden, mindestens jedoch einmal jährlich. Welche Häufigkeit sich konkret anbietet, richtet sich unter anderem nach Unternehmensgröße, Infrastruktur, Budget, behördlichen Anforderungen und neu aufkommenden Bedrohungen.
Wie oft sollte ein Penetrationstest durchgeführt werden?
Unternehmen sollten mindestens einmal im Jahr einen umfassenden Penetrationstest durchführen. Dies ermöglicht nicht nur die regelmäßige Implementierung von Sicherheits-Upgrades und -Patches, sondern unterstützt auch die Einhaltung von Datensicherheitsstandards wie PCI DSS (Payment Cardholder Industry Data Security Standard).
Durch halbjährliche oder sogar vierteljährliche Tests lassen sich potenzielle Sicherheitsrisiken häufiger ausmachen – noch bevor sie ausgenutzt werden. Zudem erhalten Sie damit eine umfassendere Übersicht über Ihren Sicherheitsstatus.
Penetrationstests sind darauf ausgerichtet, spezifische Schwachstellen in einem System oder Netzwerk aufzudecken. Idealerweise sollten Penetrationstests also immer dann durchgeführt werden, nachdem neue Elemente zur Netzwerkinfrastruktur hinzugefügt oder wichtige Anwendungen umfassend erneuert wurden. In solchen Situationen ist eine Umgebung am anfälligsten und Schwachstellen lassen sich mit einer sehr hohen Wahrscheinlichkeit identifizieren.
Wer führt Penetrationstests durch?
Viele unabhängige Cybersicherheitsexperten und -unternehmen bieten Penetrationstests als Service an. Zwar können Penetrationstests auch intern durchgeführt werden, jedoch liefert ein externer „ethischer Hacker“ mehr Einblicke, da er keine Vorkenntnisse über das System besitzt.
Die involvierten Aktivitäten gehen jedoch mit Komplikationen einher. Aufgrund von rechtlichen Überlegungen zum Thema Hacking muss der gesamte Prozess sorgfältig geplant und durchgeführt werden. Bislang wurden Penetrationstests nach US-Recht kaum überwacht. Es existieren jedoch bundesstaatliche und nationale Gesetze, die sicherstellen, dass Penetrationstests ethisch vertretbar und konform sind.
Nach US-Recht müssen Unternehmen ein Zustimmungsformular unterzeichnen, in dem Umfang und Tiefe der Tests genau festgelegt sind. Tun sie das nicht, gilt der Test als unerlaubte Hacking-Aktivität und es drohen je nach Bundesstaat verschiedene Strafen.
Stellen Sie sicher, dass Penetrationstests den gesetzlichen Vorschriften genügen und dass alle rechtlichen Unterlagen genau und vollständig ausgefüllt sind. Wichtig ist außerdem, anhand einer Hintergrundprüfung der ethischen Hacker deren Referenzen zu überprüfen. Die Akkreditierungen CREST und NCSC beispielsweise sind anerkannte Branchenzertifizierungen, die vertrauenswürdigen Penetrationstestunternehmen verliehen werden.
Was sollten Sie nach einem Penetrationstest unternehmen?
Penetrationstests dienen dem Auf- und Ausbau Ihrer langfristigen Sicherheitsstrategie und dem Patchen realer, getesteter Schwachstellen.
Die schnelle Reaktion auf die Ergebnisse von Penetrationstests ist entscheidend, um Ausfallzeiten und Unterbrechungen durch Cyberkompromittierungen sowie hohe Bußgelder für etwaige Verstöße gegen Datenschutzvorschriften zu vermeiden.
Nach einem Penetrationstest sollten Sie Folgendes tun:
- Überprüfen Sie den Abschlussbericht und erörtern Sie die Ergebnisse mit dem externen Penetrationstest-Team und Ihrem internen Cybersicherheits-Team.
- Entwickeln Sie eine umfassende Cybersicherheitsstrategie und einen Behebungsplan, um angemessen auf die Erkenntnisse zu reagieren.
- Führen Sie regelmäßig Tests und Schwachstellenscans durch, um den Erfolg und die Entwicklung Ihrer Patches und Upgrades langfristig zu verfolgen.
Penetrationstests sind sehr umfassend aufgebaut. Sie bieten ausführliche Einblicke in Umfang und Schwere potenzieller Schwachstellen in Ihrer Umgebung. Folglich wird es immer eine Vielzahl nützlicher Erkenntnisse geben, die Ihnen dabei helfen, Ihre Sicherheit zu verstärken.
Was ist Teaming?
Teaming ist eine Methode zur Durchführung von Penetrationstests, mit der Unternehmen ihre Cybersicherheitsmaßnahmen organisieren und verbessern können. Dabei werden die Teilnehmer in zwei Teams aufgeteilt (Red Team/Blue Team). Während ein Team aktiv nach Schwachstellen sucht und diese testet, versucht das andere Team, diese Risiken zu patchen und eine Kompromittierung zu vermeiden.
Es geht weniger um die Aufdeckung möglichst vieler Schwachstellen, sondern vielmehr darum, die Effektivität der Reaktionen auf Bedrohungen und Schwachstellen zu beurteilen. Die Erkenntnisse aus den Teaming-Übungen sollen die Fähigkeit des Unternehmens verbessern, sich selbst schnell und effektiv vor den Risiken des modernen Cyberraums zu schützen.
An den Teaming-Übungen können drei Arten von Teams beteiligt sein:
- Red Teams sind in der Regel extern und untersuchen die Effektivität der vorhandenen Sicherheitsinfrastruktur eines Unternehmens. Sie führen ähnliche Tests durch wie bei einem Penetrationstest, konzentrieren sich jedoch auf einzelne Probleme, statt auf die gesamte Umgebung.
- Blue Teams sind die unternehmensinternen Sicherheitsteams. Die Sicherheitsverantwortlichen im Unternehmen werden vom Red Team getestet und informiert und müssen schnell sowie effektiv auf plötzliche Bedrohungen reagieren.
- Purple Teams bestehen aus einer Mischung aus Red Teams und Blue Teams. Diese Teams haben das Ziel, die Cybersicherheitsreaktionen durch Bereitstellen umfassender Informationen und Feedback zu potenziellen Bedrohungen zu verbessern. Purple Teams sind außerdem sehr nützlich für die Überprüfung und Bewertung der aus der Übung gewonnenen Erkenntnisse.