W(h)at
is IT?

Externer Penetrationstest

Systeme, die aus dem Internet erreichbar sind, werden häufig nicht gut genug abgesichert. Nicht alle Applikationen sind von Haus aus sicher, sondern müssen durch Veränderungen an der Konfiguration separat abgesichert werden. Meist fehlt eine Logging, Monitoring und Alerting Strategie für die Systeme, die aus dem Internet erreichbar sind. Daher bekommen viele Firmen nicht mit, dass sie angegriffen oder ihre Systeme übernommen werden – und können dementsprechend auch nicht reagieren. Zudem entwickeln einige Unternehmen ihre Websites oder Applikationen selbst, anstatt professionelle Dienstleister zu beauftragen. Die internen Entwickler sind dann häufig nicht ausreichend im Bereich der IT-Sicherheit geschult und bauen unwissentlich Sicherheitslücken ein, die für Angreifer einfach zu entdecken sind. Beim externen Penetrationstest nehmen Experten die im Internet exponierte IT-Infrastruktur unter die Lupe, suchen nach Lücken und möglichen Einfallstoren – ohne beim Unternehmen vor Ort zu sein.

Definition

„Ein IS-Penetrationstest ist ein erprobtes und geeignetes Vorgehen, um das Angriffspotenzial auf ein IT-Netz, ein einzelnes IT-System oder eine (Web-)Anwendung festzustellen. Hierzu werden die Erfolgsaussichten eines vorsätzlichen Angriffs auf einen Informationsverbund oder ein einzelnes IT-System eingeschätzt und daraus notwendige ergänzende Sicherheitsmaßnahmen abgeleitet beziehungsweise die Wirksamkeit von bereits umgesetzten Sicherheitsmaßnahmen überprüft.“

Bundesamt für Sicherheit in der Informationstechnik (BSI)

Praxisbezug

In einer vorgelagerten Informationsbeschaffungsphase (Reconnaissance) werden öffentlich verfügbare Informationen über das Unternehmen und seine IT-Infrastruktur, im Rahmen von Blackbox-Tests, ermittelt. Dies stellt das übliche Angreifer-Vorgehen nach, bei dem zunächst rein passiv und aus öffentlichen Quellen möglichst viele Informationen über das Ziel gesammelt werden. Hierzu gehören zum Beispiel IP-Adressbereiche, DNS-Einträge, E-Mail-Adressen, Technologie-Informationen, Metadaten aus Dokumenten etc.

Sind die Erkenntnisse gesichtet und finale Zielsysteme für die weiterführende und tiefe, aktive Überprüfung festgelegt, werden die Tests in Form von Greybox-Tests fortgeführt. Es folgt ein umfassender Penetrationstest auf alle relevanten Systeme und Dienste der über das Internet erreichbaren IT-Infrastruktur, um Optimierungspotenziale und Schwachstellen zu identifizieren sowie behebende Maßnahmen zu empfehlen.

// //

Gesetzliche Regelung

  • Die Legalität von Penetrationstests ist nur dann gegeben, wenn beide Parteien eine Vereinbarung getroffen haben, ansonsten erfüllen sie möglicherweise einen Straftatbestand.
  • Es gibt keine direkte Pflicht zu Penetrationstests, diese lässt sich aber aus einigen Gesetzen/Verordnungen indirekt ableiten. Die DS-GVO regelt in Art. 32, Abs. 1 lit. d.), dass der Verantwortliche ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einführen muss. Dies kann er nach derzeitigem Wissensstand insbesondere durch regelmäßige Pentests erfüllen.
  • Mit einer Regierungsbeteiligung der FDP (und auch der Grünen) ist zu erwarten, dass im Bereich IT-Sicherheit die Anforderungen an Behörden und auch Unternehmen viel spezifischer werden. Pentests könnten Pflicht werden.
  • Verschiedene kundige Bundes- und Landesbehörden führen Penetrationstests durch, vor allem das BSI.
    • Das BSI hat auch einen Praxis-Leitfaden: IT-Sicherheits-Penetrationstest erstellt, in dem Penetrationstests für Durchführende erklärt werden.
    • Für Behörden sind diese kostenlos, Kritische Infrastrukturen (KRITIS), wie beispielsweise Energie- und Trinkwasserversorgung sowie Abwasserentsorgung, müssen bezahlen.
  • In der aktuellen politischen Debatte um Penetrationstests geht es etwa um Forderungen von Landtagen (zum Beispiel Bayern) und Datenschutzbeauftragten, die LUCA-App durch Penetrationstests überprüfen zu lassen.
// //
Mitarbeiterzitat

Da immer neue Sicherheitslücken aufgedeckt werden, braucht es regelmäßige Sicherheitsüberprüfungen. Oftmals werden diese jedoch nur einmalig durchgeführt und dann angenommen, dass man jahrelang sicher sei. Systeme und Applikationen werden lange, teilweise jahrelang, nicht aktualisiert. Daher werden Sicherheitslücken nicht behoben und die Systeme sind anfällig für Angriffe. Gerade bei schwerwiegenden Sicherheitslücken, nach denen von Angreifer-Gruppen aktiv gescannt wird, muss schnell gehandelt werden. Häufig lesen IT-Admins jedoch keine IT-Sicherheitsnews und bekommen gar nicht mit, dass ihre Systeme angreifbar sein könnten.

Warum ist das für die Geschäftsführung wichtig?

Alle Business Assets, die mit dem Internet verzahnt sind, sind automatisch sofort angreifbar. Der externe Penetrationstest ist daher besonders wichtig, um das Bedrohungspotenzial von Angriffen von außen zu identifizieren, präventive Maßnahmen zu treffen und so sein Geschäft zu schützen. Dabei ist der externe Penetrationstests allerdings nur ein wichtiger Baustein von vielen.

/