W(h)at
is IT?

Interner Penetrationstest

Interne Penetrationstests ergänzen Penetrationtests auf die öffentlich im Internet exponierte Infrastruktur (externer Penetrationstest) um den lokalen Aspekt. Zwar sind Unternehmen inzwischen besser in der Lage, sich vor externen Angriffen zu schützen – an vielen Stellen fehlt allerdings weiterhin der Fokus auf die interne IT-Sicherheit respektive auf die IT-Sicherheit vor Ort. Es gibt unzählige Möglichkeiten in das lokale Netzwerk von Unternehmen einzudringen. Social Engineering, im Besonderen das Phishing, und im Internet veröffentlichte Exploits werden regelmäßig genutzt, um in die Netze der Unternehmen einzudringen. Angreifer finden an dieser Stelle oft flache Netzwerke ohne strikte Segmentierung und teils katastrophal veraltete Software vor. Unter solchen Voraussetzungen ist es für Hacker leicht, Teile der Infrastruktur zu übernehmen und dem Unternehmen auf den verschiedensten Wegen zu schaden.

Aus diesem Grund werden interne Penetrationstests durchgeführt. Man will den Angreifern zuvorkommen und sich so vor ihnen schützen.

Definition

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterscheidet in seiner Definition des Penetrationstests nicht zwischen intern und extern. Aus fachlichen und technischen Gründen sowie wegen der unterschiedlichen Ausgangslagen und Risiken, grenzt die @-yet die beiden Varianten stark voneinander ab. 

Praxisbezug

Bei der Durchführung eines internen Penetrationstests wird den Testern ein Zugang zu dem lokalen Netzwerk des Unternehmens gestattet. Dieser erfolgt meist vor Ort oder coronabedingt durch einen VPN-Zugang mit Verbindung zu einer der Netzwerkzonen, mit denen Mitarbeiter-PCs verbunden sind. Durch den direkten Einblick in die interne Netzwerkinfrastruktur spüren die @-yet Resulter Schwachstellen auf und dokumentieren diese in einem eigens dafür angelegten Ergebnisbericht. Jede Schwachstelle wird auf ihre Kritikalität hin eingeschätzt und mit einer Einstufung versehen. Mithilfe dieser Einstufung lassen sich die Schwachstellen später priorisieren und in angemessener Zeit beheben. Abgeschlossen wird das Assessment durch eine Präsentation oder einen Workshop, in denen die gefundenen Schwachstellen erläutert sowie Rückfragen aus der Geschäftsleitung und aus der IT beantwortet werden können.

Gesetzliche Regelung

  • Bei Penetrationstests wird im Allgemeinen nicht zwischen der Durchführung remote oder vor Ort unterschieden.
  • Penetrationstests sind grundsätzlich nur dann rechtmäßig, wenn das Einverständnis beider Seiten explizit vorliegt.
  • Die gleichen gesetzlichen Vorgaben und Einschränkungen, die für externe Penetrationstests gelten, sind auch bei Penetrationstests vor Ort (intern) relevant.
  • Für Behörden wird nach dem Koalitionsvertrag ein regelmäßiger Penetrationstest wahrscheinlich zur Pflicht.
Mitarbeiterzitat

Zurzeit spüren Unternehmen, vor allem im Mittelstand, schmerzlich die Auswirkung eines über Jahre aufgebauten Cyber Security Schuldenberges. Durch falsche Fokussierung oder generellen Mangel an Investitionen in diesem Sektor werden viele Unternehmen kompromittiert und haben kaum eine Chance auf die Angriffe zu reagieren. Hier ist Handeln angesagt, und zwar als fortlaufender Prozess. Penetrationstests sollten regelmäßig und mit entsprechendem Personal zur Schwachstellenbeseitigung durchgeführt werden.

Warum ist das für die Geschäftsführung wichtig?

Interne Penetrationstests verschaffen Unternehmen einen realistischen Überblick über das Qualitätsniveau der technischen Infrastruktur und der Prozesslandschaft. Wie leicht wird es einem potentiellen Angreifer gemacht, tiefer in die internen Unternehmensnetze und -systeme einzudringen? Mit welchen Maßnahmen kann das Sicherheitsniveau nachhaltig wirksam verbessert werden?

Der interne Penetrationstest beantwortet diese Fragen und ermittelt Quick Wins (schnelle Resultate mit wenig Aufwand) sowie mittel- und langfristige Maßnahmen.