Aktuelle Meldungen

Penetrationstests - was bedeutet der Begriff Pentest?

14-04-2020

Der Penetrationstest (kurz: Pentest, engl.: Penetrationtest oder Penetration Testing) ist ein Begriff aus der IT-Sicherheit und beschreibt die Überprüfung der Informationssicherheit von IT-Systemen gegen Hacker-Angriffe. 

In Zeiten häufig verbreiteter Schadprogramme wie beispielsweise „Emotet“ und der zunehmenden Wichtigkeit funktionierender IT- Infrastrukturen für den Geschäftsbetrieb, beschäftigen sich viele Unternehmen mit der Frage: Bin ich angreifbar von außen und sind meine Daten vor Hacker-Angriffen sicher? 

Um diese Frage zu klären bieten sich IT- Sicherheitsaudits an. In Deutschland hat sich hierfür der Ausdruck „Penetrationstest“ im üblichen Wortgebrauch als Standard für solche Sicherheitsaudits durchgesetzt und wird so auch vom BSI (Bundesamt für Sicherheit in der Informationstechnik) verwendet.

Unterschieden wird innerhalb des Begriffs der Penetrationstests nun nach Art, Umfang/Ziel und Aggressivität der Überprüfung. Die unterschiedlichen Vorgehensweisen bei einem Pentest führen entsprechend zu unterschiedlichen Ergebnissen in Tiefe und Umfang, bergen unter Umständen aber auch geringe bis hohe Risiken für die getestete Infrastruktur.

Welche Art des Penetrationstests nun für Sie die richtige ist, hängt vor allem davon ab, welche Informationen Sie aus dem Pentest generieren möchten und welches Risiko Sie bereit sind, bei der Durchführung des Penetrationstest einzugehen. 

Daher gilt es, am besten zusammen mit einem erfahrenen IT-Sicherheitsexperten zu klären, welches Ergebnis Sie sich von dem Pentest erwarten und welches Risiko tragbar und sinnvoll ist:

 

 

•    Möchte ich einen Gesamtüberblick über das Sicherheitsniveau meiner extern erreichbaren und /oder meiner internen IT-Infrastruktur erhalten? Oder möchte ich mit Hilfe des Penetrationstest im Gegenzug einzelne Systeme, die eine hohe bis sehr hohe Risikoeinstufung haben, möglichst tiefgehend testen?
•    Reicht mir durch den Pentest ein eher oberflächliches Ergebnis in Bezug auf meine Infrastruktur – also eine Art Basisschutz - oder möchte ich meine Sicherheit deutlich erhöhen?
•    Möchte ich die Pentests einmalig bzw. in größeren Zeitabständen durchführen oder möchte ich in kurzen, regelmäßigen Rhythmen die Sicherheit geprüft wissen?
•    Reichen mir „stichprobenartige“ Analysen auf Teile der Infrastruktur und ich abstrahiere die Ergebnisse auf den Rest selbst oder möchte ich eine Gesamtübersicht durch den Pentest erhalten?
•    Gibt es Systeme, die dem Risiko eines Pentests nicht oder nur eingeschränkt ausgesetzt werden dürfen und wenn ja, wie möchte ich mit diesen umgehen?

Für alle diese Anforderungen gibt es passende und sinnvolle Arten von Pentests. Dies bedeutet aber im Umkehrschluss auch, dass viele der möglichen Arten von Pentests für Sie eben nicht passend, zielführend, teilweise unwirtschaftlich und ggf. sogar mit einem zu hohen Risiko behaftet sind.
Das Schwierige an einem Penetrationstest ist daher nicht allein die Durchführung selbst. Das Know-How von IT-Experten wird benötigt, um mit Ihnen gemeinsam das richtige Maß an Penetrationstest zu finden. Dieses Maß ist für jedes Unternehmen individuell zu erarbeiten und genau dieses Augenmaß und die passende Auswahl des Pentests zeichnet ein professionelles Sicherheitsaudit aus.

Daher gilt als erste Faustregel bei der Suche nach einem passenden Pentest Anbieter: Stellt der Pentest Anbieter Ihnen nicht Fragen zu den oben genannten Punkten, sollten Sie die Qualität des Pentest Anbieters zumindest kritisch hinterfragen.

Unterschiedliche Penetrationstests und ihre Vor- und Nachteile

Im Folgenden möchten wir auf die unterschiedlichen Möglichkeiten eines Penetrationstests eingehen und Ihnen in den einzelnen Kriterien die jeweiligen Vor- und Nachteile aufzeigen.

1. Kriterium: Die Informationsbasis    

Bei einem Penetrationstest haben Sie die Wahl zwischen einem Black-Box-Test und einem White-Box-Test.

Black-Box-Test: Der Begriff beschreibt ein Verfahren, bei welchem dem Auditor vor der Durchführung des Penetrationstests keinerlei Informationen über Ihre Systeme vorliegen. Dieses Verfahren bildet damit am ehesten die Bedingungen ab, die auch einem externen Angreifer vorliegen würden. Nachteil dieses Verfahrens ist die betriebswirtschaftlich ungünstige Verteilung von tatsächlichen Erkenntnisgewinn vs. zuzuordnender Kosten, da z.B. die Ermittlung der Unternehmens-IP Adressen zwar Zeit kostet, aber keinen Erkenntnisgewinn im eigentlichen Sinne generiert.

White-Box-Test: Beim White-Box-Test hingegen liegen einige Informationen bereits vor. So kann sehr effektiv mit diesen weitergearbeitet werden, um Ergebnisse aus dem Penetrationstest in einer möglichst großen Breite und Tiefe zu erzielen, allerdings kann der Teil der Informationsbeschaffung nicht bewertet werden. 

Bei der Auswahl des Kriteriums sollten Sie sich daher die Frage stellen, welches Ergebnis aus dem Penetrationstest erwartet wird, welche Geldmittel hierfür maximal eingesetzt werden sollen und vor allem auch, vor welchem Angreifer-Typus Sie sich schützen möchten. 

Ein externer Angreifer ohne direkten Unternehmensbezug mag zu Beginn über keine Unternehmensinformationen verfügen. Ein (ehemaliger) Mitarbeiter, der dem Unternehmen schaden will – im schlimmsten Fall auch noch ein ehemaliger IT-Admin – verfügt bereits vor dem Angriff über mehr oder weniger weitreichende Informationen oder hat sich ggf. bereits „Hintertüren“ ins Unternehmen eingebaut.

2. Kriterium: Die Aggressivität

Ein wichtiges Kriterium bei der Auswahl des Pentests ist die Aggressivität des Vorgehens:

  • Passiv: Die gefundenen Schwachstellen werden nicht ausgenutzt
  • Vorsichtig: Die gefundenen Schwachstellen werden nur dann ausgenutzt, wenn nach bestem Wissen eine Beeinträchtigung des untersuchten Systems ausgeschlossen werden kann
  • Abwägend: Es werden auch Schwachstellen ausgenutzt, die u.U. zu Systembeeinträchtigungen führen
  • Aggressiv: Es wird versucht, alle potentiellen Schwachstellen auszunutzen, unabhängig vom damit verbundenen Risiko 

Zu beachten ist hierbei, dass umso aggressiver im Rahmen des Pentests in Ihre Infrastruktur eingegriffen wird, umso höher das Risiko von Schäden und Ausfällen ist. Auch hier sollte das Risiko wieder in ein Verhältnis zu dem zu erwartenden Erkenntnisgewinn gebracht werden.

Gefundene Schwachstellen auszunutzen, die bereits als solche bekannt sind, bringt durch den Pentest keinen neuen Erkenntnisgewinn, kann aber bereits die Infrastruktur entsprechend gefährden. 
Neue, bisher unbekannte Schwachstellen lassen sich hingegen nur verifizieren, wenn diese mit Durchführung des Penetrationstests auch ausgenutzt werden. Hier ist jedoch zu betrachten, ob die reine Annahme nicht ausreichend ist, um eine Systemoptimierung zu veranlassen, oder ob das Eingehen des Risikos eines möglichen Schadens für die Systeme zur Verifizierung sinnvoll ist.

Hinzu kommt, dass jederzeit sichergestellt sein muss, dass die genutzten Exploits keinen nachhaltigen Schaden verursachen. Sofern die Exploits selbst geschrieben wurden, sind die Chancen gut, dass dem nicht so ist. Werden jedoch vorgefertigte Tools beim Pentest ungeprüft eingesetzt, kann dies schwerlich garantiert werden. Im schlimmsten Fall bleiben dann die Systeme geschädigt zurück. Eine abwägende bis aggressive Testweise sollte daher nur absoluten Spezialisten vorbehalten sein, die in der Lage sind, Ihre Systeme manuell und mit eigenentwickelten Tools und Exploits zu testen.

3. Kriterium: Der Umfang

Haben Sie bisher oder seit längerer Zeit keine Analysen mehr durchgeführt, ist es sinnvoll, die komplette Infrastruktur testen zu lassen. Denn eine Kette ist bekanntermaßen nur so stark wie ihr schwächstes Glied. Und ist genau dieses dann nicht im Scope des Pentests enthalten gewesen, sind Ihre Systeme über dieses Einfallstor nach wie vor mehr oder minder angreifbar. Als Merksatz gilt: „Out of Scope gibt es bei Hackern nicht“.

Natürlich ist ein Pentest der gesamten Infrastruktur nur in einer bestimmten Tiefe noch betriebswirtschaftlich vertretbar. Jedes System in maximaler Tiefe und Aggressivität zu testen, würde zwar zu einem maximalen Erkenntnisgewinn führen, jedoch würden die Kosten hierfür über allen Maßen explodieren. 
Hier gilt es ein gesundes Mittelmaß zu finden und im richtigen Verhältnis automatisierte Analysen mit manuellen Pentests zu kombinieren.

Machen Sie sich also im Vorhinein Gedanken, welche Ergebnisse Sie sich von einem Penetrationstest erwarten:

  • Möchten Sie einen ersten Gesamteindruck über Ihre IT-Sicherheit erhalten? 
  • Haben Sie einige Systee in eine hohe bis sehr hohe Risikogruppe eingestuft und möchten deren Schutz durch den Penetrationstest deutlich maximieren?
  • Wie sieht Ihr Schutzbedarf aus? Möchten Sie sich vor unspezifischen Massenangriffen schützen oder vor gezielter Industriespionage durch Konkurrenten mit hoher Ambition?

Und wägen Sie diese Erwartungen mit der Ist-Situation ab: 

  • Haben Sie noch gar keinen Pentest über Ihre gesamte Infrastruktur durchgeführt, sollten Sie mit diesen beginnen. 
  • Testen Sie jedoch bereits regelmäßig in geringer Tiefe – ggf. voll automatisiert, könnten Sie in größeren Abständen die Tiefe erhöhen und die automatisierten Pentests durch manuelle Analysen erweitern. 
  • Lassen Sie bereits regelmäßig umfangreiche teilmanuelle Pentests durchführen, und erwarten ambitionierte Angriffe, ergeben tiefgehende Pentests auf besonders schützenswerte Teile Ihrer Infrastruktur durchaus Sinn.

4. Kriterium: Die Vorgehensweise

Bei der Vorgehensweise können Sie zwischen verdeckten und offensichtlichen Penetrationstests entscheiden. Sollen also die betroffenen Mitarbeiter (IT-Administration etc.) über die Pentests informiert werden oder nicht?

Wollen Sie die Ausführung von Eskalationsketten der Mitarbeiter mittesten, sollten die Pentest verdeckt durchgeführt werden.
Allerdings kann dies auch den Eindruck von Misstrauen gegenüber der Arbeitsweise Ihrer Mitarbeiter wecken und so zu unkooperativen Verhalten resp. negativer Stimmung im Team führen. Zudem kann das IT-Team dann nicht in voller Effektivität auf ggf. aus dem Pentest resultierender Probleme in der Infrastruktur reagieren. 

5. Kriterium: Die Technik

Es gibt verschiedene Möglichkeiten, IT-Infrastrukturen zu testen. Sind die Systeme über z.B. Ihre IP-Adressen öffentlich erreichbar, sind Pentests vollständig remote möglich. 
Interne Infrastrukturen hingegen lassen sich meist nur durch physischen Zugriff voll umfänglich testen.
Hinzu kommen Social Engineering Szenarien, die auf die Schwachstelle Mensch abzielen.

Auch hier ist wieder zu überlegen, von welchem Angreifer-Typus Sie ausgehen. Häufige Szenarien sind die sog. Massenangriffe über das Internet, aber auch Phishing-Angriffe per Mail oder aber Angriffe durch Innentäter wie ehemalige oder aktuelle Mitarbeiter. Auch Webapplikationen haben sich als beliebtes Einfallstor in die interne IT entwickelt, da sie gut erreichbar sind und in der Regel diverse Eingaben annehmen. Die Eintrittswahrscheinlichkeit dieser Szenarien ist als eher hoch anzusehen.

Deutlich seltener sind sogenannte „Praktikanten“- oder „Putzfrauen“-Szenarien, die davon ausgehen, dass Mitarbeiter gezielt in das Unternehmen eingeschleust werden, um dieses zu schädigen. Hier müssten Sie von einem sehr ambitionierten Angriff mit entsprechenden finanziellen Ressourcen ausgehen, der zwar nicht vollkommen auszuschließen, aber doch sehr viel unwahrscheinlicher ist, als die oben genannten gängigen Angriffe. Hier ist eher von einer geringen Eintrittswahrscheinlichkeit auszugehen.

6. Kriterium: Der Ausgangspunkt

Beim Ausgangspunkt des Pentests wird unterschieden zwischen „außen/extern“, also dem Internet und „innen/intern“, also mit Zugang zur internen Infrastruktur. Auch hier stellt sich wieder die Frage, welche Erkenntnisse aus dem Penetrationstest gewonnen werden sollen.

Möchten Sie wissen, ob ein Angreifer von außen z.B. durch die Firewall kommt, um diese in Folge besser zu konfigurieren, wäre ein Scan extern sinnvoll.
Möchten Sie (auch) wissen, was passiert, wenn dieser Angriff von außen erfolgreich war oder was geschieht, wenn eine interne Schadsoftware den Angriff durchführt und wie sich der Angreifer dann im internen System eskalieren kann, ist ein (zusätzlicher) Scan intern sinnvoll.

Auch Komponenten wie Drucker, ggf. Telefonanlagen und WLAN können bei einem internen Scan mitbetrachtet werden. Zusätzlich bilden Webpplikationen einen eigenen Ausgangspunkt für die Tests.

Entscheidungshilfe für Ihren Pentest Anbieter

Aus den genannten Gründen sollte bei einem Penetrationstest resp. Sicherheitsaudit immer zwischen dem daraus resultierendem Erkenntnisgewinn und dem möglichen Risiko eines Schadens abgewogen werden und demnach entschieden werden, welches Vorgehen sinnvoll ist.

In den meisten Fällen entscheiden sich Unternehmen daher für einen passiven bis vorsichtigen Ansatz des Tests bei mittlerem bis vollständigen Umfang und mittlerer Tiefe mit manuellen Prüfanteilen. Hier ist das Kosten-Nutzen Verhältnis bei geringem Risiko und umfangreichem Erkenntnisgewinn in Anbetracht von durchschnittlichen Sicherheitsbedarf am besten umgesetzt.

Analysieren Sie bei der Auswahl eines IT-Sicherheitsexperten daher im Vorfeld Ihre eigenen Anforderungen und überprüfen Sie, ob der ausgewählte Pentest Anbieter diese Anforderungen erfüllt und die gewünschten Ergebnisse bei minimalem Risiko liefern kann.
Auch die fachliche Expertise für tiefergehende manuelle Test muss bei entsprechendem Bedarf und zur Vermeidung nicht mehr von den Systemen entfernter Exploits vorhanden sein.