Haben Sie Fragen?
Rufen Sie uns einfach an:
040 696985 - 0

Interview: Penetrationstests

Carla spricht diesen Monat mit Alexandra Palandrani aus unserer Abteilung für IT-Sicherheit über Penetrationstests.

Hallo Alex, warum sind Penetrationstests erforderlich und wichtig?

Alex: Es gibt mittlerweile gesetzliche Anforderungen, die einen Nachweis über die Wirksamkeit zu getroffenen technischen und organisatorischen Maßnahmen fordern, die zum Schutz der Informationssicherheit zu treffen sind. Die entsprechenden Anforderungen stellt beispielsweise das Telemediengesetz in §13 Absatz 7 (bedingt durch die Änderungen im Zuge des IT-Sicherheitsgesetzes) oder auch die DSGVO in Artikel 32. Der Bericht über einen durchgeführten Penetrationstest stellt einen solchen Nachweis dar.

Es gibt jedoch einen viel wichtigeren Aspekt: Nahezu jedes Unternehmen besitzt auf seinen internen Systemen Daten, deren Abfluss oder Nichterreichbarkeit einen hohen Schaden nach sich ziehen würde. Dies wären beispielsweise Kundendaten, Konstruktionspläne oder Quellcodes von Software, die bei einem Abfluss der Konkurrenz Marktvorteile verschaffen könnten. Ein Imageschaden kann in einem solchen Fall ebenfalls ein ernstzunehmendes Problem bedeuten. Ein prüfender Blick von einem unabhängigen Dritten ist daher vorteilhaft, um sich ein klares Bild des eigenen IT-Sicherheitsniveaus zu verschaffen.

Welche Formen von Penetrationstests gibt es und wie unterscheiden sich diese?

Alex: Die erste Entscheidung, die getroffen werden muss, ist, welches Ziel mit diesem Test erreicht werden soll. Anhand dieser Entscheidung wird die Sichtweise definiert: das kann entweder die eines externen Angreifers sein, der versucht, sich von außen Zugriff auf Systeme zu verschaffen oder es kann die eines Angreifers sein, der sich bereits im Gebäude des Unternehmens befindet und versucht, von hier Zugriff auf Systeme und Daten zu erhalten. Diese beiden unterschiedlichen Sichtweisen sind dann ausschlaggebend für die Art des Penetrationstests: ein externer oder ein interner Penetrationstest.

Weiterhin werden folgende Methoden unterschieden:

Blackbox-Test: Hier hat der Penetrationstester keinerlei Wissen über die Systeme, die er angreifen soll. Er erhält lediglich Adressen der anzugreifenden Systeme.

Whitebox-Test: Bei einem Whitebox-Test hat der Penetrationstester bestimmtes Insiderwissen, beispielsweise einen Account in einem Online-Shop oder eine Benutzerkennung (z.B. im Windows AD) des internen Firmennetzes.

Greybox-Test: Bei einem Greybox-Test erhält der Penetrationstester einige wenige Basisinformationen zu den zu prüfenden Systemen. Neben den Adressen wird ihm mitgeteilt, um welche Art von System es sich bei der jeweiligen Adresse handelt, also beispielsweise ob es ein Webserver, ein VPN-Gateway, ein Mailserver oder Ähnliches ist.

Wir empfehlen den Greybox-Test als Alternative zum Blackbox-Test, da der Tester die Systemarten in fast jedem Fall selbst identifizieren kann, hierfür jedoch bei einem Blackbox-Test Aufwand betrieben werden muss. Dieser Aufwand wird wiederum dem Kunden berechnet. Unserer Meinung nach kann der Kunde sich das Geld hierfür sparen, indem er dem Tester die Basisdaten mitteilt. Weiterhein kann sich der Penetrationstester in diesem Fall individueller auf die jeweiligen Systemarten vorbereiten und sich im Vorfeld beispielsweise über aktuelle Schwachstellen informieren. Hat der Kunde jedoch den Wunsch, dass der Penetrationstest jegliche Informationen analysiert, die ein System nach außen trägt, ist wiederum ein Blackbox-Test notwendig.

Was ist das Ergebnis eines Penetrationstests?

Alex: Das Ergebnis eines Penetrationstests sollte in jedem Fall ein schriftlicher Bericht sein, der den Auftraggeber über die gefundenen Schwachstellen und Sicherheitslücken informiert. Ein guter Bericht enthält weiterhin Empfehlungen, wie diese Schwachstellen behoben werden können und bestenfalls werden die Feststellungen noch in unterschiedliche Risikoklassen eingeordnet. Anhand des Berichts ist die Qualität des Penetrationstests erkennbar: Sind die Schwachstellen beispielsweise so beschrieben, dass auch ein „Nicht-Informatiker“ diese nachvollziehen kann und sind die Maßnahmen so erläutert, dass der Auftraggeber weiß, welche Schritte im Unternehmen zu gehen sind, um die Systemsicherheit zu erhöhen? Hierfür kann es im Vorfeld hilfreich sein, sich einen Beispielbericht des potentiellen Dienstleisters zeigen zu lassen.

Wie oft sollte ein Penetrationstest durchgeführt werden?

Alex: Das hängt ganz von den zu prüfenden Systemen ab. Der Gesetzgeber fordert die oben genannten Nachweise alle 2 Jahre. Bei Systemen, auf denen regelmäßig und häufig Änderungen vorgenommen werden, kann ein Abstand von 2 Jahren jedoch zu lang sein. Bei jedem System ist abzuwägen, in welchen Abständen Änderungen vorgenommen werden und wie kritisch die entsprechenden Daten sind. Änderungen schließen auch Updates mit ein. Grundsätzlich sollte jedoch jedes System vor einem Go-Life einem Penetrationstest unterzogen. Bei größeren Unternehmen sollte das auch bei Systemen geschehen, die intern einem großen Mitarbeiterkreis zur Verfügung gestellt werden.

Sollte ein Penetrationstest immer vom gleichen Anbieter durchgeführt werden?

Alex: Ein klares Nein! Jeder Anbieter von Penetrationstests hat seine eigenen Methoden und Vorgehensweisen, Systeme zu prüfen. Nutzt ein Kunde über mehrere Jahre denselben Anbieter, besteht das Risiko, dass dieser sich immer wieder selbst prüft und auch mit einem Tunnelblick immer wieder identische Punkte abprüft. Wir empfehlen max. 3 Jahre mit dem gleichen Penetrationstester zusammenzuarbeiten und dann den Anbieter zu wechseln. Ein alternativer Dienstleister hat ggf. andere Methoden und Vorgehensweisen und findet ggf. Schwachstellen, die der vorige Dienstleister nicht gefunden hat.

Vielen Dank für das Gespräch!

 

Alexandra Palandrani ist seit 2000 Mitarbeiterin der IBS Schreiber GmbH und arbeitet als Auditor & Consultant IT Security. Durch Ihr Studium der Medieninformatik erhielt Frau Palandrani eine professionelle Basis für die Prüfung von IT-Systemen. Ihre Bachelor-Arbeit behandelte das Thema Sicherheit von Online-Bewerberportalen. Seit 2011 befasst sich Frau Palandrani als IT-Security Auditor bei IBS mit entsprechenden Sicherheitslücken. Ihre Erfahrungen bringt sie in Seminare, Prüfungen und in Projekte ein.

Links:

IBS Schreiber GmbH

Anschrift
Zirkusweg 1
20359 Hamburg

+49 40 6969 85-0
+49 40 6969 85-31
info@ibs-schreiber.de

Prüfung & Beratung