Pentest
IT-Security
Um zu verhindern, daß Hacker bei einem Cyberangriff in Ihre IT-Systeme eindringen, sollten Sie prüfen, wie gut Ihre IT abgesichert ist, damit Sie erkannte Schwachstellen beseitigen können: Das leistet ein von Extern durchgeführter Penetration Test (oft auch Pentest genannt).
Eine interne Prüfung ist selbstverständlich notwendig. Bei internen Prüfern besteht jedoch die sehr reale Gefahr der Betriebsblindheit. - Außerdem können interne Mitarbeiter oft - wegen des Tagesgeschäfts - in der sich schnell ändernden Hackerwelt nicht auf dem Laufenden sein.
Wenn Sie IT-Security nicht ernst nehmen, werden Sie früher oder später mit den Konsequenzen fertig werden müssen.Die Frage, die sich dabei stellt ist nicht ob, sondern wann! Zur IT-Security gehört ein Strategie, Teile dieser Strategie müssen sein:
- Wie sichere ich meine IT-Landschaft?
Dabei haben unterschiedliche Bereich eine unterschiedlich hohe Priorität und dementsprechend unterschiedliche Sicherheitsanforderungen. - Penetration Tests, die prüfen, wo Schwachstellen sind oder sich im Laufe der Zeit eröffnet haben (zum Teil, weil neue Angriffstechniken entwickelt werden).
- Plan B für den Fall, daß entweder ein Angriff bemerkt wird, oder sogar, daß bösartige Hacker eingedrungen sind.
Wer diese Aspekte nicht in seiner Sicherheitsstrategie integriert hat, läuft jederzeit Gefahr, wehrloses Opfer eines Angriffs zu werden.
Durchführung eines Pentests
Ziele eines Pentests sind:
- die Identifikation von Schwachstellen,
- die Erhöhung der Sicherheit auf technischer und organisatorischer Ebene,
- die Bestätigung der IT-Sicherheit durch einen unabhängigen, externen Dritten.
Bei einem Pentest wird durch gezielte Angriffe auf Netzwerke und/oder IT-Systeme versucht, Einbruchs- und Manipulations-Möglichkeiten zu finden. Dabei werden ähnliche Techniken und Tools benutzt, wie sie von bösartigen Hackern angewendet werden. Pentests werden immer so durchgeführt, dass kein Schaden entsteht. Dort, wo potentiell ein Schaden entstehen könnte, wird der "Angriff" vorher gestoppt.
Der Umfang eines Pentests wird individuell vorher festgelegt und orientiert sich am Gefährdungspotential und der Systemrelevanz. Dabei gibt es unterschiedliche Vorgehensweisen, z.B.:
- Black-Box - extern
ohne Kenntnis der IT Umgebung wird von außen versucht, in die IT einzudringen - White-Box - extern
die IT Umgebung/Struktur ist bekannt, es wird versucht, von außen einzudringen - White-Box - intern
die IT Umgebung/Struktur ist bekannt, es wird versucht, von innen (wie z.B. ein Mitarbeiter) in systemrelevante/gesicherte Systeme einzudringen - Grey-Box - extern
relevante Teile der IT Umgebung/Struktur sind bekannt, es wird versucht, von außen einzudringen - Website Test
nur die Website des Unternehmens wird von außen "angegriffen" - Social Engineering
es wird versucht, organisatorische Lücken aufzudecken, z.B durch Erlangen eines physischen Zugangs zu Netzwerken/Rechnern/Servern Pentests werden oft so durchgeführt (wenn möglich), dass die IT Abteilung nicht involviert und vorher nicht informiert ist. - Nach Abschluß der Tests wird dem Managment und der IT schriftlich und mündlich detailliert dargelegt, welche Probleme gefunden wurden. Die Korrekturen und Gegenmaßnahmen müssen von Ihrer IT durchgeführt werden.
Absolute Sicherheit gibt es nicht! Dennoch ist es wichtig, nach Schwachstellen zu suchen und die eigene Sicherheit zu erhöhen, bevor Schwachstellen von bösartigen Hackern gefunden werden. - Es gibt viele Beispiele, wo das - auch von kompetenten, aber überlasteten IT Abteilungen - versäumt wurde und die Folgen katastrophale Auswirkungen hatten.
Ein Penetration Test ist immer nur eine Momentaufnahme zu einem bestimmten Zeitpunkt.
Er ersetzt nicht eine ständige Auseinandersetzung mit der IT-Sicherheit. Aber im Rahmen einer Sicherheits-Strategie erhöht er die Sicherheit Ihrer IT-Systeme (wenn die notwendigen Korrekturen und Gegenmaßnahmen durchgeführt wurden).