Penetrationstests: Warum Sie sich selbst hacken sollten.

Veröffentlicht von Marketing am

Mit zunehmender Komplexität der eigenen IT-Infrastruktur und dazugehöriger Datensicherheitskonzepte steigt auch das Risiko eines Cyber-Angriffs. Doch wie lassen sich Schwachstellen ermitteln und erkennen bevor es zum Angriff kommt?

Welche Zielsetzung wird mit Penetrationstests verfolgt?

Penetrationstest ermöglichen

  • die Identifikation von Schwachstellen
  • das Aufdecken potentieller Fehler, die sich aus der fehlerhaften Bedienung durch die Anwender ergeben
  • die Erhöhung der Sicherheit auf technischer und organisatorischer Ebene und
  • die Bestätigung der IT-Sicherheit durch einen externen Dritten.

Wichtig dabei ist es, den Testergebnisse als Momentaufnahme zu begreifen und somit regelmäßige Pentests durchzuführen. Wie auch das Unternehmens selbst sollte die IT-Infrastruktur als dynamisches System verstanden werden indem kontinuierlich Veränderung stattfinden und somit auch Angreifen immer wieder neue Wege finden.

Unter einem Penetrationstest versteht mein einen umfassenden Sicherheitstest, bei dem Endpunkte und Netzwerke des Unternehmens bzw. der Organisation systematisch penetriert werden. D.h. es wird das Eindringen in das Netzwerk simuliert, um so die kritischen Sicherheitslücken aufzudecken. Dabei dient das Pentesting lediglich als Instrument zur Identifikation solcher Lücken, jedoch nicht dazu diese zu schließen.

Im Gegensatz zu einem meist vollständig automatisierten Vulnerability Scan bedarf ein Penetrationstest jedoch konzeptioneller Vorbereitung und auch manueller Durchführung, um gängige Methoden der Angreifer individuell zu simulieren.

Können mit Penetrationstests auch organisatorische und soziale Schwachstellen ermittelt werden?

Beim Social-Hacking oder Social Engineering spricht man von einer psychologischen Methode der Angreifer sich über die Beeinflussung von Mitarbeitern Zugang zu Informationen und zu System zu verschaffen. Im Gegensatz zu oben genannten Vulnerability Scans schließen umfassend organisierte Penetrationstest solche Szenarien mit ein und ermöglichen so die gezielte Aufklärungsarbeit und Schulung der Mitarbeiter.

Wie läuft ein Penetrationstest ab?

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt einen fünfstufigen Prozess:

  1. Vorbereitung: methodische Konzeption
  2. Informationsbeschaffung: Sicherheits-Analyse
  3. Bewertung der Analyse Ergebnisse
  4. Eindringversuch: aktive Angriffe auf das System
  5. Bericht: Zusammenfassung der Ergebnisse und Handlungsfelder

Die Prüfung baut hierbei auf vier Modulen auf:

Modul 1 – konzeptionelle Schwächen

Es werden jegliche die IT-Sicherheit betreffende Konzepte und Dokumentationen gesichtet und bewertet.

Modul 2 – Härtungsmaßnahmen

In diesem Modul wird festgestellt, ob die für das Prüfobjekt erforderlichen Härtungsmaßnahmen umgesetzt sind. Hierbei sollten mindestens folgende Punkte geklärt werden:

  • offene Ports
  • Schnittstellen
  • Aktualität der Patchstände und der eingesetzten Softwareversionen
  • Zugangsvoraussetzungen zu Programmen / Authentisierung
  • Absicherung der Dienste / Regelwerke

Modul 3 – Bekannte Schwachstellen

Bei diesem Modul wird das Prüfobjekt auf bekannte Schwachstellen untersucht. Dies kann aufgrund der in Modul 2 vorgefundenen Patchstände geschehen oder unter Einbeziehung von sogenannten Schwachstellenscannern durchgeführt werden.

Modul 4 – Exploits

Der exakte Nachweis, dass eine Schwachstelle vorhanden ist, findet nur statt, wenn sie auch ausgenutzt wird, also ein Exploit erfolgreich eingesetzt wird. Dies ist allerdings mit Gefahren verbunden. Ein Exploit ist eine Befehlsfolge, um bekannte Sicherheitslücken auszunutzen. Dabei handelt es sich im Allgemeinen um Skripte, die von verschiedenen Quellen, häufig frei über das Internet, zur Verfügung gestellt werden. Ist der Exploit unsicher programmiert, so kann er Schaden an der IT-Anwendung anrichten. Daher muss hier genau abgewogen werden, ob ein Exploit eingesetzt wird.

Was Sie für einen umfassenden Penetrationstest beachten müssen.

Das Team von MEGASICHER bildet als moderner Dienstleister die Schnittstelle zwischen IT-Administration und Geschäftsführung durch die technische Unterstützung bei der Schwachstellenanalyse und der Absicherung von Unternehmen und Führungskräften gegen Schäden von innen & außen sowie der Absicherung des Rest-Risikos durch individuelle Versicherungslösungen. Erfahren Sie mehr darüber, wie wir Sie bei der hierbei unterstützen und Sie damit langfristig schützen können.

Kategorien: Wissen
Schlagwörter:

Verwandte Beiträge

Wissen

Wie Sie sich als Geschäftsführer vor Haftungsrisiken durch Cyber-Angriffe schützen können.

Die zunehmende Digitalisierung in Deutschland bringt auf der Kehrseite auch Gefahren durch Cyber-Angriffe und Vorfälle mit sich, welche zu einem nicht unerheblichen Schaden für das Unternehmen führen können. Als Geschäftsführer und Mitglied der Geschäftsleitung sollten Sie sich der möglichen Gegenmaßnahmen und Instrumente zum Umgang mit den konkreten Gefahren bewusst sein, da sie auch zunehmend im Fokus der Gesetzgebung liegen.

Wissen

Erste Hilfe: 12 mögliche Maßnahmen bei Cyber-Angriffen

Die Bewältigung eines Cyber-Angriffs ist stets individuell und Maßnahmen müssen auf die Gegebenheiten der IT-Infrastruktur vor Ort, die Art des Angriffs und die Zielsetzungen der Organisation angepasst werden. Die in den 12 als Fragen formulierten Punkten des BSI implizierten Maßnahmen dienen als Impuls und Hilfestellung bei der individuellen Bewältigung.

Wissen

IT Incident Management: Was Sie bei einem IT-Sicherheitsvorfall unternehmen sollten.

Unbedachte Handlungen und Reaktionen können die Situation verschlimmern und zu noch höheren Schäden führen. Wichtig ist, dass Sie als Unternehmen in einer solchen Situation auf fundierte Informationen zugreifen können, um Ihren Geschäftsprozess und Ihre IT-Infrastruktur wiederherzustellen.