Kleine und mittelständische E-Commerce-Unternehmen werden immer häufiger Ziel von Hackerangriffen. Gerade für sie sind sogenannte Penetrationstests ein effizienter Weg, Schwachstellen in der eigenen IT-Infrastruktur aufzudecken. Dr. Ewan Fleischmann vom IT-Sicherheitsdienstleister Redlings erklärt, welche Formen von Pentests es gibt, ob diese angekündigt oder unangekündigt erfolgen sollten und welche rechtlichen Aspekte dabei zu beachten sind.
Hacker versuchen verstärkt, in die IT-Infrastrukturen von Unternehmen einzudringen, wertvolle Daten zu stehlen und sie weiterzuverkaufen oder Schadprogramme zu platzieren, um das Unternehmen zu erpressen oder die technisch gelenkten Geschäftsprozesse aus terroristischen Gründen zu sabotieren.
© IMAGO / Jochen Tack
Bei einem Penetrationstest nehmen IT-Sicherheitsexperten die Perspektive von Cyberkriminellen ein und versuchen, mit deren Methoden in ein System einzudringen.
Die Perspektive der Cyberkriminellen einnehmen
Gerade für solche Unternehmen ist eine regelmäßig durchgeführte Schwachstellenanalyse ein effizienter Weg, vorhandene, bisher vielleicht unentdeckte Schwachstellen in der unternehmenseigenen IT-Infrastruktur aufzudecken und durch geeignete Schutzmaßnahmen zu schließen.Die IT-Umgebung eines Unternehmens lässt sich schützen, indem man einen Penetrationstest durchführt. Dabei handelt es sich um eine von IT-Sicherheitsexperten durchgeführte Schwachstellenanalyse, die sich aber dadurch von automatischen Analysetools unterscheidet, dass sie nicht nur bereits bekannte Schwachstellen findet, sondern auch bisher unbekannte Schlupflöcher.
Dafür greifen die Tester auf das Wissen zurück, über das auch die Hacker verfügen. Sie führen den Pentest sozusagen aus der Perspektive der Cyberkriminellen durch und versuchen mit den gleichen Methoden in das IT-System einzudringen.
Über den Autor
Fehlerhafte Konfigurationen und schlecht geschützte Zugänge
Dabei hängt vieles von Informationen über das IT-System, vor allem bezüglich der intern und extern verwendeten Technik, ab, die ein Onlinehändler für seine Geschäftsprozesse verwendet. Es sind hauptsächlich fehlerhafte Konfigurationen oder schlecht geschützte Zugänge, die sich für ungebetene Gäste als „Einfallstore“ eignen.Je mehr ein Hacker über das IT-System eines Unternehmens weiß, desto eher findet er eine Möglichkeit, sich Zugang zu einer Lieferdienst-App oder einem Onlineshop zu verschaffen. Auf IT-Sicherheitsbewertungen spezialisierte Unternehmen gehen bei einer Schwachstellenanalyse gleichermaßen vor. Meist läuft ein Pentest, vereinfacht beschrieben, folgendermaßen ab:
- Zusammentragen von technischen Informationen zum IT-System
- Aufspüren von möglichen Schwachstellen (Fehlkonfigurationen, Exploits)
- Ausnutzen der Schwachstellen, um weiter ins System einzudringen
- Abschlussbericht mit Vorschlägen zum Schließen der Schwachstellen
Angekündigter oder unangekündigter Test
Die Überprüfung lässt sich auf einzelne Bereiche wie Mobile & API, Cloud oder Web-Application begrenzen oder als umfassende Schwachstellenanalyse für das gesamte Netzwerk durchführen. Ein wichtiger Aspekt bei der Vorbereitung ist auch die Entscheidung, ob es ein angekündigter Pentest sein soll oder eine unangekündigte Schwachstellenanalyse.Ist sie nicht angekündigt, erhält man wertvolle Hinweise darauf, wie effizient die mit der IT-Sicherheit beauftragten Mitarbeiter im Ernstfall reagieren. In welchem Umfang, mit welchen Methoden und in welchem Zeitrahmen der Pentest abläuft, muss vorher vertraglich vereinbart werden. Auch die Art der Schwachstellenanalyse per Pentest ist festzulegen.
"Blue Team" gegen "Red Team"
Hier kann man zwischen Black-Box-Pentest, White-Box-Pentest oder Grey-Box-Pentest wählen. Der Unterschied besteht im Umfang der Informationen, die das beauftragende Unternehmen den Testern vor der Sicherheitsüberprüfung zur Verfügung stellt.Eine weitere Variante ist der Test mithilfe eines Blue Teams und eines Red Teams, wobei das Blue-Team die „Verteidiger“ des IT-Systems sind (also alle relevanten Mitarbeiter des beauftragenden Unternehmens). Das Red Team bilden die IT-Sicherheitsexperten, die versuchen, ins System einzudringen.
© IMAGO / Shotshop
Schlecht geschützte Systemzugänge sind Einfallstore für ungebetene Gäste. Pentests können Unternehmen Klarheit darüber bringen, ob bestehende Sicherungsmaßnahmen wie Passwörter, Zugangsberechtigungen oder Firewalls ausreichen.
Kein Ersatz für ein umfassendes Sicherheitskonzept
Die Schwachstellenanalyse mittels Pentest kann aber stets nur ein erster Schritt zu mehr IT-Sicherheit sein. Letztlich müssen die Unternehmen selbst dafür Sorge tragen, dass ihre Daten und Informationen effizient geschützt sind. Dazu braucht es ein umfassendes IT-Sicherheitskonzept.Gerade für Unternehmen, die ausschließlich über das Internet agieren, ist eine Strategie zur Abwehr aller denkbaren Angriffe von außen (eben über das Internet, etwa durch Phishing-Mails) oder von innen (mithilfe eingeschleuster mobiler Endgeräte wie Laptops bzw. USB-Sticks oder unzuverlässiger Mitarbeiter, vor allem im Homeoffice) notwendig.
Ziel einer durchdachten IT-Sicherheitsstrategie muss es einerseits sein, die aktiven Sicherheitsmechanismen zu optimieren und andererseits dafür zu sorgen, dass Mitarbeiter Schulungen erhalten, in denen Hackermethoden wie Phishing bzw. Spear-Phishing thematisiert werden. Neben der Technik ist immer auch der Mensch eine potenzielle Schwachstelle, die Hacker mithilfe von Social Engineering auszunutzen versuchen.
Rechtliche Absicherung von Pentests
Ein Penetrationstest muss so vorbereitet sein, dass alle Beteiligten auch rechtlich kein Risiko eingehen. Der Test von IT-Systemen ist nämlich ohne ausdrückliche Erlaubnis rechtlich unzulässig. Hacking stellt eine Straftat dar. Aus diesem Grund halten Unternehmen ihre Tätigkeit in einem Dienstleistungsvertrag schriftlich fest.Alle wichtigen Details zur beauftragten Schwachstellenanalyse sind zu fixieren, z. B. der zu testende Bereich, der Name des Testers, die Art des Pentests, der zeitliche Rahmen oder die erlaubten und nicht gestatteten Methoden. Wichtig ist darüber hinaus die Klärung der Eigentums- oder Nutzungsrechte an zu testenden Systemen, Softwareprogrammen oder sonstigen verwendeten Systemdiensten. Es dürfen ausschließlich solche getestet werden, die sich im Eigentum des Auftraggebers befinden.
Der Auftraggeber muss explizit sein Einverständnis zum Pentest unter den genannten Bedingungen geben. Ein zwingender Teil des Vertrages sollte eine Verschwiegenheitserklärung sein, denn die Tester können bei ihrer Schwachstellenanalyse jederzeit auch auf sensible oder geheime Daten stoßen.
