Diese Website verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Sie stimmen dem durch die weitere Nutzung der Website zu. Weitere Infos zu Cookies und deren Deaktivierung finden Sie hier.

For English version click here.

Penetrationstest: Wie funktioniert das?

08.06.2020        IT-Sicherheit
Penetrationstest: Wie funktioniert das?
Shutterstock ID 767544493

Ein Penetrationstest (häufiger: Pen Test) ist im Bereich der IT-Security eine erwünschte, in Auftrag gegebene Prüfung auf Schwachstellen. Damit stellt er das Gegenstück zu einem kriminellen Hack dar. 

Was ist ein Penetrationstest?

Jeder unbefugte Eingriff wird in der Fachsprache als Penetration bezeichnet. Eine Penetrationstest hat demnach die Aufgabe, das System (Netzwerk, Server, Computer) des Auftraggebers auf mögliche Schwachstellen zu untersuchen und einen unbefugten Zugriff zu simulieren. Ziel des Tests ist es, das Risiko von Cyber-Attacken durch neue Kenntnisse zu minimieren. Das Ergebnis eines Pen Tests gibt Aufschluss über Mängel in der IT-Sicherheit. Die Beseitigung dieser Mängel ist allerdings nicht Teil des Penetrationstest dar, sondern obliegt in der Regel dem auftraggebenden Unternehmen.

Der Umfang und die Tiefe eines Cyber Security Penetration Tests kann je nach Unternehmen sehr unterschiedlich aussehen. Typische Testbereiche sind Sicherheitsbarrieren wie eine Web Application Firewall, webbasierte Applications, Container, deren Schnittstellen (API) und Server. Durch intensive Angriffsversuche werden Konfigurationsfehler und Schwachstellen sichtbar gemacht. 

Ähnliche Begriffe

Penetrationstests sind abzugrenzen von ähnlichen Begriffen aus dem Bereich der IT-Sicherheit:

  • Vulnerability Scans: automatische Tests ohne individuelle Anpassung
  • Security Scans: automatischer Test, Testergebnisse werden manuell verifiziert, aber es gibt kein einheitliches Schema

Was wird bei einem Penetrationstest überprüft?

Pen Tests können für viele IT-Anwendungen durchgeführt werden:

  • Datenbankserver, Webserver, Mailserver, Fileserver, weitere Speichersysteme
  • Paketfilter, Virencanner, Firewalls
  • Web Applications, Container
  • Netzkoppelelemete wie Router, Gateways, Switches
  • Telefonanlagen, Drahtlos-Netzwerke (WLAN, Bluetooth)
  • Clients
  • Gebäudesicherheitssysteme, Gebäudesteuerung

Einen Leitfaden für Pen Tests im Bereich der Web Applicationen bietet die gemeinnützige OWASP Foundation.

Welche Arten von Penetrationstest gibt es?

Interner Pen Test

Diese Art von Penetrationstest analysiert, was passiert, wenn Mitarbeiterdaten geklaut werden oder ein so genannter Inside Job verübt wird. Der Test unterstellt also einen Angriff mithilfe von Daten, die Mitarbeitern zur Verfügung stehen.

Externer Pen Test

Dies ist das klassische Model eines Penetrationstest. Hier wird ein Angriff von Hackern simuliert, die vorab keinen Zugriff auf Nutzerzugänge hatten, sondern nur via Internet Zugriff auf die Website des Unternehmens und die verwendeten Systeme haben. Auch gezielte Überlastungen der Außenanbindung durch DDoS-Attacken zählen dazu.



Webinar ansehen: Fehler bei der DDoS-Abwehr


Blindtests

Diese Methode erfordert keine exakten Absprachen. Der Dienstleister erhält den Namen und das Einverständnis des Unternehmens, aber keinen weiteren Input. So können die IT-Sicherheitsexperten in Echtzeit auf Zugriffsversuche reagieren, ohne die Vorgehensweise der Penetrationstester vorher genau zu kennen. Dieses Model eignet sich zum Beispiel, um eine objektive Einschätzung der eignen IT-Sicherheit von einem Dritten mit Expertise zu erhalten.

Eine weitere Variante ist der Doppelblindtest. Der Unterschied zum Blindtest besteht darin, dass auch die verantwortlichen IT-Fachleute im Unternehmen nicht informiert sind. Dadurch kann unter echten Bedingungen die Reaktionsfähigkeit des Teams oder z. B. die Ausführung eines Incident Response Plans geübt und evaluiert werden

Wie läuft ein Pen Test ab?

Jeder Dienstleister hat vermutlich sein eigenes Prozedere, allerdings gibt es typische Phasen und Frameworks, die in der Branche verwendet werden. Hier finden Sie einen ausführlichen Leitfaden das Bundesamts für Sicherheit in der Informationstechnik.

1. Methodik und Design

In der ersten Phase wird der Test entworfen – und zwar speziell für den individuellen Kunden.

  • Einführung: Dienstleister verschaffen sich ersten Überblick
  • Umfang: Welche Systeme sollen getestet werden?
  • Methodik: Welche Techniken und Tools sollen für den Penetrationstest genutzt werden?
  • Ziele: Welche Ergebnisse soll der Pen Test liefern?

Aus allen Informationen wird das Design des Tests entwickelt. Das BSI bietet ein Schema, um sechs wichtige Testkriterien genauer zu klassifizieren. Dazu gehören: Aggressivität, Umfang, Informationsbasis, Vorgehensweise, Technik und Ausgangspunkt.

2. Scans

In dieser Phase startet die Suche nach einer oder mehreren Schwachstellen, die einen Zugriff ermöglichen. Eine genaue Dokumentation des Vorgehens ist hier besonders wichtig. Auf Ebene der einzelnen Anwendungen wird der Code beobachtet. 

3. Zugriff

In der dritten Phase werden die Systeme mit allem beschossen, was im Testdesign festgelegt wurde. Das gesetzte Ziel ist es nun, über die gefundenen Schwachstellen Zugriff zu erhalten. Mögliche Attacken sind z. B.:

  • XSS (Cross-Site-Scripting)
  • Injection
  • Backdoors und Rootkits
  • DDoS-Angriffe

Wenn der Zugriff gelungen ist, haben Penetrationstests die Aufgabe alle Möglichkeiten einer Penetration zu sondieren. Denn genauso würden Cyberkriminelle vorgehen. 

  • Welche Bereiche sind durch den Zugriff verwundbar geworden? 
  • Welche Daten können entnommen oder manipuliert werden? 
  • Wie lange bleibt ein solcher Angriff unbemerkt
  • Auf welche weiteren Netzwerk-Systeme kann der Zugang ausgeweitet werden?

4. Persistenztest

In diesem Stadium soll überprüft werden, ob der Zugriff dauerhaft (persistent) aufrechterhalten werden kann. Das Ziel der meisten Cyber-Attacken ist es, einen Zugang zu erlangen, der möglichst lange unentdeckt bleibt (Advanced Persistent Threat). In dieser Zeit kann die passende Malware in aller Ruhe nachgeladen werden. Findige Hacker tasten sich so von Einheit zu Einheit vor, bis sie die Ebene erreicht haben, in der die sensibelsten Daten verwahrt werden oder von wo möglichst viel Kontrolle über die Unternehmens-IT haben. Um diese Tiefe zu erreichen, braucht es häufig Zeit. In einem Penetrationstest wird deshalb geprüft, wie schnell die Ausbreitung erfolgen kann und wann welche Sicherheitssysteme Alarm schlagen.

5. Auswertung

Die Ergebnisse eines Penetrationstests basieren auf ausführlicher Dokumentation aller Aktionen während des Pen Tests. Nach dem Abschluss der Testphasen 2-4 werden die Beobachtungen und Schlussfolgerungen meist in Form eines Reports zusammengestellt. Darin werden folgende Informationen präsentiert:

  1. Verwendete Angriffe und Methoden
  2. Schwachstellen/Sicherheitslücken, die erfolgreich genutzt wurden
  3. Daten, die entnommen oder gesichtet werden konnten
  4. Dauer des unentdeckten Zugriffs

Manche Penetrationstester fertigen weiterhin Handlungsempfehlungen für ihre Kunden an. 


Jetzt über DDoS-Schutz informieren


Wie finde ich einen vertrauenswürdigen Pen Tester?

Bei der Auswahl sollten Unternehmen und Organisationen mit größtem Bedacht vorgehen. Ähnlich wie bei Anbietern für die physische Sicherheit im Unternehmen, sind Erfahrung und Vertrauen bei dieser Auftragsarbeit ein wichtiger Faktor. Achten Sie besonders auf Qualifizierung und Zertifizierung bei Ihrer Auswahl. Hinzu kommt ein Vertragswerk mit klaren Service Level Agreements. Ein Vertrag sollte folgende Punkte unbedingt enthalten:

  • Prüfzeitraum
  • Prüfobjekt und -tiefe
  • Mitwirkungspflichten
  • Haftbarkeit
  • Verschwiegenheit (Non-Disclosure Agreement)
  • Gewährleistung 
  • Speicherzeit der Daten
  • Datenschutz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine Liste zertifizierter Anbieter für Penetrationstests. Bevor es keine Freigabe vonseiten des Auftraggebers gibt, darf der Test keinesfalls gestartet werden. 

Was passiert nach einem Penetrationstest?

Wichtig für das Ableiten von Aufgaben ist die richtige Betrachtungsweise: Jedes Penetration Testing ist nur eine Momentaufnahme des Zustandes der IT-Sicherheit. Wenige Tage oder Wochen später könnte ein ähnlicher Test völlig anders ablaufen. Der Grund: Ständig erscheinen neue Updates und Patches von Anbietern, die bestehende Schwachstellen absichern. Gleichzeitig tun sich neue Schwachstellen auf. 

Welche Aufgaben aus einem abgeschlossenen Pen Test folgen, ist ganz von den Ergebnissen abhängig:

  • Zugriff gescheitert: Entwarnung für die IT-Sicherheit
  • Zugriff erfolgreich: Hier kommt es auf die Details an:
    • Welche Methode führte zum Erfolg?
    • Wie lange blieb der Zugriff unbemerkt?
    • Wie tief konnte der Tester ins System eindringen?
    • Welche Daten waren betroffen?

Aus dem Report sollte eine Prioritätenliste abgeleitet werden, um Schwachstellen möglichst effizient abzubauen.

Welche Risiken birgt Security Pen Testing?

Betrüger

Das Worst Case Szenario ist, dass Unternehmen an dubiose Pen Test-Anbieter geraten, die die gewonnen Erkenntnisse für kriminelle Machenschaften nutzen. Denkbar wäre zum Beispiel das Verkaufen von Informationen zu Schwachstellen in Hacker-Foren oder das unerlaubte Entnehmen und Speichern von Daten. Umso wichtiger ist die Prüfung der Referenzen des gewählten Dienstleisters.

Pannen

Penetrationstests sollen eigentlich nicht das Geschäft lahmlegen, aber auch hier können menschliche Fehler passieren. Falsche Absprachen, schwammige Formulierungen im Auftrag oder Missverständnisse sind allesamt mögliche Szenarien, die einen Systemausfall verantworten könnten. Ein weiterer Klassiker: Wenn parallel zum Penetrationstest Wartungen des Systems laufen, kann dies den Test ganz erheblich beeinflussen. Hier sind Absprachen aller involvierten Abteilungen und externen Dienstleister (Fernwartung) also essenziell. Ausnahme: Bei Doppelblindtests ist eine unvorhergesehene Attacke gewünscht. 

Rechtliches

Beide Seiten sollten unbedingt darauf achten, den Umfang der Testziele genau zu definieren. Weiterhin muss der Auftraggeber sicherstellen, dass diese vereinbarten Ziele ausnahmslos und rechtlich trennbar Eigentum des eigenen Unternehmens sind. Wer versehentlich den Cloud-Dienst oder eine Web Application eines Drittanbieters angreift und/oder lahmlegt, könnte ernste juristische Schwierigkeiten bekommen. 

Penetrationstest ohne Einverständnis des Diensteanbieter, die in gutem Glauben durchgeführt werden, könnten strafrechtlich wie eine echte Cyberattacke gewertet werden. Bevor es an das Testdesign geht, müssen die Rechte an allen Bestandteilen geprüft werden. Dies schließt Hardware (Server), Software (Applikationen) und weitere Netzwerke (Cloud-Services und Schnittstellen) mit ein. 

Penetrationstest oder IP-Stresser?

Wer im Internet nach einem Stresstest für die eigene IT sucht, begegnet schnell so genannten IP-Stressern. Diese Dienstleister bieten gegen die Zahlung einer geringen Summe an, DDoS-Angriffe zu simulieren. Hier ist aber höchste Vorsicht geboten: Viele Betreiber agieren in einer rechtlichen Grauzone. Wenn gar nicht so genau überprüft wird, welche Domain im Auftrag beschossen wird, dann handeln Dienstleister nicht nur höchst unprofessionell, sondern begehen auch Straftaten. Ob IP-Stresser legal arbeiten oder in Wahrheit kriminelle Booter-Dienste (DDoS for hire) verschleiern, ist als Käufer oft gar nicht so einfach zu durchschauen. Websites sind mit voller Absicht professionell gestaltet und suchmaschinenoptimiert, sodass von außen ein respektables Geschäftsmodell erscheint. Leider ist dies häufig nur die polierte Eingangspforte zu einem dunklen Keller.

Penetrationstest basieren auch im Vergleich zu legalen IP-Stressern auf einer völlig anderen Idee: Anstatt einen stumpfen DDoS-Angriff zu simulieren, wird mit dem Kunden ein individueller Test gestaltet, der mehrere Ebenen und IT-Risikofaktoren umfasst. Bei DDoS-Attacken kann dies z. B. den Einsatz mehrerer unterschiedlicher Angriffstechniken über alle Layer hinweg bedeuten, während IP-Stresser meist nur reine Volumenattacken (Layer 3, 4) anbieten. Dass sich Pen Tests in einem anderen Preisrahmen bewegen, sollte Sie also nicht verunsichern.


Quellen: 

  • Ein Praxis-Leitfaden für IS-Penetrationstests, BSI, Version 1.2, November 2016
  • OWASP Web Application Penetration Checklist, OWASP Foundation, Version 1.1

Neueste Blogbeiträge

Bleiben Sie informiert über aktuelle DDoS-Reports, Warnmeldungen und Neuigkeiten zu IT-Sicherheit, Cybercrime und DDoS-Schutz.

Informiert bleiben!

Link11 Blog abonnieren mit News zum Unternehmen, IT-Security, Cybercrime

Link11GmbH​

Folgen Sie Link11 auf Twitter