Pentest

  • Fabian Sinner
  • November 7, 2023

Inhaltsverzeichnis

    Pentest

    Pentest: Wie funktioniert das?

    Ein Penetrationstest oder kurz Pentest ist im Bereich der IT-Security eine erwünschte, in Auftrag gegebene Prüfung auf Schwachstellen der IT-Infrastruktur. Damit stellt er das Gegenstück zu einem kriminellen Hack dar.

    Wofür benötigt es einen Pentest?

    Jeder unbefugte Eingriff wird in der Fachsprache als Penetration bezeichnet. Eine Pentest hat demnach die Aufgabe, das System (Netzwerk, Server, Computer) des Auftraggebers auf mögliche Schwachstellen zu untersuchen und einen unbefugten Zugriff zu simulieren.

    Vor allem der Zugriff auf sensible Daten gilt hier als kritisch. Ziel des Tests ist es, das Risiko von Cyber-Attacken durch neue Kenntnisse zu minimieren. Das Ergebnis der Testung gibt Aufschluss über Mängel in der IT-Sicherheit. Die Beseitigung dieser Mängel ist allerdings nicht Teil des Penetration Testings, sondern obliegt in der Regel dem auftraggebenden Unternehmen.

    Der Umfang und die Tiefe eines professionellen von IT-Experten bei der Durchführung eines Penetrationstests kann je nach Unternehmen sehr unterschiedlich aussehen. Typische Testbereiche sind Sicherheitsbarrieren wie eine Web Application Firewall, web-basierte Applications, Container, deren Schnittstellen (API) und Server. Durch intensive Angriffsversuche werden Konfigurationsfehler und Schwachstellen sichtbar gemacht.

    Ähnliche Begriffe für Penetration Testing

    Penetrationstests sind abzugrenzen von ähnlichen Begriffen aus dem Bereich der IT-Sicherheit:

    • Vulnerability Scans: automatische Tests ohne individuelle Anpassung
    • Security Scans: automatischer Test, Testergebnisse werden manuell verifiziert, aber es gibt kein einheitliches Schema

    Was wird bei einem Pentest überprüft?

    Pentests können für viele IT-Anwendungen durchgeführt werden:

    • Datenbankserver, Webserver, Mailserver, Fileserver, weitere Speichersysteme
    • Paketfilter, Virencanner, Firewalls
    • Web Applications, Container
    • Netzkoppelelemete wie Router, Gateways, Switches
    • Telefonanlagen, Drahtlos-Netzwerke (WLAN, Bluetooth)
    • Clients
    • Gebäudesicherheitssysteme, Gebäudesteuerung

    Einen Leitfaden im Bereich der Web Applicationen bietet die gemeinnützige OWASP Foundation.

    Welche Arten von Pentests gibt es?

    Interner Pentest

    Diese Art von Penetrationstest analysiert, was passiert, wenn Mitarbeiterdaten geklaut werden oder ein so genannter Inside Job verübt wird. Der Test unterstellt also einen Angriff mithilfe von Daten, die Mitarbeitern zur Verfügung stehen.

    Externer Pentest

    Dies ist das klassische Testmodell. Hier wird ein Angriff von Hackern simuliert, die vorab keinen Zugriff auf Nutzerzugänge hatten, sondern nur via Internet Zugriff auf die Website des Unternehmens und die verwendeten Systeme haben. Auch gezielte Überlastungen der Außenanbindung durch DDoS-Attacken zählen dazu.

    Blindtests

    Diese Methode erfordert keine exakten Absprachen. Der Dienstleister erhält den Namen und das Einverständnis des Unternehmens, aber keinen weiteren Input. So können die IT-Sicherheitsexperten in Echtzeit auf Zugriffsversuche reagieren, ohne die Vorgehensweise der Penetrationstester vorher genau zu kennen. Dieses Model eignet sich zum Beispiel, um eine objektive Einschätzung der eignen IT-Sicherheit von einem Dritten mit Expertise zu erhalten.

    Eine weitere Variante ist der Doppelblindtest. Der Unterschied zum Blindtest besteht darin, dass auch die verantwortlichen IT-Fachleute im Unternehmen nicht informiert sind. Dadurch kann unter echten Bedingungen die Reaktionsfähigkeit des Teams oder z. B. die Ausführung eines Incident Response Plans geübt und evaluiert werden.

    Wie läuft ein Penetrationstest ab?

    Jeder Dienstleister hat vermutlich sein eigenes Prozedere, allerdings gibt es typische Phasen und Frameworks, die in der Branche verwendet werden. Hier finden Sie einen ausführlichen Leitfaden das Bundesamts für Sicherheit in der Informationstechnik.

    1. Methodik und Design eines Pentests

    In der ersten Phase wird der Pentest entworfen – und zwar speziell für den individuellen Kunden.

    • Einführung: Dienstleister verschaffen sich ersten Überblick
    • Umfang: Welche Systeme sollen getestet werden?
    • Methodik: Welche Techniken und Tools sollen für den Penetrationstest genutzt werden?
    • Ziele: Welche Ergebnisse soll der Pen Test liefern?

    Aus allen Informationen wird das Design des Tests entwickelt. Das BSI bietet ein Schema, um sechs wichtige Testkriterien genauer zu klassifizieren. Dazu gehören: Aggressivität, Umfang, Informationsbasis, Vorgehensweise, Technik und Ausgangspunkt.

    2. Scans

    In dieser Phase startet die Suche nach einer oder mehreren Schwachstellen, die einen Zugriff ermöglichen. Eine genaue Dokumentation des Vorgehens ist hier besonders wichtig. Auf Ebene der einzelnen Anwendungen wird der Code beobachtet.

    3. Zugriff

    In der dritten Phase eines Pentests werden die Systeme mit allem beschossen, was im Testdesign festgelegt wurde. Das gesetzte Ziel ist es nun, über die gefundenen Schwachstellen Zugriff zu erhalten. Mögliche Attacken sind z. B.:

    • XSS (Cross-Site-Scripting)
    • Injection
    • Backdoors und Rootkits
    • DDoS-Angriffe

    Wenn der Zugriff gelungen ist, hat der Test die Aufgabe, alle Möglichkeiten einer Penetration zu sondieren. Denn genauso würden Cyberkriminelle vorgehen.

    • Welche Bereiche sind durch den Zugriff verwundbar geworden?
    • Welche Daten können entnommen oder manipuliert werden?
    • Wie lange bleibt ein solcher Angriff unbemerkt?
    • Auf welche weiteren Netzwerk-Systeme kann der Zugang ausgeweitet werden?

    4. Persistenztest

    In diesem Stadium soll überprüft werden, ob der Zugriff dauerhaft (persistent) aufrechterhalten werden kann. Das Ziel der meisten Cyber-Attacken ist es, einen Zugang zu erlangen, der möglichst lange unentdeckt bleibt (Advanced Persistent Threat).

    In dieser Zeit kann die passende Malware in aller Ruhe nachgeladen werden. Findige Hacker tasten sich so von Einheit zu Einheit vor, bis sie die Ebene erreicht haben, in der die sensibelsten Daten verwahrt werden oder von wo möglichst viel Kontrolle über die Unternehmens-IT haben.

    Um diese Tiefe zu erreichen, braucht es häufig Zeit. In einem Penetrationstest wird deshalb geprüft, wie schnell die Ausbreitung erfolgen kann und wann welche Sicherheitssysteme Alarm schlagen.

    5. Pentest-Auswertung

    Die Ergebnisse basieren auf ausführlicher Dokumentation aller Aktionen während des Checks. Nach dem Abschluss der Testphasen 2-4 werden die Beobachtungen und Schlussfolgerungen meist in Form eines Reports zusammengestellt. Darin werden folgende Informationen präsentiert:

    1. Verwendete Angriffe und Methoden
    2. Schwachstellen/Sicherheitslücken, die erfolgreich genutzt wurden
    3. Daten, die entnommen oder gesichtet werden konnten
    4. Dauer des unentdeckten Zugriffs

    Manche Pentester fertigen weiterhin Handlungsempfehlungen für ihre Kunden an.

    Jetzt über DDoS-Schutz informieren

    Wie finde ich einen vertrauenswürdigen Pentester?

    Bei der Auswahl sollten Unternehmen und Organisationen mit größtem Bedacht vorgehen. Ähnlich wie bei Anbietern für die physische Sicherheit im Unternehmen, sind Erfahrung und Vertrauen bei dieser Auftragsarbeit ein wichtiger Faktor.

    Achten Sie besonders auf Qualifizierung und Zertifizierung bei Ihrer Auswahl. Hinzu kommt ein Vertragswerk mit klaren Service Level Agreements. Ein Vertrag sollte folgende Punkte unbedingt enthalten:

    • Prüfzeitraum
    • Prüfobjekt und -tiefe
    • Mitwirkungspflichten
    • Haftbarkeit
    • Verschwiegenheit (Non-Disclosure Agreement)
    • Gewährleistung
    • Speicherzeit der Daten
    • Datenschutz

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine Liste zertifizierter Anbieter für Penetrationstests. Bevor es keine Freigabe vonseiten des Auftraggebers gibt, darf der Test keinesfalls gestartet werden.

    Was passiert nach einem Penetrationstest?

    Wichtig für das Ableiten von Aufgaben ist die richtige Betrachtungsweise: Jedes Penetration Testing ist nur eine Momentaufnahme des Zustandes der IT-Sicherheit. Wenige Tage oder Wochen später könnte ein ähnlicher Test völlig anders ablaufen.

    Der Grund: Ständig erscheinen neue Updates und Patches von Anbietern, die bestehende Schwachstellen absichern. Gleichzeitig tun sich neue Schwachstellen auf.

    Welche Aufgaben aus einem abgeschlossenen Pentest folgen, ist ganz von den Ergebnissen abhängig:

    • Zugriff gescheitert: Entwarnung für die IT-Sicherheit
    • Zugriff erfolgreich: Hier kommt es auf die Details an:
      • Welche Methode führte zum Erfolg?
      • Wie lange blieb der Zugriff unbemerkt?
      • Wie tief konnte der Tester ins System eindringen?
      • Welche Daten waren betroffen?

    Aus dem Report sollte eine Prioritätenliste abgeleitet werden, um Schwachstellen möglichst effizient abzubauen.

    Welche Risiken birgt ein Pentest?

    Betrüger beim Penetration Testing

    Das Worst Case Szenario ist, dass Unternehmen an dubiose Anbieter geraten, die die gewonnen Erkenntnisse für kriminelle Machenschaften nutzen. Denkbar wäre zum Beispiel das Verkaufen von Informationen zu Schwachstellen in Hacker-Foren oder das unerlaubte Entnehmen und Speichern von Daten. Umso wichtiger ist die Prüfung der Referenzen des gewählten Dienstleisters.

    Pentest-Pannen

    Ein Pentest sollte eigentlich nicht das Geschäft lahmlegen, aber auch hier können menschliche Fehler passieren. Falsche Absprachen, schwammige Formulierungen im Auftrag oder Missverständnisse sind allesamt mögliche Szenarien, die einen Systemausfall verantworten könnten.

    Ein weiterer Klassiker: Wenn parallel zum Test Wartungen des Systems laufen, kann dies das Ergebnis ganz erheblich beeinflussen. Hier sind Absprachen aller involvierten Abteilungen und externen Dienstleister (Fernwartung) also essenziell. Ausnahme: Bei Doppelblindtests ist eine unvorhergesehene Attacke gewünscht.

    Rechtliches

    Beide Seiten sollten unbedingt darauf achten, den Umfang der Testziele genau zu definieren. Weiterhin muss der Auftraggeber sicherstellen, dass diese vereinbarten Ziele ausnahmslos und rechtlich trennbar Eigentum des eigenen Unternehmens sind. Wer versehentlich den Cloud-Dienst oder eine Web Application eines Drittanbieters angreift und/oder lahmlegt, könnte ernste juristische Schwierigkeiten bekommen.

    Ein Penetrationstest ohne Einverständnis des Diensteanbieter, der in gutem Glauben durchgeführt wird, könnten strafrechtlich wie eine echte Cyberattacke gewertet werden. Bevor es an das Testdesign geht, müssen die Rechte an allen Bestandteilen geprüft werden. Dies schließt Hardware (Server), Software (Applikationen) und weitere Netzwerke (Cloud-Services und Schnittstellen) mit ein.

    Penetration Testing oder IP-Stresser?

    Wer im Internet nach einem Stresstest für die eigene IT sucht, begegnet schnell so genannten IP-Stressern. Diese Dienstleister bieten gegen die Zahlung einer geringen Summe an, DDoS-Angriffe zu simulieren.

    Hier ist aber höchste Vorsicht geboten: Viele Betreiber agieren in einer rechtlichen Grauzone. Wenn gar nicht so genau überprüft wird, welche Domain im Auftrag beschossen wird, dann handeln Dienstleister nicht nur höchst unprofessionell, sondern begehen auch Straftaten. Ob IP-Stresser legal arbeiten oder in Wahrheit kriminelle Booter-Dienste (DDoS for hire) verschleiern, ist als Käufer oft gar nicht so einfach zu durchschauen.

    Websites sind mit voller Absicht professionell gestaltet und suchmaschinenoptimiert, sodass von außen ein respektables Geschäftsmodell erscheint. Leider ist dies häufig nur die polierte Eingangspforte zu einem dunklen Keller.

    Ein Penetrationstest basiert auch im Vergleich zu legalen IP-Stressern auf einer völlig anderen Idee: Anstatt einen stumpfen DDoS-Angriff zu simulieren, wird mit dem Kunden ein individueller Pentest gestaltet, der mehrere Ebenen und IT-Risikofaktoren umfasst.

    Bei DDoS-Attacken kann dies z. B. den Einsatz mehrerer unterschiedlicher Angriffstechniken über alle Layer hinweg bedeuten, während IP-Stresser meist nur reine Volumenattacken (Layer 3, 4) anbieten. Dass sich Pentests in einem anderen Preisrahmen bewegen, sollte Sie also nicht verunsichern.


    Quellen:

    • Ein Praxis-Leitfaden für IS-Penetrationstests, BSI, Version 1.2, November 2016
    • OWASP Web Application Penetration Checklist, OWASP Foundation, Version 1.1
    it-sa Expo & Congress – 10. – 12.10.2023 Nürnberg
    X