In den letzten zwei Jahrzehnten hat sich die potenzielle Angriffsfläche von Unternehmen deutlich gewandelt. Mittlerweile wird intensiv in die Digitalisierung von Geschäftsprozessen investiert. Neue Produkte und Hardware werden in Netzwerke integriert, die eine permanente Verbindung zum Internet benötigen oder eine Fernverbindung zur Wartung offenhalten. Die einzelnen Anwendungen und Systeme sind miteinander vernetzt, um im Bruchteil von Sekunden Daten miteinander auszutauschen. Entsprechend häufig sind die Standardkonfigurationen dieser Hardware- und Softwareprodukte auf maximale Kompatibilität ausgelegt. Dies führt dazu, dass die Standardkonfigurationen nicht gehärtet wurden und somit angreifbar sind. Diese ungehärteten Systeme und Produkte können von Angreifern leicht missbraucht werden. Täglich werden neue Sicherheitslücken gefunden, welche die Angriffsfläche zusätzlich vergrößern. Hinzu kommt Software, die aus immer größerem Code besteht. Dabei wird vermehrt auf Softwarebibliotheken von Drittanbietern gesetzt, die keiner zusätzlichen Sicherheitsprüfung unterzogen werden. Code von Drittanbietern wird selten aktualisiert, um Kompatibilität zu gewährleisten. Webanwendungen – wie Webshops – verfügen über eine Vielzahl an externen Schnittstellen, beispielsweise ins Enterprise-Resource-Planning (ERP), zum Zahlungsdienstleister oder zur Authentifizierung über einen Drittanbieter. Auch diese zunehmende Komplexität führt zu einer größeren potentiellen Angriffsfläche.
Die zunehmende Digitalisierung stellt Unternehmen vor immer neue Herausforderungen. Wie können Sie dabei den sicheren Betrieb Ihrer Infrastruktur gewährleisten? Antwort: Mit einem Pentest! Lassen Sie Ihren Code und die Schutzmechanismen Ihres Netzwerks auf den Prüfstand stellen, bevor es ein Unbekannter tut.
Vereinbaren Sie jetzt ein unverbindliches Webmeeting mit einem unserer Cyber Security Experten
Welchen Sinn hat ein Pentest?
Ein Pentest sucht gezielt nach Schwächen in der Implementierung von Netzwerken, Anwendungen und Produkten. In standardisierten Verfahren wird Ihre Infrastruktur oder Software auf Schwachstellen untersucht, die ein Angreifer ausnutzen kann, um Schaden anzurichten.
Für Sie als Kunde minimiert die regelmäßige Durchführung von Pentests das Risiko, Opfer eines Cyberangriffs zu werden. Täglich führen professionelle Angreifer automatisierte Ransomware-Angriffe durch, mit dem Ziel, Ihre Daten zu verschlüsseln und Lösegeld zu erpressen. Darüber hinaus wird interessantes geistiges Eigentum abgezogen und an Dritte weiterverkauft. Die Größe des Unternehmens spielt dabei keine Rolle. Sie oder einer Ihrer Mitarbeiter müssen sich nur in einer kompromittierten Kontaktliste befinden und schon wird ein automatisierter Angriff gegen Ihr Unternehmen gestartet. Ein Angreifer findet immer einen Nutzen für ein übernommenes System und wenn es Teil eines größeren Botnetzes wird, um gezielte Denial-of-Service Attacken durchzuführen. Bei der Durchführung solcher Angriffe werden bestehende Fehlkonfigurationen von Windows-Umgebungen und Schwachstellen im Programmcode ausgenutzt, um die Systeme initial zu übernehmen. Von da aus arbeiten sich die Angreifer tiefer in Ihr Netzwerk vor.
Was haben Sie von einem Pentest?
Mittlerweile sind regelmäßige Pentests eine Voraussetzung für die Übernahme von Schutzgarantien von Cyber-Versicherungen. Auch der Gesetzgeber sieht regelmäßige Pentests für Betreiber kritischer Infrastruktur vor, um einen sicheren Betrieb zu gewährleisten. Werden personenbezogene Daten verarbeitet, ist deren Verlust nicht nur rufschädigend, sondern wird auf Grund der DSGVO richtig teuer. Letztendlich ist die Geschäftsführung persönlich haftbar, wenn für einen ausreichenden Schutz kritischer Daten und Informationen des Unternehmens nicht gesorgt wurde.
Nur wenn Sie Ihre Schwachstellen im Netzwerk kennen, können Sie das Erfolgsrisiko eines Angriffs minimieren. Durch einen Pentest erhalten Sie eine Übersicht über die vorhandenen Schwachstellen in ihren Netzwerken und Anwendungen. So haben Sie die Möglichkeit im nächsten Schritt die entsprechenden Lücken zu beseitigen, bevor Sie eines Tages vor ihrer verschlüsselten Infrastruktur stehen oder vom Diebstahl Ihrer Kundendaten in der Presse lesen.
Lesen Sie hierzu auch unseren Artikel Fünf gute Gründe um in einen Pentest zu investieren.
Wie läuft ein Pentest ab?
Initiales Meeting
Im ersten Gespräch werden die Anforderungen an den Pentest und dessen Umfang definiert. Soll der Test als Black- oder Whitebox-Ansatz durchgeführt werden? Wie weit dürfen die Pentests während ihrer Arbeit in das Netzwerk bzw. die Anwendung vordringen und wie sind die Kommunikationskanäle während des Projektes gestaltet. Auch der Durchführungszeitraum wird festgehalten.
Sammeln von Informationen
Mit dem Start der Testarbeiten beginnt die Phase passiver und aktiver Informationsbeschaffung. Hier werden möglichst viele Details über die anzugreifende Infrastruktur oder Anwendung des Unternehmens gesammelt. Dabei wird auf öffentlich zugängliche Quellen zurückgegriffen. Es kommen aber auch Werkzeuge wie Port- und Schwachstellen-Scanner zum Einsatz. Die Auswertung der, dadurch gewonnenen, Informationen verschafft einen Überblick über die potenzielle Angriffsfläche.
Ausnutzung von gefundenen Schwachstellen
Während der Exploitation Phase wird das System oder die Anwendung aktiv angegriffen, mit dem Ziel, einen ersten Zugang zu erhalten. Dies kann durch Ausnutzen von Schwachstellen im Programmcode, durch Knacken oder schlichtes Erraten von Passwörtern oder durch Angriffe auf Clients erfolgen.
Eskalation von Privilegien
Je nach Dienst erhält der Pentester nur begrenzten Zugang zu seinem Ziel. Viele Dienste werden mit einem Benutzer ausgeführt, der keinen Vollzugriff auf das System hat. Um die Benutzerrechte zu erweitern, werden Fehlkonfigurationen des Systems oder Fehler im Programmcode anderer Anwendungen ausgenutzt.
Die Benutzungsrechte können horizontal (Benutzer mit ähnlichen Rechten) oder vertikal (Benutzer mit höheren Rechten) erweitert werden.
Post Exploitation
Sobald Zugang zu einem System erlangt wurde, wird es analysiert und weitere Informationen werden über das Netzwerk gesammelt. Werden weitere Netzwerkbereiche identifiziert, kann der Angriff mittels Pivoting auf den neuen Netzwerkabschnitt ausgedehnt werden. Der Prozess der Informationsbeschaffung beginnt also wieder von vorn.
Im Falle eines Blackbox Webapplikation Tests kann dann häufig auf Codeabschnitte zugegriffen werden, die extern den Pentestern nicht zur Verfügung standen.
Schlussbericht
Der eigentliche Mehrwert für den Kunden ist der Abschlussbericht. Das methodische Vorgehen der Pentester und die Ergebnisse der Arbeiten werden darin aufbereitet. Der Bericht ist in mehrere Abschnitte unterteilt und enthält, neben einer groben Zusammenfassung der gefundenen Schwachstellen, auch Anweisungen, wie diese reproduziert und beseitigt werden können.
Abschließende Präsentation
Zum Ende des Projekts wird der Pentest nochmal evaluiert und die Ergebnisse werden der Geschäftsführung präsentiert. Nachfolgend werden weitere Schritte geplant, z.B. ein Remediation Test, bei dem die Beseitigung der Schwachstellen überprüft werden kann.
Red Teaming vs. Pentesting
Ein Schlagwort, das in der Offensive IT Security immer wieder die Runde macht, ist das so genannte Red Teaming. Allzu oft wird der klassische Pentest mit Red Teaming als Synonym verwendet. Eine Red Team Kampagne ist anders aufgebaut als ein Pentest. Hier werden Schwachstellen auf einer anderen Ebene identifiziert, als während eines Pentests. Ein Angriff durch ein Red Team zielt darauf ab, die Alarmierungsketten und Reaktionsprozesse eines Unternehmens auf Vorfälle zu testen. Während einer Red Teaming Kampagne wird ein Gegenspieler benötigt, das Blue Team. Das BlueTeam ist in der Regel ein spezialisiertes Team aus den IT-Abteilungen, das sich darauf konzentriert, Bedrohungen und Angreifer im eigenen Netzwerk aufzuspüren und zu eliminieren. Die Angreifer gehen so leise wie möglich vor, um es dem Blue Team so schwierig wie möglich zu machen. Dabei werden nicht alle vorhandenen Schwachstellen im Netzwerk inventarisiert und erfasst wie bei einem Pentest, sondern es wird der erfolgversprechendste Angriffspfad zum zuvor definierten Ziel gewählt. Wenn Ihr Unternehmen nicht über die nötige Infrastruktur oder das Know-how verfügt ein Blue Team bereitzustellen, ist es immer besser, einen Pentest durchzuführen als eine umfangreiche Red Team Kampagne. So haben Sie den größten Mehrwert für Ihr Unternehmen.
Was erhalten Sie mit einem Pentest von uns?
- Durch Offensive Security zertifizierte Pentester
- Eine Übersicht über tatsächlich ausnutzbare Schwachstellen in Ihrer Anwendung oder Ihrem Netzwerk
- Sie erhalten einen Nachweis, dass Sie Ihren Verpflichtungen nachgekommen sind und technische Maßnahmen zum Schutz kritischer Informationen umgesetzt und getestet haben
- Ein Netzwerk bzw. eine Anwendung, die es potenziellen Angreifern erschwert, auf sensible Daten zuzugreifen
- Schwachstellen in Ihren Systemen können beseitigt werden, bevor sie tatsächlich von Angreifern ausgenutzt werden
- Ineffiziente Schutzlösungen können eingespart und die frei werdenden Ressourcen in Maßnahmen investiert werden, die tatsächlich greifen und Ihre IT Security stärken
- Initiale Pentests decken häufig ineffektive Prozesse im IT-Management auf