Ohne Penetrationstests erkennen Sie Lücken und Schwachstellen in Ihrer Cyberverteidigung erst, wenn es zu spät ist. Ein Penetrationstest ist im Grunde ein simulierter Cyberangriff, bei dem ein internes Team oder ein Partner als Hacker auftritt und versucht, in Ihre Systeme, Daten oder Netzwerke einzudringen.
Penetrationstests sind schnell zu einem Standardverfahren für Informations- und Datensicherheitsteams in den meisten Branchen geworden, sowohl im privaten als auch im öffentlichen Sektor. Wenn Sie im Rahmen Ihrer Cyberverteidigung noch keine regelmäßigen Penetrationstests durchführen, sollten Sie sich jetzt darüber informieren und mit der Planung.
Hier geben wir Ihnen einen Überblick über Pentests, wie sie funktionieren und wie der Prozess normalerweise aussieht. Außerdem bieten wir eine Entscheidungshilfe darüber, welche Methodik für Ihr Unternehmen am besten geeignet ist und welche Penetrationstest-Tools Ihnen möglicherweise zur Verfügung stehen.
Ein Penetrationstest (kurz Pentest) ist eine Simulation eines Cyberangriffs, die dazu dient, potenzielle Schwachstellen zu entdecken und zu überprüfen, bevor sie von echten Angreifern ausgenutzt werden können. Bei Penetrationstests versucht man, in möglichst viele Endpoints oder Anwendungen einzudringen, von APIs bis hin zu Backend-Servern.
Pentests fallen in die Kategorie der so genannten „ethischen Angriffe“, bei denen kein tatsächlicher Schaden angerichtet wird und der Hack vielmehr der Cybersecurity des Unternehmens dient. So könnte beispielsweise ein Malware-Penetrationstest mit einem Phishing-Angriff auf einen arglosen Mitarbeiter beginnen. Hierbei wird jedoch kein bösartiger Code freigesetzt, falls die Person auf einen Link klickt oder die Datei herunterlädt.
Nach Abschluss eines Pentests überprüfen die Infosec- und Managementteams die Ergebnisse und entwickeln einen Plan zur Verbesserung der Cyberverteidigung und zur Behebung von Schwachstellen. Dies erfolgt auf der Grundlage jeglicher Erfolge des simulierten Angriffs.
Unabhängig davon, für welche Penetrationstests Sie sich entscheiden, sind meist ähnliche Parteien und Elemente beteiligt. Hier finden Sie die wichtigsten Bestandteile von Pentests, die beteiligten Personen und ihre jeweiligen Aufgaben:
An Pentests können auch andere Parteien beteiligt sein, aber dies sind die wichtigsten Gruppen, die Sie einbeziehen müssen.
Penetrationstests dienen in erster Linie dazu, potenzielle Schwachstellen auszunutzen, bevor echte Hacker es tun. Regelmäßige ethische Hacks bietet außerdem zahlreiche Vorteile. Hier sind die wichtigsten Gründe für Penetrationstests:
Penetrationstests bieten noch weitere, kleinere Vorteile, die in der Wertschöpfungskette nachgelagert sind. Die Hauptgründe, aus denen regelmäßige Penetrationstests für jedes Unternehmen so wichtig sind, haben wir nun jedoch aufgezählt.
Nun wissen Sie, was Pentests sind und wozu sie gut sind. Werfen wir jetzt einen Blick auf die spezifischen Arten von und Methoden für Penetrationstests.
Bei dieser Penetrationstestvariante führen die Angreifer den Test von innerhalb des internen Netzwerks eines Unternehmens durch. Solche Pentests sind besonders geeignet, um den potenziellen Schaden durch Insider-Bedrohungen festzustellen. Ganz gleich, ob es sich um einen verärgerten Mitarbeiter oder ein argloses Phishing-Opfer handelt – interne Pentests sind äußerst nützlich und gängig und sollten Teil Ihrer regelmäßigen Testroutine sein.
Eine weitere wichtige Methode für Pentests sind externe Tests, bei denen ein Angriff von außen auf Ihre Server, Netzwerke und Firewalls simuliert wird. Externe Pentests dienen dazu, Ihre Cyberverteidigungsmaßnahmen auf die Probe zu stellen. Das Red Team führt den Angriff in der Regel von einem Remote-Standort außerhalb Ihres Bürogebäudes aus, etwa aus einem anderen Büro oder einem in der Nähe geparkten Transporter. Externe Tests zielen in der Regel auf Server oder Webanwendungen ab, um Daten zu extrahieren oder Systeme für einen Ransomware-Angriff zu deaktivieren.
Bei einem so genannten Doppelblind-Pentest weiß praktisch niemand im Unternehmen, dass der Pentest durchgeführt wird. Das gilt auch für die IT- und Sicherheitsexperten, die für die Reaktion zuständig sind. Verdeckte Pentests können von der Geschäftsleitung oder von Unternehmensabteilungen organisiert werden, um ein möglichst genaues Bild der Effektivität der Cyberverteidigung zu erhalten. Es ist aber auch wichtig, den Umfang vorab festzulegen und einen schriftlichen Vertrag mit dem ethischen Hacker zu schließen, um mögliche Probleme mit der Strafverfolgung zu vermeiden.
In diesem Fall arbeiten sowohl die Angreifer als auch das interne Sicherheitspersonal während des gesamten Prozesses zusammen und halten einander über ihre Aktionen auf dem Laufenden. Gezielte Tests sind eine hervorragende Methode, um den Sicherheitsteams Echtzeit-Feedback aus der Sicht eines potenziellen Hackers zu bieten. Unternehmen können sich bei solchen Pentests auch auf spezifische Aspekte der Cyberverteidigung konzentrieren, etwa auf Firewalls oder Cloud-Sicherheit. Da ethische Hacker und interne Mitarbeiter während des gesamten Hacks miteinander kommunizieren, können bestimmte Aspekte der Cybersicherheit effektiver abgestimmt werden als bei einem allgemeinen internen oder externen Test.
Im Allgemeinen kann der Pentest-Prozess in die folgenden fünf Phasen unterteilt werden:
Als Erstes sollten Sie den Umfang und die Ziele Ihres Pentests festlegen. Welche Systeme möchten Sie testen? Gibt es bestimmte Schwachstellen, die Sie beheben wollen? Und welche Methoden möchten Sie einsetzen? Sammeln Sie alle erforderlichen Informationen darüber, worauf Sie abzielen möchten, und erkunden Sie unter diesem Gesichtspunkt Ihre Systeme, damit die ethischen Hacker ihre Arbeit möglichst effektiv erledigen können.
Als Nächstes müssen Sie verstehen, wie Ihre Zielsysteme und -anwendungen wahrscheinlich auf unterschiedliche Hacking-Versuche reagieren werden. Mit einem statischen Analysescan können Sie den Code einer Anwendung in einem einzigen Durchgang untersuchen und abschätzen, wie sie sich während der Ausführung verhält. Sie können auch dynamische Scans durchführen, die eine bessere Echtzeitansicht der Anwendungsleistung bieten und auch praktischer sind als statische Analysen.
Und hier beginnt die tatsächliche Angriffssimulation. Das Red Team führt einen Angriff auf eine Webanwendung, per Social Engineering oder anderweitig durch, um Zugriff auf Ihre Systeme zu erhalten. In der Regel werden dafür Taktiken wie SQL-Injektion und Phishing eingesetzt. Das Red Team wird weiterhin vieles tun, um Berechtigungen zu eskalieren, Daten zu stehlen, den Datenverkehr abzufangen oder andere Aktivitäten durchzuführen, die als Türöffner für potenzielles Schadverhalten dienen können.
Das nächste Ziel der ethischen Hacker besteht darin, eine dauerhafte Präsenz im erfolgreich kompromittierten System zu erreichen. Wie ein echter Hacker wollen sie sich lange genug Zugang verschaffen, um ihre Ziele zu erreichen – sei es Datendiebstahl, das Einschleusen von Malware oder die Deaktivierung von Systemen. Das dient dazu, Advanced Persistent Threats nachzuahmen, die innerhalb eines Systems für Tage, Wochen oder sogar Monate bestehen können, um die kritischen Daten und Systeme eines Unternehmens zu kompromittieren.
Nach Abschluss des eigentlichen Penetrationstests werden die Ergebnisse in einem detaillierten Bericht zusammengefasst, der von Führungskräften, Infosec-Teams und anderen zuständigen Personen analysiert wird. Ihre Analyse umfasst in der Regel die genauen Schwachstellen, die ausgenutzt wurden, auf welche sensiblen Daten ggf. zugegriffen wurde und wie genau kritische Systeme betroffen waren. Die nachträgliche Pentest-Analyse untersucht auch, wie lange Hacker unbemerkt in Systemen bleiben und sich darin bewegen konnten.
Nach Abschluss der Analyse wird auf der Grundlage der entdeckten und ausgenutzten Schwachstellen ein Plan für ihre Behebung entwickelt und umgesetzt. Unternehmen können dann Maßnahmen ergreifen, um diese Lücken zu beheben, beispielsweise über eine Neukonfiguration der Firewall-Einstellungen oder die Implementierung einer datenzentrierten Lösung zur Bedrohungserkennung.
Um sicherzustellen, dass Ihre Pentests die richtigen Ziele erreichen und Schwachstellen finden, können Sie diese verschiedenen Pentests nutzen, die sich jeweils auf bestimmte Bereiche der IT-Infrastruktur konzentrieren:
Bei dieser Art von Test werden die allgemeine Sicherheit und die potenziellen Risiken Ihrer Webanwendungen untersucht. Das umfasst beispielsweise Injektionsschwachstellen, fehlerhafte Authentifizierungs- oder Autorisierungsverfahren und Programmierfehler.
Dieser Test konzentriert sich auf die Netzwerksicherheit, indem Schwachstellen in verschiedenen Arten von Netzen und zugehörigen Geräten gefunden und ausgenutzt werden. Ziel ist es, Sicherheitslücken wie schwache Passwörter oder falsch konfigurierte Assets auszunutzen, um dem Red Team Zugriff auf wichtige Systeme oder Daten zu verschaffen.
Beim Social Engineering werden Leute getäuscht, um so Zugang zu erhalten oder sich Informationen für böswillige Zwecke zu verschaffen. Phishing ist der gängigste Social-Engineering-Pentest. Hier überprüfen ethische Hacker mit betrügerischen E-Mails das Phishing-Bewusstsein von Personal und Angestellten.
Hierbei arbeiten Sicherheitsteams mit Drittanbietern und Cloud-Anbietern zusammen, um eine Cloud-spezifische Angriffssimulation durchzuführen. Cloud-Pentests validieren die Sicherheit Ihrer Cloud-Bereitstellung und ermitteln das Gesamtrisiko und die Wahrscheinlichkeit, dass gefundene Schwachstellen ausgenutzt werden.
Es gibt eine Fülle gängiger elektronischer Penetrationstest-Tools auf dem Markt. Ein erfahrener Pentesting-Partner kann Ihnen bei der Auswahl des richtigen Stacks für Ihr Unternehmen helfen. Hier sind die besten Tools, die Sie in Erwägung ziehen können:
Diese Tools decken die meisten wichtigen Bereiche wie Scannen, Analysen und Schwachstellentests ab. Eine umfassendere Liste finden Sie in den empfohlenen Penetrationstest-Tools.
Sowohl interne Mitarbeiter des Unternehmens als auch externe Partner. Penetrationstest-Angriffssimulationen werden von so genannten Red Teams durchgeführt: ethischen Hackern, die in die Systeme eindringen sollen. Die Verteidigungsmitarbeiter bzw. Blue Teams verteidigen sich dann gegen den Angriff, ganz wie im Ernstfall.
Nach dem erfolgreichen Abschluss teilt der ethische Hacker seine Erkenntnisse mit dem Sicherheitsteam des Zielunternehmens. Diese Informationen werden dann für Sicherheitsoptimierungen verwendet, um Schwachstellen zu beheben, die während des Tests entdeckt wurden.
Zur Aufdeckung von Schwachstellen. Die Exploits in Pentests sind so konzipiert, dass sie keinen wirklichen Schaden anrichten oder Systeme gefährden. Unternehmen können bestimmte Exploits wie Phishing oder SQL-Injektion, die sie als hohes Risiko einstufen, zur Bewertung ihrer Cybersicherheitslage verwenden.
Fast jedes Unternehmen sollte Penetrationstests als unbedingt erforderliche und kontinuierliche Cybersecurity-Aktivität betrachten. Die enge Zusammenarbeit mit einem Penetrationstest-Partner wie Varonis hilft Ihnen, den Prozess zu rationalisieren, Schwachstellen effizient zu ermitteln und Technologien zur Risikominderung zu implementieren. Dadurch sind mögliche Sicherheitslücken bereits geschlossen, wenn Hacker versuchen, sich Zugang zu Ihren Systemen zu verschaffen.