100% Sicherheit kann es nur geben, wenn PC’s nicht miteinander vernetzt sind, es keine Schnittstellen nach aussen gibt (Datenträger, USB-Schnittstellen usw.), und kein Personal Zugang zu den Systemen hat. In der Praxis ist das natürlich nicht umsetzbar. IT-Systeme kommunizieren immer untereinander und Anwendungen verlangen Benutzereingaben, Systeme sind mit dem Internet verbunden, empfangen und verschicken Daten und Mitarbeiter surfen im Internet. Die Bedrohungslage verschärft sich dabei von Tag zu Tag, denn kriminelle haben vor allem das Know-How deutscher Anwender und Unternehmen im Visier. Sei es, um unbemerkt in Systeme einzudringen, um diese für eigene kriminelle Aktivitäten zu nutzen, um gezielt Daten abzugreifen bzw. für Know-How Abfluss und damit zur Schwächung des Unternehmens (oder ganzer Wirtschaftszweige) zu sorgen, oder einfach um die Systeme lahmzulegen, die Gründe sind vielfältig. Der dabei entstehende monetäre Schaden und der Imageverlust gefährden massiv die Existenz eines Unternehmens.
Kein noch so guter Administrator arbeitet absolut fehlerfrei, und ein kleiner Fehler kann ein ganzes Sicherheitskonzept ins Wanken bringen. Leider wird die kritische Prüfung der operativen Sicherheit oft verdrängt, man hofft also, dass “die Deiche halten”.
Durch eine fundierte Sicherheitsanalyse können Schwachstellen in IT-Systemen erkannt und beseitigt werden, bevor diese von Hackern und Angreifern ausgenutzt werden.
Gründe für einen Penetrationstest:
- Vorbeugung vor Einbruch, Spionage, Sabotage, Missbrauch, Diebstahl
- Sicherstellen der Datenverfügbarkeit
- Aufdecken von Schwachstellen
- Überprüfung des eigenen Risikomanagements
Bei einer Sicherheitsanalyse wird unterschieden:
- Prüfung der Regelkonformität (Compliance Test)
Bei diesem Test prüfen wir die Einhaltung (und das Vorhandensein) der bereits im Unternehmen vorhandenen Datensicherheitsregeln und der technischen und organisatorischen Maßnahmen sowie gesetzlicher Vorgaben. - Schwachstellenprüfung (Vulnerability Assessment)
Mit diesem Test ermitteln wir durch automatisierte Schwachstellenanalyse mittels Vulnerability-Scannern die potentielle Anfälligkeit von Systemen und Software. Da bei diesem Test keinerlei “Eigenenergie”, (also sozusagen Kriminelle Energie) angewandt wird, werden umfangreiche Informationen seitens der Geschäftsleitung bzw. der IT-Abteilung vorausgesetzt. - Penetrationstest (Manuelle Prüfung und Angriffe)
Ein Penetrationstest ist ein auftragsgesteuerter Einbruch in die IT-Systeme eines Unternehmens. Hierbei wird versucht, durch Informationsgewinnung und Ausnutzen von Schwachstellen in die IT-Systeme des Auftraggebers einzudringen, um den Sicherheitszustand des Unternehmens bzw. der IT Systeme festzustellen.
Dabei sind mehrere Szenarien möglich:- „Whitebox-Test“: Hierbei entfällt die Informationsphase. Der “Angreifer” erhält von der Unternehmensleitung Informationen zur Unternehmens- und IT-Strukur, und konzentriert sich auschließlich auf den technischen Angriff. Dabei kann das Personal vorab über das Vorhaben informiert werden (Tandem Test) , oder nicht in Kenntnis gesetzt werden, um auch die Reaktion des Personals auf den Angriffsversuch zu testen. (Reversal Test)
- „Blackbox-Test“: Bei diesem Angriffs-Szenario erhhält der Angreifer im Vorfeld keinerlei Informationen über das anzugreifende Ziel. Die Informationsbeschaffung steht also im Vordergrund. Ist das Personal vorab informiert, spricht man von einem “Blind-Test”. Bei einem “Double-Blind-Test” werden die Mitarbeiter in die Informationsbeschaffung mit einbezogen, es wird also auch die Verschwiegenheit des Personals getestet, in dem versucht wird, das Personal dazu zu bringen, in einer bestimmten Weise zu handeln oder Informationen preiszugeben. (Social Engineering)
- „Greybox-Test“: Der Angreifer hat bei diesem Test-Szenario die gleichen Benutzerrechte und Kenntnis über die IT-Systeme wie ein regulärer Mitarbeiter des Unternehmens. Ausgangspunkte eines Angriffs befinden sich sowohl innerhalb des Unternehmens, als auch Ausserhalb über bereitgestellte Schnittstellen wie Web-Portale, Einwahlverbindungen etc.
Welche Testmethode für Ihr Unternehmen die richtige ist, wird in einem ersten Kick-off Meeting besprochen, bei dem auch der genaue Umfang des Tests definiert wird. Nach Durchführung des Tests erhält das Unternehmen eine detaillierte Dokumentation über den Testverlauf und es werden die möglichen Maßnahmen zur Beseitigung der Schwachstellen besprochen. Danach empfiehlt sich ein Re-Test, um die Wirksamkeit der umgesetzten Maßnahmen zu überprüfen.