Praxisnahe Angriffe als beste Verteidigung

Penetrationstests als Kernelement von IT-Sicherheit

 

Unternehmen investieren mittlerweile große Summen in ihre IT-Sicherheit – in Cyber Security Center, Cyber-Abwehr-Lösungen oder IT-Sicherheitsprozesse. Und doch werden viele von ihnen immer noch Opfer von Angriffen, Datenraub oder Erpressungen. Denn viele prüfen während des Produktlebenszyklus nicht systematisch und nicht iterativ, ob die von ihnen ergriffenen Maßnahmen auch in der Praxis wirksam funktionieren und alle Sicherheitslücken geschlossen sind. Dies ist die Aufgabe von Penetrationstests.

Von Dennis Schröder, Technischer Leiter der Prüfstelle IS-Revision und Penetrationstests bei TÜV Informationstechnik

 

Penetrationstests sind, salopp gesagt, ein beauftragter systematischer Angriff auf die eigenen Systeme. Sie identifizieren primäre technische und sekundär organisatorische Sicherheitslücken, damit diese gezielt und wirksam geschlossen werden können. Dementsprechend vielfältig sind die Testmethoden, die unter den Begriff „Penetrationstest“ fallen. Zu ihnen gehören unter anderem die Prüfung sicherheitsrelevanter Konfigurationseinstellungen sowie physische Angriffe als auch die Durchführung von Cyber-Angriffen auf der Netzwerk-, System- und Webanwendungsebene – nicht zu vergessen die Prüfung -, von mobilen Geräten und Apps sowie von industriellen Prozess- und Steuerungssystemen.

 

Normen auf Dokumenten- und Prozessebene reichen nicht

Normen wie ISO/IEC 27001 decken nur die dokumentierte Prozessebene eines Informationssicherheits-Managementsystems (ISMS) in Unternehmen ab. Doch nur wer auch durch technische Sicherheitsuntersuchungen prüft, ob die beschriebenen Sicherheitsmaßnahmen tatsächlich wirksam umgesetzt sind und ob sie in der konkret vorhandenen Konfiguration den gewünschten Zweck erfüllen, kann Sicherheitsrisiken ausreichend reduzieren. Beispiel Firewall: Während eine ISO-Zertifizierung prüft, ob eine erforderliche Firewall-Architektur und die dazugehörigen Prozesse auf dem Papier ausreichend dokumentiert sind, stellen Penetrationstests sicher, ob das implementierte Regelwerk im Sinne der gewünschten Datenflusskontrolle zur Risikominimierung auch tatsächlich restriktiv genug ist.

Solche Prüfungen sind auch aus Gründen des Investitionsschutzes unerlässlich. So werden in vielen Unternehmen IT-Sicherheitsprodukte für zum Teil sechsstellige Summen angeschafft, die ein erfahrener Penetrationstester dann in kürzester Zeit mithilfe eines 40-Euro-Werkzeugs aus seinem Security-Tool-Set knackt.

Penetrationstests sind auch deswegen zu einem Muss geworden, da die aktuellen Technologietrends immer mehr potenzielle Sicherheitslücken schaffen – etwa die zusätzliche Vernetzung von Systemen im Zuge von Industrie 4.0 und dem Internet der Dinge. Auch über die Cloud betriebene Webanwendungen stehen derzeit besonders häufig im Fokus von Penetrationstests. Hier geht es zum einen um die Sicherheit der verwendeten mobilen Apps auf der Nutzerseite (Mobile Security) sowie die auf Anbieterseite laufenden Webanwendungen (Web Application Security). Nicht zuletzt müssen die Betreiber sogenannter „Kritischer Infrastrukturen“ (KRITIS-Unternehmen), zum Beispiel in der Energieversorgung im Zusammenhang mit dem IT-Sicherheitsgesetz, immer mehr Sicherheitsauflagen erfüllen.

 

Klassifikation von Penetrationstests

Die Ausprägungen von Penetrationstests lassen sich anhand einer Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI) wie folgt klassifizieren:

  • Informationsbasis: Wie viele Informationen liegen über das Ziel vor (Black-Box, White-Box oder doch der praxisgerechte Gray-Box-Ansatz)?
  • Aggressivität: Ist das Testvorgehen passiv scannend oder aggressiv scannend (inkl. der Ausführung von Exploits)?
  • Umfang: Steht die gesamte IT-Infrastruktur inklusiver aller Netzsegmente, Systeme und Anwendungen im Fokus oder lediglich ausgewählte Systeme und Komponenten?
  • Vorgehensweise: Sollen die Angriffe verdeckt oder offensichtlich für die verantwortlichen Stellen erfolgen?
  • Zugang: Über welche Zugangspunkte sollen die Angriffe erfolgen? Über das Internet, über das WLAN, über LAN-Zugriffe vor Ort, über verlorengegangene mobile Endgeräte oder auch durch Social Engineering?
  • Ausgangspunkt: Soll der Angriff durch einen Externen, durch einen Dienstleister oder Innentäter oder sogar in einem entsprechend abgestuften Angreifermodell simuliert werden?

 

Je nach Unternehmen und dem ausgewählten Umfang unterschieden sich die einzelnen Leistungsmodule in den genannten Kategorien. Folglich fallen die Prüfaktivitäten und -tiefe bei den zugrundeliegenden Dienstleistungen sehr unterschiedlich aus. Um möglichst qualitativ hochwertige Untersuchungsergebnisse zu erzielen, sollten neben automatisierten Prüfmethoden und Tools stets auch manuelle Analysen erfolgen.

 

Neue Angriffsflächen durch Industrie 4.0

Besonders im industriellen Umfeld steigt die Vernetzung im Zuge von Industrie 4.0 derzeit stark an. Doch zugleich steckt das Sicherheitsniveau von Automatisierungs- und Steuerungssystemen industrieller Anlagen (Industrial Control Systems, ICS) noch in den Kinderschuhen. So verwundert es nicht, dass Betreiber nach wie vor auf physische und organisatorische Sicherheitsmaßnahmen setzen und sich technisch wirksame Sicherheitsmaßnahmen etwa zur Datenflusskontrolle und kontinuierlichen Systemhärtung nur langsam etablieren.

 

Vor dem Sicherheitstest ist nach dem Test

Da IT-Infrastrukturen alles andere als statisch sind und zunehmend agiler werden, gilt: Nach dem Penetrationstest ist vor dem Penetrationstest. Und zwar in dreierlei Hinsicht: Zum einen sollte ein Re-Test überprüfen, ob die nach einem Penetrationstest durchgeführten Optimierungs- und Abwehrmaßnahmen wirksam greifen. Zum zweiten machen es neue Feature Releases und zugrundeliegende Servermigrationen ohnehin notwendig, Penetrationstests in regelmäßigen Abständen zu wiederholen. Drittens werden fortlaufend neue Sicherheitsschwachstellen in Produkten und Protokollen bekannt, sodass sich ständig die Frage stellt, ob und inwieweit die eigene Infrastruktur betroffen ist. In Organisationen mit erhöhtem Schutzbedarf bzw. erhöhtem Bedrohungspotenzial sollte der Turnus von Penetrationstests kürzer getaktet sein als in anderen Firmen.

Penetrationstests sollten – wie andere Sicherheitsmaßnahmen – Teil eines standardisierten und flexiblen Verfahrens sein, das eine ganzheitliche Sicherheitsbetrachtung ermöglicht. Ein Beispiel dafür ist das von TÜV Informationstechnik entwickelte Best Practice-Evaluierungsverfahren – die sicherheitstechnische Qualifizierung (SQ), die branchenübergreifend sowohl für Betreiber von IT-Systemen (Trusted Site Security, TSS) als auch Hersteller von IT-Produkten (Trusted Product Security, TPS) anwendbar ist. Das Verfahren bietet eine wesentlich höhere Flexibilität als das reine Abarbeiten von Checklisten auf der Prozess- und Dokumentenebene und setzt die Durchführung von Penetrationstests zur Bestätigung der individuellen Sicherheitsanforderungen voraus. Dadurch kann es vom relativ einfachen Einzelprodukt bis hin zu hochkomplex vernetzten Systemen branchenübergreifend für sehr unterschiedliche Anwendungsfälle verwendet werden.

 

Mehr Informationen zu Durchführung und Nutzen von Penetrationstests bietet eine ausführliche Leistungsbeschreibung der TÜV Informationstechnik. Hier geht’s zum kostenlosen Download.