IT-Systeme und Netzwerke in Unternehmen müssen sicher sein. Nur dann ist der optimale Schutz etwa von sensiblen Betriebsdaten oder Kundeninformationen vor Hackerangriffen sichergestellt. Neben permanent laufenden Security Scans ist ein sogenannter Penetrationstest in Sachen IT-Sicherheit, ein empfehlenswertes Mittel, um die Verwundbarkeit eigener Systeme gegenüber Cyber-Attacken zu prüfen. Doch wie funktioniert ein Penetrationstest, kurz Pentest, überhaupt? Welche Arten von Pentests gibt es und warum sind sie wichtig?
Kurz gesagt handelt es sich bei Pentests um simulierte Hackerangriffe auf Computersysteme, Netzwerke oder Webwendungen im Auftrag des jeweiligen Unternehmens. Hauptziel ist es, mögliche Lücken in der IT-Sicherheit auszuspähen, die es Angreifern leicht machen, einzudringen. Abschliessend berichten die Experten des beauftragten Pentesting-Unternehmens, welche Schwachstellen und Sicherheitslücken sie gefunden haben und bewerten die Sicherheitslage. Pentests gehören zu den proaktiven Sicherheitsmassnahmen, da vor einem Vorfall geprüft wird, was passieren könnte und entsprechende Massnahmen ergriffen werden, damit es gar nicht zu einem erfolgreichen Angriff kommen kann.
Schauen wir uns Pentests nun im Detail an. Denn, wenn ein Unternehmen für seine IT diese Vorkehrung treffen möchte, gilt es, diverse Punkte zu berücksichtigen.
Für Rechtssicherheit sorgen
Im Rahmen eines Pentests erhalten die beauftragten Spezialisten – oft externe IT-Sicherheitsberater oder sogenannte ethische Hacker – unter Umständen Zugriff auf sehr sensible Bereiche und Daten. Daher ist es auf jeden Fall erforderlich, dass das Unternehmen, das den Pen-Test durchführen lässt, den beauftragten Pentestern dafür offiziell die Erlaubnis gibt. Liegt keine solche Vereinbarung vor, kann der Pentest als illegaler Angriff und somit als Straftat gewertet werden. Wichtig ist auch, dass der Auftraggeber für alle Systeme, Anwendungen etc. die getestet werden, die Hoheit besitzt. Er ist auch dafür zuständig, festzustellen, für was genau das zutrifft, damit keine Systeme Dritter getestet beziehungsweise „angegriffen“ werden.
Warum Unternehmen Pentests brauchen
Bei einem Pentest geht es also darum, per fingiertem Angriff in Systemen und Computern potenzielle Schwachstellen für unerwünschte Eindringlinge zu finden. Die Vorteile für Unternehmen sind vielfältig:
- Erfolgreiche Angriffe vermeiden und Systeme up to date halten
- Ausfällen und Datendiebstählen vorbeugen
- Sowohl Schäden auf finanzieller Seite als auch für das Image verhindern
- Rechtliche Bestimmungen etwa in puncto Datenschutz oder Compliance einhalten
Vorgehen bei Pentests
Welche Arten von Pentest gibt es nun? Um die Art des Pentests genauer zu definieren, werden im Vorhinein bestimmte Vorgaben festgelegt. Dabei handelt es sich zuallererst um die Ziele: Also in welchem Bereich soll das Sicherheitsniveau im Unternehmen konkret auf die Probe gestellt werden? Häufig geht es etwa darum, angreifbare Systeme zu erkennen und Attacken oder Datendiebstähle zu versuchen. Ferner wird definiert, was genau getestet werden soll, zum Beispiel die IT-Infrastruktur (etwa Firewalls oder VPNs) oder Webanwendungen. Festgelegt wird zudem, welche Kenntnisse die Tester vorher über das jeweilige System haben. Dabei wird zwischen drei Kenntnis-Stufen unterschieden:
- Beim Black-Box-Test haben die Tester kein Vorwissen
- Beim Grey-Box-Test besitzen die Tester einige Informationen
- Beim White-Box-System wissen die Tester sowohl Details zum Unternehmen als auch zum System
Auch ob der Pentest mittels automatischer Tools oder manuell durchgeführt wird, macht einen Unterschied. Wie umfangreich ein Pentest erfolgt, hängt davon ab, wie gefährdet das jeweilige System, die Anwendung oder das Netzwerk sind
Das Ergebnis des Pentests lässt Rückschlüsse darauf zu, wie solide und robust das aktuelle Sicherheitsniveau eines Unternehmens ist und auch darauf, welche Tools, Strategien und Techniken Hacker bei einer Attacke nutzen könnten. Ein von den Pentest-Verantwortlichen angefertigtes Protokoll gibt detailliert Auskunft über alle durchgeführten Massnahmen.
Penetrationstests von Experten durchführen lassen
Ist die Entscheidung für einen Pentest gefallen, stellt sich die Frage: Wer führt Penetrationstests in der Informatik durch? Heutzutage verfügen viele Unternehmen über eigene IT-Experten. Doch besitzen die Inhouse-Experten in der Regel nicht das erforderliche Spezialwissen, um aus der Perspektive eines Angreifers das Sicherheitsniveau der eigenen Systeme ohne Betriebsblindheit kritisch zu prüfen. Daher ist es empfehlenswert für die Durchführung von Pentests externe Dienstleister zu Rate zu ziehen.
Nicht zu vergessen ist: Da Pentests etwa im Gegensatz zu permanent laufenden Security Scans nicht laufend stattfinden, stellen sie nur eine Momentaufnahme des aktuellen Sicherheitsstandes dar.
Daraus ergibt sich wiederum die Frage: Wie häufig sollte ein Unternehmen Pentests durchführen lassen? Die Antwort fällt nicht eindeutig aus. Wie häufig ein Pentest ratsam ist, hängt von der Grösse der Firma und der Branche ab. Bei Unternehmen, die sehr groß sind oder in einem gefährdeten Sektor wie der Finanzbranche oder mit vielen Kundendaten arbeiten, lohnt es sich, häufiger in einen Pentest zu investieren. Doch kleinere Unternehmen, die auf ein funktionierendes IT-System angewiesen sind – und wer ist das heute nicht? – profitieren ebenfalls von dem Gewinn an Sicherheit. Übrigens lassen auch wir bei Nevis regelmässig Pentests von einem unabhängigen Institut durchführen.
Bei der Auswahl der Pentester sollten Sie in jedem Fall eine gewisse Vorsicht walten lassen. Denn es sind auch Betrüger auf dem Markt unterwegs. Kürzlich erst berichtete die schweizerische Netzwoche über ein ausgerechnet von Hackern gegründetes Pentesting-Unternehmen.
Nach dem Pentest
Im Anschluss an den Pentest erhalten die Auftraggeber nicht nur ein Protokoll des Testings, sondern auch einen Abschlussbericht. Er sollte nicht nur Aufschluss darüber, geben, welche Sicherheitslücken ermittelt wurden, sondern auch Handlungsempfehlungen und Lösungsansätze für die erkannten Probleme liefern. Abhängig vom Pentest-Anbieter, werden die Beseitigung der Schwachstellen und Massnahmen zur Erhöhung der Sicherheit gleich mitangeboten. Darunter fallen zum Beispiel Updates, Patches oder Upgrades für genutzte Systeme. Ebenso gehören Schulungsmassnahmen für die Mitarbeiter dazu, um bei der klassischen Schwachstelle Mensch das Bewusstsein für IT-Gefahren zu stärken.