Penetration Testing ist die manuelle Überprüfung von Schwachstellen in IT-Systemen. Bei einem Audit werden Sicherheitslücken gemeldet und damit ist der Test beendet. Bei einem Penetration Test werden gefundene Schwachstellen auch ausgenutzt, um ein realistisches Bild der Sicherheit des Unternehmens zu generieren.
Moderne Gefahren
Durch die zunehmende Digitalisierung und Vernetzung von verschiedensten Menschen, Geräten und Netzwerken entstehen immer neue, digitale Angriffsvektoren. Durch die zunehmende Inwertsetzung von digitalen Produkten und Informationen steigt dementsprechend auch die Schadenssumme in die Höhe.
Unternehmen und Organisationen haben zudem häufig mit Reputationsschäden nach einem erfolgreichen Angriff zu kämpfen. Und die Angreifer attackieren heute verschiedenste Systeme und Unternehmen. Microsoft wurde beispielsweise kürzlich angegriffen, ebenso wie ein Medienhaus oder auch Krankenhäuser und medizinische Unternehmen. Neben den realen Gefahren können aber auch Anforderungen aus Standards oder Regulatoren eine Motivation für einen Penetration Test sein, zum Beispiel im Rahmen eines ISMS.
Schutzniveaus beim Penetration Testing
Bei einem Penetration Testing geht es vor allem darum, ihr individuelles Schutzniveau zu ermitteln und daraus einen SOLL-Zustand abzuleiten. IT-Sicherheit ist kein Projekt, sondern ein Prozess und die durch Sie eingeführten Schutzmaßnahmen gilt es zu überprüfen. Penetration Testing ist ein fester Bestandteil im PDCA-Cycle (Plan-Do-Check-Act) der Informationssicherheit. Dieser PDCA-Zyklus beschreibt einen iterativen, vierphasigen Prozess für Lernen und Verbesserung. Das Penetration Testing ist hierbei eindeutig im C-Bereich angesiedelt
Es ist leicht ein für einen selbst sicheres System zu planen und umzusetzen, allerdings kann ein unabhängiger Blick durch einen Dritten dafür sorgen, dass das System doch nicht so sicher ist wie gedacht. Je früher dies im Product-Lifecycle geschieht, desto besser ist es. Daher gilt für moderne Anwendungen auch das “Security-by-design”-Prinzip. Dabei werden Sicherheitsprozesse von Anfang an mitgedacht und implementiert.
Wer führt einen Penetrationstest durch?
Penetrationstests werden durch. Unternehmen wie beispielsweise die AWARE7 durchgeführt. Lernen Sie den Anbieter des Penetrationstests kennen. Haben die Mitarbeiter:innen eine entsprechende Qualifizierung (Uniabschluss, Zertifikate, Erfahrung)? Gibt es Referenzprojekte? Versteht der Anbieter Ihren Business-Case? Security darf kein Selbstzweck sein, sondern muss immer innerhalb des unternehmerischen Interesses eine Funktion erfüllen.
Bespricht der Anbieter die Ergebnisse des Tests mit Ihnen? Oder sind Sie nach dem Test auf sich allein gestellt? Gibt es darüber hinaus Beratungs- oder Hilfsangebote? Es gibt darüber hinaus noch weitere Punkte, die Sie beachten können bei der Auswahl eines Dienstleisters, diese haben wir in diesem Artikel zusammengestellt.
Effizienz von Pentests
Die Durchführung eines Penetration Testings ist nicht trivial. Während die Methodik sich an Standards orientiert, sind die umgesetzten Penetration Tests hochgradig individuell. Automatisierte Werkzeuge kommen mit manuellen Tools in Kontakt und müssen nahtlos ineinander greifen.
Die Ergebnisse eines Penetration Test hängt vor allem vom definierten Umfang des Projektes ab. Es können definitiv auch kleinere Projekte umgesetz werden, jedoch sollte dies dann in regelmäßigen Abständen geschehen, um eine kontinuierliche Verbesserung gemäß des PDCA-Zyklus zu gewährleisten.
Risiken des Penetration Testing
Ein Penetration Testing sorgt bei vielen Entscheidern für Bedenken. Am Ende des Tages ist die Aufgabe eines Pentesting Teams nunmal das Eindringen in Systeme und dies fühlt sich “riskant” an. “Was, wenn der Pentest unsere Systeme lahmlegt und wir nicht erreichbar sind?”
Die Gründe dafür sind in den meisten Fällen entweder Rücksichtslosigkeit des Pentesters oder unerwartete Umstände. Rücksichtslose Pentester sind meist unerfahren. Fragen Sie nach Zertifikaten der Tester und wer konkret Ihre Systeme testen wird oder lassen Sie sich eine Auswahl an Profilen schicken. Bei den unerwarteten Umständen ist es etwas schwieriger, da diese – wie der Name schon sagt, meist unerwartet sind.
Sie sollten nach Möglichkeit eine Test- oder Staging-Umgebung für den Test bereitstellen, damit der Schaden minimiert wird. Sollte dies nicht möglich sein, sollten Sie die getesteten Systeme während des Tests genau beobachten und die Pentester benachrichtigen, falls Sie etwas ungewöhnliches feststellen.
Eine weitere, häufig vorgebrachte Angst ist die “Unbeabsichtigte Exposition” durch einen ungesicherten Systemzugang. Um dies zu vermeiden, sollten Sie sicherstellen, dass Sie ein kompetentes Penetration Testing-Team engagieren und immer ein erfahrener Ansprechpartner im Team ist.
Zweitens sollten Sie mit dem Pentesting-Team kommunizieren, um ausgenutzte Schwachstellen nach dem Penetration Testing wieder zu beseitigen und kein ungewolltes Einfallstor zu hinterlassen.