Penetration-Testing

Was ist ein Penetration-Test?

Bei einem Penetration-Test geht es darum, proaktiv die Sicherheit eines IT-Systems bzw. einer Einrichtung zu überprüfen. Dabei wird versucht, Sicherheitslücken, Softwarefehler, aber auch gefährliches Verhalten von Userinnen und Usern zu nutzen, um erfolgreich in geschützte Bereiche vorzudringen.

Im Prinzip wird also ein Einbruch simuliert, um mögliche Angriffswege echter Krimineller aufzudecken, bevor es zu tatsächlichen Straftaten kommt.

Penetration-Tests werden in der Regel unter Zuhilfenahme spezieller Softwaretools durchgeführt, durch welche Schwachstellen von Servern, Web-Applikationen, Firewalls und Netzwerkgeräten ausgenützt werden können, um sich zum Beispiel nicht autorisierten Zugang zu sensiblen Daten zu verschaffen.

Wichtigstes Handwerkszeug für die Sicherheitsexpertinnen und -experten sind dabei oft spezielle Linux-Distributionen, welche alle gängigen „Angriffstools“ unter einem Dach vereinen und (entsprechende Fachkenntnis vorausgesetzt) eine Vielzahl von Möglichkeiten bieten, ein System auf Herz und Nieren abzuklopfen.

Zusätzlich zu den digitalen Attacken werden oft auch Techniken aus dem sogenannten „Social Engineering“ angewandt. Dazu gehören etwa gezielte Versuche per E-Mail oder Telefon, an Userdaten und Passwörter zu gelangen (sog. Spear-Phishing) oder auch schlichtweg das Einschleichen in Serverräume und Büros.

Ziel ist es, über die Verknüpfung verschiedener Angriffe möglichst hohe Sicherheitsfreigaben zu erlangen und die eigenen Berechtigungen im System Schritt für Schritt so weit wie möglich zu vergrößern.

Wie weit ein Penetration-Test dabei gehen darf, wird einerseits von den Auftraggeberinnen und Auftraggebern festgelegt, ist auf der anderen Seite aber natürlich auch durch die gesetzlichen Rahmenbedingungen strikt eingegrenzt. Im Unterschied zu echten Kriminellen halten sich die oft auch als „White-Hats“ bezeichneten Hacker schon aus eigenem Interesse sehr streng an den Rahmen des erlaubten.

Die Ergebnisse des „Angriffs auf Bestellung“ werden in der Regel im Nachhinein zu einem umfassenden Bericht aufbereitet, auf Basis dessen professionelle Entscheidungen zur Verbesserung der Systemsicherheit getroffen und Lücken geschlossen werden können.

Warum sollten nicht gewinnorientierte Organisationen Penetration-Tests durchführen?

Einbrüche in Computersysteme können auch für einen Verein oder eine Hilfsorganisation extrem unangenehme Folgen haben. Diebstahl und womöglich Veröffentlichung von sensiblen Daten wie etwa Spenderlisten sind nicht nur peinlich, sie verringern auch nachhaltig das Ansehen und Vertrauen in eine Organisation, was in der Konsequenz zu Finanzierungseinbußen führen kann.

Stellt sich der Umgang mit den Daten im Nachhinein als fahrlässig heraus, sind sogar kostspielige Prozesse und Regressforderungen der Opfer nicht ausgeschlossen.

Oft wird aber eine weitere, eigentlich gerade im Non-Profit Bereich viel größere Gefahr übersehen. Wer über entsprechende Systemfreigaben verfügt, kann nämlich still und leise unter dem Namen der Gruppe bzw. Gemeinschaft aktiv werden. Eine der „harmlosesten“ Varianten ist dabei noch der Versand von Spam-Emails über die gekaperten Server.

Schlimm genug, wenn die 15.000 Mitglieder von „Rettet die Sumpfdotterblume“ plötzlich über den offiziellen Newsletter der Organisation aufgefordert werden, kleine blaue Tabletten für ältere Herren zu kaufen. Aber was, wenn die Angreifer geschickter vorgehen? Wenn sie etwa unauffällig Spendenformulare und/oder Konteninformationen manipulieren und einen Teil der Hilfsgelder abzweigen?

Ein erfolgreicher Systemeinbruch ist immer potentiell existenzbedrohend. Leider gibt es auch keine Möglichkeit, sich dagegen vollkommen abzusichern. Wo immer moderne Technik zum Einsatz kommt und von Menschen sinnvoll genutzt werden soll, gibt es auch Lücken in der Verteidigung.

Paradoxer Weise ist es manchmal sogar so, dass übermäßiges Streben nach totaler Sicherheit gerade für die Entstehung von Sicherheitsmängeln verantwortlich wird. Denn je strenger die Sicherheit, desto schwerfälliger und komplizierter wird ein System im Gebrauch. Damit steigt aber auch die Bereitschaft von Userinnen und Usern, Sicherheitsbarrieren zu umgehen, „weil der Blechtrottel mal wieder spinnt“.

Penetration-Tests helfen dabei, sinnvolle Prioritäten für die fortlaufende Weiterentwicklung von Sicherheitskonzepten festzulegen. Sie decken sowohl zu schwache als auch über das Ziel hinausschießende Sicherheitsmaßnahmen relativ zuverlässig auf. Für die IT-Sicherheit sind sie damit eines der wichtigsten Werkzeuge überhaupt.

Wann sollte ein Penetration-Test durchgeführt werden?

Prinzipiell sollte in unregelmäßigen Abständen immer wieder die Sicherheit von IT-Anlagen evaluiert und auf ihre Aktualität hin überprüft werden. Nicht immer muss dabei ein ganzes Team von Penetration-Testern zum Einsatz kommen und mit allen Mitteln der Kunst den „Einbruch“ versuchen. Vielmehr lässt sich der Aufwand im Regelbetrieb oft auf automatisierte Scans und wenige Stunden Aufwand reduzieren.

Umfassendere Tests sollten aber bei Büroumzügen, neuer Hard- bzw. Software (vor allem im Server- und Netzwerkbereich), sowie maßgeblichen Änderungen in der Organisationsstruktur bzw. den damit verbundenen Verantwortlichkeiten zum Standard gehören.

Wie können wir Ihnen helfen?

Der Verein zur Förderung freier Software und Information stellt seinen Mitglieder einerseits Server und IT-Dienstleistungen auf nicht gewinnorientierter Basis zur Verfügung. Damit entfällt natürlich ein großer Teil des Wartungsaufwandes für unsere Mitgliedsorganisationen.

Andererseits führen wir auch gerne Sicherheitsanalysen durch, deren Leistungsumfang vom einfachen Scan bis hin zu mehrköpfigen Expertenteams und der Simulation von „Advanced Persistent Threats“ reichen kann.

Selbstverständlich helfen wir auch ganz einfach mit Tipps und Anleitungen rund um den richtigen Umgang mit IT-Sicherheit. Falls Sie Fragen dazu haben, wenden Sie sich bitte an unser Büro.