Informationssicherheit

Penetration Testing

Identifizierung verdeckter Schwachstellen

Was ist ein Pentest?

ÜBERBLICK

Penetration Testing (Pentests) sind simulierte Cyberangriffe bei denen Sicherheitsexperten IT-Systeme auf ausnutzbare Sicherheitslücken untersuchen, um die damit verbundenen Risiken zu bewerten.

Solche Schwachstellen entstehen entweder durch Fehler in Konfiguration oder Programmierung der eingesetzten Webanwendungen, Betriebssysteme, Systemdienste, IT-Infrastruktur, Cloud-Diensten oder auch einfach durch riskantes Verhalten von Benutzern.

Beim Pentesting wird die Perspektive eines Angreifers eingenommen und versuchet mit den gleichen Mitteln und Tools versucht die vorhandenen Sicherheitsmechanismen auszuhebeln.

Zu den Ergebnissen eines Penetrationstests gehört ein umfangreicher Bericht mit Darstellung der aufgefundenen Sicherheitsschwachstellen mit Empfehlungen zur Behebung.

Das wichtigste Ziel beim Penetration Testing sollte nicht sein zu zeigen, dass ein Unternehmen gehackt werden kann, sondern die Sichtweisen und Techniken eines realen, fortgeschrittenen Angreifers so einzubringen, dass zielgerichtete Gegen­maßnahmen kosteneffizient umgesetzt werden können.

Dr. Ewan Fleischmann, Pentester

Dr. Ewan FleischmannGründer Redlings GmbH

Gründe für einen Pentest

Ein Penetrationstest unterstützt das Beheben von Sicherheitslücken bevor diese durch Kriminelle ausgenutzt werden können.

Ein Penetrationstest ist eine unabhängige Prüfung von umgesetzten Sicherheitsmaßnahmen.

Es werden Compliance-Anforderungen wie ISO 27001, PCI DSS oder DSGVO unterstützt.

Nicht genutzte Potentiale vorhandener Sicherheitstechnologien werden durch einen Pentest aufgezeigt.

Ein Penetrationstest bringt Transparenz in die tatsächliche Bedrohungslage der eigenen IT-Infrastruktur.

Ein Pentest unterstützt die Priorisierung von IT-Investitionen durch Aufzeigen von IT-Sicherheitsrisiken.

Welche Arten von Penetration Tests gibt es?

Auch wenn es verlockend erscheint, von einem Pentester zu verlangen, dass er "mal eben alles durchtestet", würde dies wohl nur dazu führen, dass an der Oberfläche eine Menge Schwachstellen gefunden werden. Ohne den entsprechenden zeitlichen Rahmen ist es aber nicht möglich die vorgefundenen Sicherheitsprobleme in der Tiefe auf Relevanz sowie Business-Impact zu prüfen. Für einen Penetration Test unterscheiden wir dabei verschiedene Schwerpunktbereiche.

Netzwerk Penetration Testing

Netzwerk - Pentest

Bei einem Penetration Test auf ein Netzwerk werden interne oder über das Internet erreichbare Adressen oder Adressbereiche auf Anzeichen von Sicherheitsproblemen hin geprüft. Übliche Fragestellungen sind hierbei:

  • Wie weit kommt ein Angriff von extern (z.B. Internet)?
  • Falls jemand Zugriff auf eine Netzwerkdose/LAN/VoIP-Anschluss im Gebäude hat - was ist dann möglich?
  • Wie gut hält unsere Firewall einem Angriff stand? Gibt es Konfigurationslücken?
  • Was würde geschehen, wenn ein Angreifer einen Web-Server in unserer DMZ kompromittieren konnte?
Web Application Penetration Test

Penetration Testing für Webapplikationen & Web-APIs

Penetration Tests für Webanwendungen untersuchen die allgemeine Sicherheit und potenzielle Sicherheitsrisiken von Webanwendungen, einschließlich Programmierfehlern, nicht korrekt funktionierender Authentifizierung oder Autorisierung, Session Management, und Injektionsschwachstellen wie XSS oder SQL-Injections. Ebenso werden die zugehörigen und erreichbaren Infrastrukturkomponenten, wie Web- oder Datenbankserver, in das Penetration Testing mit einbezogen und auf Schwachstellen hin untersucht.

Cloud Pen Testing, Penetration Testing

Cloud Penetration Testing

Cloud-Anbieter wie Amazon AWS, Google Cloud Platform (GCP) und Microsoft Azure bieten eine hohe Anzahl an Services, folgen jedoch im Allgemeinen einem Modell der geteilten Verantwortung. Der Cloud-Dienstleister ist für die Sicherheit der Cloud verantwortlich. Dazu gehört die Hardware, die Backend-Infrastruktur sowie die technische Umsetzung und sichere Programmierung des Services.

Der Kunde ist muss jedoch Verantwortung für die Sicherheit in der Cloud durch richtige Konfiguration der Server und Dienste, die gewährten Berechtigungen und vieles mehr übernehmen. Oftmals ergibt sich die Gefährdung aus der unzureichenden Konfiguration dieser immer komplexer werdenden Dienstleistungen.

Cloud-Penetration Tests prüfen die Sicherheit einer Cloud-Bereitstellung. Ein solcher Pentest gibt Empfehlungen für die Verbesserung der Sicherheit der Cloud-Umgebung.

Social Engineering Penetration Tests

Social Engineering Penetration Test

Social Engineering ist eine Angriffstaktik, bei der es darum geht, sich durch Täuschung Zugang zu Informationen oder Räumlichkeiten zu verschaffen, die dann für böswillige Zwecke genutzt werden.

Das häufigste Beispiel hierfür ist der klassische Phishing-Betrug. Bei einem solchen Penetration Test verwenden die Pentester spezielle Phishing-Tools um die Verteidigungsmechanismen, Erkennungs- und Reaktionsfähigkeiten zu testen. Auch das Eindringen in die physischen Sicherheitszonen - vorbei am Security-Team - kann, beispielsweise beim Einsatz einer Hack-Box, eine große Gefahr darstellen und mit einem Penetration Test geprüft werden.

Aus offensichtlichen Gründen sind diese Art von Penetration Tests an strikte ethische Grundsätze gebunden und finden mit sehr transparenten Regeln statt.

Mobile App Pentests, Mobile App Penetrationstests

Mobile App Penetration Testing

Die Verbreitung von Mobile Apps, nimmt weiter stetig zu. Dabei werden häufig unternehmenskritische Informationen nicht nur übertragen, sondern auch direkt auf dem Mobilgerät gespeichert.

Bei einem Mobile App Penetration Test wird geprüft, ob ein Angreifer sich Zugriff auf die Unternehmens- und Nutzerdaten verschaffen kann und ob sich daraus weitere Risiken für das unternehmensinterne Netzwerk ergeben.

Client Penetration Tests, Penetrationstest

Client Penetration Test

Sind wir mal ehrlich - die meisten Angriffe auf Unternehmensnetze laufen über einen Benutzerrechner und nutzen den Dreiklang aus Outlook & Exchange & Active Directory aus.

Sicherheitslücken in systemnahmen Anwendungen wie der Softwareverteilung und fehlerhaft konfigurierte Systemdienste bieten Malware wie Ransomware hervorragende Einfallstore in das eigene Netzwerk.

Bei diesem Penetration Test geht es darum herauszufinden, was es für Möglichkeiten gibt, nachdem ein Benutzer mal falsch geklickt hat oder ein Angreifer physischen Zugriff auf einen Client erhalten hat.

Red Team Penetrationstests

Red Team

Bei einem Red Teaming wird die gesamte Verteidigung einer Umgebung getestet. Dabei nutzen die Pentester häufig auch Mittel des Social Engineerings für den initialen Zugriff zum Aufbau eines verdeckten Command-and-Control (C2)-Kanals.

Während ein normaler Penetration Test eine Analyse in der Tiefe durchführt geht Red Teaming in die Breite bei dem Versuch das abgesprochene Ziel zu erreichen. Bei einem Red Teaming wird somit insbesondere auch die Leistungsfähigkeit der eigenen IT-Umgebung hinsichtlich Incident Detection & Response geprüft.

Red Teaming richtet sich insbesondere an Unternehmen und Institutionen, die bereits einen hohen Reifegrad ihrer IT-Sicherheit erreicht haben.

Penetration Test

Individuelles Penetration Testing

Zu den hier nicht gelisteten Penetration Tests von Szenarien, Systemen und Komponenten zählen:

Kontaktieren Sie uns für ein persönliches Gespräch!

Schwachstellenscan vs. Penetration Testing

Schwachstellen-Scanner (engl. Vulnerability Scanner) wie Nessus, OpenVAS oder sogar Nmap sind automatisierte Tools, die eine IT-Umgebung untersuchen und nach Abschluss einen Bericht über die aufgedeckten Schwachstellen erstellen. Häufig werden die vorgefundenen Schwachstellen mit einer CVE-Kennung versehen, über die sich genauere Informationen in Erfahrung bringen lassen. Auch die Bewertung mit einem CVSS-Risikoscore (von 1=Low bis 10=Critical) wird üblicherweise mit angegeben.

Solche Security-Scanner besitzen große Datenbanken mit zehntausenden von Schwachstellen. Die Bewertungen der Schwachstellen ist pauschal und berücksichtigt, im Gegensatz zum Penetration Testing, nicht die Umstände der IT-Umgebung.

Schwachstellen und Konfigurationsfehler, die nicht in der Datenbank enthalten können nicht aufgefunden werden.

Dennoch bleibt die - gerne auch häufige - Durchführung von Schwachstellen-Scans eine vergleichsweise einfach umzusetzende und wichtige Sicherheitsmaßnahme, durch die jedes Unternehmen einen guten Einblick in die eigenen potenziellen Schwachstellen der IT-Infrastruktur erhält.

Schwachstellen-Scanner sind sehr wertvolle Werkzeuge – aber man sollte die Grenzen kennen. Sie arbeiten rein signaturbasiert, unbekannte Schwachstellen können also nicht gefunden werden. Auch werden viele Konfigurationsfehler nicht aufgedeckt.

Ein Beispiel: Durch einen Penetration Test werden beispielsweise häufig Fehler, die sich aus dem Zusammenspiel verschiedener Systemdienste entstehen und zu administrativen Rechten führen können, aufgedeckt. Ebenso werden logische Sicherheitsfehler, beispielsweise in Web-Anwendungen, üblicherweise nicht erkannt.

Dr. Ewan FleischmannGründer Redlings GmbH

Wie läuft ein Pentest ab?

Durch Penetration Testing ermitteln Sie proaktiv die ausnutzbaren Sicherheitsschwachstellen, bevor es jemand anderes tut. Penetration Tests sind strukturiert und methodisch ablaufende Projekte. Grundsätzlich unterscheiden wir dabei die folgenden Projektphasen:

1

Pentest Scoping, Planung und Vorbereitung

Zwischen Pentester und Kunde wird vorab vereinbart, welche Art von Pentest durchgeführt und welche Ziele dabei erreicht werden sollen. Üblicherweise findet kurz vor Beginn noch ein gemeinsames Kick-Off Meeting zur organisatorischen und technischen Abstimmung statt:

  • Austausch von aktuellen Kontaktinformationen
  • Bestätigung Start- und Enddatum, ggf. Testzeitfenster
  • Bestätigung des genauen Projektumfangs
  • Vorstellung des Testgegenstands
  • Bereitstellung von Informationen/Zugängen für die Tester (z.B. API-Dokumentation im Falle eines API-Tests und Zugangsinformationen)
  • Abstimmung zur Testumgebung, Vorgehensweisen und anderen Rahmenbedingungen
2

Erkundung (engl. Enumeration)

In dieser Penetration Testing Phase werden beispielsweise Informationen über Firewalls, verfügbaren Netzwerkdiensten, IP-Adressen evaluiert. Abhängig von der Art des Pentests können auch persönliche Daten wie Namen, Berufsbezeichnungen, E-Mail-Adressen, Benutzernamen und aktuelle Stellenausschreibungen aus öffentlichen Quellen gesammelt und für spätere Phasen vorgehalten werden.

3

Identifizierung und Ausnutzung von Schwachstellen

In dieser Phase des Penetration Test wird versucht in die Umgebung einzudringen, Sicherheitsschwachstellen zu identifizieren und auszunutzen und beispielsweise zu zeigen, wie tief die Pentester in das Netzwerk eindringen können. Nach erfolgreicher Ausnutzung einer Schwachstelle findet üblicherweise wieder eine weitere Erkundung statt um die nun neu vorgefundenen Möglichkeiten für die nächsten Schritte des Penetration Test zu prüfen.

4

Bericht und Analyse der Ergebnisse

Die Ergebnisse des Penetration Test werden in einem Bericht zusammengetragen. Darin ist enthalten:

  • Executive Summary als Kurzfassung der Resultate des Penetration Test mit Einschätzung des Gesamtrisikos
  • Darstellung der Rahmenparameter, des Vorgehensmodells und des Testgegenstandes
  • eine Liste und Darstellung der durch das Penetration Testing Projekt aufgedeckten Sicherheitsprobleme mit Einschätzung des Risikos sowie Vorschlägen zur Abhilfe
  • eine detaillierte Dokumentation des Pentests, wie die aufgedeckten Sicherheitslücken konkret und Schritt für Schritt ausgenutzt werden konnten.

5

Abschlussgespräch / Closing Meeting

Die Ergebnisse des Penetration Test werden in einem Abschlussgespräch vorgestellt. Dabei stehen die Pentester persönlich für konkrete Fragen in einem gemeinsamen Rahmen zur Verfügung.

6

Schließung von Sicherheitslücken

Es sollten die notwendigen Korrekturen vorgenommen werden, um die durch den Penetration Test aufgezeigten Lücken zu schließen.

7

Nachtest

Der beste Weg, um sicherzustellen, dass die durchgeführten Korrekturmaßnahmen wirksam sind, ist ein erneuter Penetration Test.

Auch wenn der Ablauf eines Penetration Tests methodisch und strukturiert ist, bleibt für den erfahrenen Pentester genug Freiraum, um Schwachstellen mit nicht-linearen Ansätzen aufzuspüren und auszunutzen. Gutes Penetration Testing zeichnet sich aus genau der richtigen Mischung aus methodischem Vorgehen, leistungsfähigen Tools, einem Blick für den Business-Use-Case, Erfahrung, und einem kreativen Ausnutzen des Wissens um aktuelle Angriffstaktiken aus.

Dr. Ewan FleischmannGründer Redlings GmbH

KURZ & BÜNDIG

Häufige Fragen und Antworten

Ethical Hacker, Pentester und White-Hat-Hacker: Wo ist der Unterschied?

Wie lange dauert ein Penetration Test?

Wie oft sollte man Pentesting durchführen?

Kann ein Penetration Test remote durchgeführt werden?

Sollte man denselben Penetration Testing Dienstleister wiederholt verwenden?

Wird ein Penetration Test den Geschäftsbetrieb beeinträchtigen?

Wie viel kostet ein Penetration Test?

Was ist der Unterschied zwischen einem Schwachstellenscan und einem Penetration Test?

Welche Schritte sollten nach einem Pentest erfolgen?

Worin liegt der Unterschied zwischen einem Penetration Test der als Black-Box, White-Box oder Grey-Box ausgeführt wird?

zertifiziert und erfahren

Qualifikationen unserer Pentester

Warum Redlings?

Penetration Testing LL
Ein vertrauenswürdiger Partner

Transparente Vorgehensweise

Erfahrene und zertifizierte Pentester

Eingehende Bedrohungsanalyse und Beratung

Ein tiefes Verständnis der Arbeitsweise von Hackern

Durchführung nach anerkannten Regeln der Technik (BSI, PTES, OWASP, PCI DSS, OSSTMM, NIST)

Ausführlicher Bericht mit Empfehlungen zur Behebung aufgefundener Schwachstellen

Umfassende Betreuung nach dem Test für eine effektive Beseitigung der aufgedeckten Risiken

Ihr Ansprechpartner

Dr. Ewan Fleischmann

Gründer, Geschäftsführer

  • Seit über 15 Jahren in der IT-Sicherheit
  • Beratung von Mittelstand, DAX-Unternehmen und Finanzinstituten
  • Doktorarbeit Kryptographie mit 15+ internationalen Publikationen in der IT-Sicherheit
  • SANS Advisory Board Member
  • 20+ Zertifikate, darunter CISSP, OSCP, OSCE

Haben wir Ihr Interesse geweckt?

Rufen Sie uns doch einfach an oder schreiben Sie uns eine Nachricht!

Erfolgreich! Wir haben Ihre Anfrage erhalten. Vielen Dank.
Fehler! Es ist ein Fehler beim Versenden aufgetreten. Bitte nutzen Sie eine andere Möglichkeit mit uns Kontakt aufzunehmen!

Ratgeber

Wir verwenden Cookies, um die Benutzerfreundlichkeit zu verbessern und den Website-Verkehr zu analysieren. Lesen Sie, wie wir Cookies verwenden und wie Sie sie kontrollieren können, indem Sie hier klicken.

Einverstanden

Einstellungen zum Datenschutz

Wenn Sie eine Website besuchen, kann diese Informationen über Ihren Browser speichern oder abrufen, normalerweise in Form von Cookies. Da wir Ihr Recht auf Privatsphäre respektieren, können Sie wählen, die Datenerfassung von bestimmten Arten von Diensten nicht zuzulassen. Wenn Sie diese Dienste nicht zulassen, kann dies jedoch Ihr Erlebnis beeinträchtigen.