Penetrationstest: Realistisches Bild der Angreifbarkeit von IT-Infrastrukturen
Wo Kommunikationstechnologien und Internet zum Einsatz kommen, da sind vorhandene IT-Infrastrukturen angreifbar. Dieses Wissen ist vor allem für Unternehmen wichtig, die besonderen Wert darauf legen müssen, ihre sensiblen Daten vor unberechtigten Zugriffen zu schützen.
Jede Technik bietet Schwachstellen
Es ist sicher nicht unberechtigt zu behaupten, dass jede Technik, sei sie auch noch so ausgereift, immer auch Schwachstellen hat, die es nach und nach durch Weiterentwicklung, Updates oder ähnliche Maßnahmen zu beseitigen gilt.
Hackern gelingt es leider immer wieder, von außen oder sogar von innen in die IT-Infrastrukturen einzudringen und die unternehmenseigenen IT-Systeme zu kompromittieren. Es werden Daten gestohlen oder Schadsoftware (z. B. Exploits) installiert, die dann Teile der IT oder gar das gesamte System lahmlegen. Immer öfter werden auf diese Weise Versuche gestartet, Unternehmen zu erpressen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt zwar regelmäßig Hinweise zur Verbesserung des IT-Schutzes, aber die Methoden im Bereich der Cyber-Kriminalität werden immer ausgefeilter, die eingesetzten Technologien sind immer komplexer und die Risikobereitschaft der zahlreicher werdenden Hacker nimmt ebenfalls deutlich zu.
Aus diesen Gründen nimmt das Bedrohungspotenzial stetig zu und zu den immer ausgefeilteren Methoden der Hacker kommt die verstärkte Nutzung von Kommunikations- und Speichertechnologien hinzu. So hat eine von IDG beauftragte Studie namens Cloud Security aus dem Jahr 2019 gezeigt, das 37 Prozent aller deutschen Unternehmen hinsichtlich der Cloud-Sicherheit auf klassische Sicherheitsmaßnahmen wie Datenverschlüsselung und VPN vertrauen.
Genau hier können Unternehmen für IT-Sicherheitsbewertungen ihre Expertise zur Verfügung stellen. Das ist sinnvoll, weil viele Unternehmen über das eigentlich notwendige Know-how nicht verfügen. Sogenannte Penetrationstests können etwa Cyber-Gefahren in den Bereichen Phishing und Distributed Denial of Service (DDoS) identifizieren und so die Grundlage zur Beseitigung entdeckter Schwachstellen sein.
Solche Pentests sind in begrenztem Umfang für einzelne Unternehmensbereiche wie die Cloud, die unternehmenseigene Web Application oder die Bereiche WLAN oder Mobile & API möglich. Es besteht aber auch die Möglichkeit, einen umfassenden externen und internen Penetrationstest bzw. einen Szenario-basierten Pentest (ATT & CK) durchzuführen. Diese Tests führt man aus der Perspektive der Hacker durch, das bedeutet, sie greifen auf Hackerwissen zurück und schlagen sie so mit ihren eigenen Waffen.
Seit dem Beginn der Corona-Pandemie hat sich die Zahl der Hacker-Angriffe noch einmal deutlich erhöht. Bevorzugte Ziele sind hier ohnehin häufig angegriffene Branchen, etwa Gaming-Unternehmen, Internet- und Telekommunikationskonzerne sowie Finanzdienstleister. Aber auch Energie- und Pharmakonzerne sowie staatliche Institutionen werden immer öfter Opfer von Cyber-Attacken. Bei ihnen besteht ein besonders hohes Bedrohungspotenzial, weil sie wichtige Produkte (Impfstoffe, Medikamente) herstellen, viele Nutzer haben (Gaming und Internet- bzw. Kommunikation) oder die Versorgung der Bevölkerung bzw. die öffentliche Ordnung gewährleisten und dadurch erpressbar sind (Energieunternehmen, staatliche Institutionen).
Durch Weiterentwicklung der Cybersecurity können Schwachstellen der IT-Infrastrukturen beseitigt werden.
Wie Penetrationstests die Angreifbarkeit von IT-Infrastrukturen verringern
Im Grunde ist ein Pentest der Versuch eines IT-Sicherheitsexperten, mit den Mitteln von Hackern, von außen oder von innen in die IT-Infrastrukturen eines Unternehmens eindringen. Dazu sammelt er zunächst alle verfügbaren Daten über vorhandene interne IT-Systeme sowie interne und externe Dienste, die vom Unternehmen genutzt werden. Diese durchforstet er auf der Suche nach Fehlkonfigurationen oder falschen Programmierungen. Zudem versucht er, Schadprogramme bzw. Befehlsfolgen ausfindig zu machen. Diese nutzen Hacker aus, um in ein System einzudringen.
Ein weiterer Schritt beim Penetrationstest besteht darin, zu ermitteln, ob und inwieweit sich gefundene Fehlkonfigurationen, Exploits oder Befehlsfolgen ausnutzen lassen, um ins System zu gelangen. Im Rahmen eines mit dem beauftragenden Unternehmen exakt abgestimmten Tests versucht der IT-Experte schließlich, die gefundene Schwachstelle auf sichere Art auszunutzen, tiefer ins System einzudringen und von dort aus auch weitere IT-Systeme zu infiltrieren.
Ein solcher Pentest kann als externer Test durchgeführt werden oder intern vonstatten gehen. Der interne Penetrationstest ist deshalb ratsam, weil Hacker nicht davor zurückschrecken, IT-Infrastrukturen innerhalb des Unternehmens anzugreifen, etwa mittels Host- oder Server-Infiltration. Aber auch durch Einschleusen bzw. Bestechen eines Mitarbeiters kann versucht werden, die IT-Infrastruktur von innen heraus zu infiltrieren und für die eigenen, meist kriminellen Zwecke zu nutzen. Dazu genügt oft schon ein simpler USB-Stick, der einen Trojaner enthält.
Unvorsichtige Mitarbeiter erhöhen die Angreifbarkeit von IT-Infrastrukturen
Wie heißt es häufig bei Unfällen: „Grund war menschliches Versagen“. Allzu oft ist der Mensch also der entscheidende Faktor und dies gilt auch für den Bereich der IT-Sicherheit. Vor allem, wenn private Geräte für berufliche Aufgaben genutzt werden, können sich dadurch Einfallstore für Hacker öffnen.
Ein privates Notebook oder Smartphone sind fast immer nicht so effizient gegen Kompromittierung gesichert, wie rein beruflich verwendete Endgeräte. Grund hierfür ist, dass sie eben in der Regel keine sensiblen bzw. für Hacker interessante Daten enthalten. Dies ändert sich, sobald ein Mitarbeitender sie, mit oder auch ohne Erlaubnis seines Unternehmens, doch für Tätigkeiten verwendet, die mit seinem Beruf zu tun haben. Hacker leben auch vom Sammeln wichtiger Informationen und so wird es ihnen nicht verborgen bleiben, wenn private Endgeräte am Arbeitsplatz zum Einsatz kommen.
Sie werden versuchen, über eben diese Geräte Zugang zum unternehmenseigenen IT-System zu erlangen. Dies gelingt ihnen fast immer wesentlich schneller und einfacher, als die Infiltration gut gesicherter Unternehmens-Infrastrukturen.
Fazit: Nur IT-Sicherheitsstrategie ist effektiver Schutz für IT-Systeme
Die Vielfältigkeit der Methoden und Tools, die Hacker einsetzen, um in IT-Infrastrukturen einzudringen, erfordert mehr als nur die regelmäßige Kontrolle der Systeme. Es bedarf einer umfassenden Strategie zum Schutz der unternehmenseigenen Informations- und Kommunikationstechnik. Nur mit einer solchen lassen sich sensible Daten und Unternehmensgeheimnisse effizient schützen.
Über den Autor
Seyit Binbir
Mit seinen Ratgebern über zeitaktuelle Themen hilft Seyit Binbir dabei, interessante Themen mit seinen Lesern zu teilen. Er ist außerdem Vertrauter und Wegbereiter vieler Start-Up Unternehmen im digitalen Sektor und Autor für Finanzthemen.
Aufmacherbild : Pixabay, jaydeep_