Der IT-Penetrationstest: Eine fachliche Prüfung der IT-Sicherheit in Unternehmen zum Schutz vor Angriffen
#penetrationstest #it-sicherheitscheck #schwachstelleanalyse
„Wie gut ist unser Unternehmen gegen Hackerangriffe geschützt?“ Eine Frage, die eine Geschäftsführung der internen IT-Abteilung heute stellen muss. Die Meldungen hinsichtlich Angriffen auf Unternehmen jeder Größe häufen sich. Eine fachliche Aussage über den aktuellen Schutz vor Hackerangriffen zu treffen ist zwar aus Sicht der IT-Abteilungen möglich, aber wie genau kann diese Aussage sein und wer trägt die Verantwortung? Besser ist, wenn IT-Security-Experten nach dedizierten Verfahren vorgehen und eine Prüfung der IT-Sicherheit durchführen, die Klarheit verschafft und Handlungsfelder für Schwachstellen definiert. Der IT-Penetrationstest als Schwachstellenanalyse ist hier die Lösung.
Was ist ein Penetrationstest?
Bei einem Penetrationstest handelt es sich um den Sicherheitstest einer IT-Infrastruktur. Hierbei werden IT-Systeme und IT-Anwendungen auf potenzielle Schwachstellen durch Fehler, beispielsweise in der Programmierung, geprüft. Darüber hinaus, entstehen häufig Einfallstore in Netzwerke durch Konfigurationsfehler, oder fehlende Sicherheitsupdates. Ein Penetrationstest kann ein Netzwerk jeglicher Größe abdecken, oder sich auch mit einzelnen, besonders kritischen Komponenten befassen. Wie letztendlich getestet wird, hängt stark von den Zielen des Kunden ab.
Was steckt hinter der Bezeichnung OSSTMM 3.0?
Hinter OSSTMM 3.0 steckt eine Methodik zur Vorgehensweise bei einem Penetrationstest. Unter anderem bietet OSSTMM 3.0 Methoden zur Schwachstellensuche und Verifizierung. Man könnte also sagen, es handelt sich um einen roten Faden oder Ratgeber für den durchführenden Tester.
Kann jedes IT-Unternehmen einen Penetrationstest durchführen?
Nein. Ein guter Administrator wird viele IT-Systeme in Betrieb nehmen, warten oder in eine vorhandene IT-Infrastruktur einbinden können. Einigen wird auch bewusst sein, dass nach außen offene Ports nach Möglichkeit zu vermeiden sind und das Kennwörter komplex sein sollten. Die Durchführung eines IT-Penetrationstests erfordert jedoch geschulte Experten mit Kenntnissen im Umgang mit einer breiten Palette von Tools und manuellen Vorgehensweisen, mit denen ein IT-Administrator im Alltagsgeschäft keinerlei Berührungspunkte hat. Ferner sollte ein Penetrationstest immer von einem externen Dienstleister durchgeführt werden, um eine möglichst neutrale Sicht auf die Systeme zu haben.
Worin unterscheidet sich die 2-tägige Schwachstellenanalyse vom Penetrationstest?
Der größte Unterschied liegt in der Intensität der Analyse. Bei der 2-tägigen Schwachstellenanalyse handelt es sich um einen Sicherheitscheck, der darauf ausgerichtet ist, bekannte Schwachstellen, unbemerkte Konfigurationsfehler und eventuell veraltete IT-Systeme zu identifizieren und somit die einfacheren Schwachstellen zu erkennen und zu beseitigen.
Der Penetrationstest hingegen ist eine auf den Kunden zugeschnittene Schwachstellensuche, bei der eine eingehende Analyse vorhandener IT-Systeme durchgeführt wird. Es ist auch möglich, den Fokus auf einen bestimmten Bereich zu setzen. Der Penetrationstest soll also komplexere Schwachstellen aufdecken und zu ihrer Beseitigung beitragen.
Wann sollte ein Unternehmen einen Penetrationstest durchführen lassen?
Ein Unternehmen sollte einen Penetrationstest durchführen lassen, wenn es über IT-Infrastrukturen verfügt, die für das Tagesgeschäft unverzichtbar sind.
Hierbei spielt die Größe des Unternehmens keine Rolle.
Wie oft sollte ein Penetrationstest durchgeführt werden?
Ein Penetrationstest sollte regelmäßig durchgeführt werden, mindestens jedoch einmal pro Jahr.
Es sollte zunächst ein umfassender Penetrationstest durchgeführt werden, um möglichst alle vorhandenen Schwachstellen zu identifizieren. Anschließend empfehlen wir bei Veränderungen der Infrastruktur ein Check-Up. Dieses beschränkt sich auf die neuen Systeme, sodass eine solche Auffrischung mit weniger Aufwand und Kosten verbunden ist.
Wenn ich CSOC-Kunde bin und die CSOC-Sensoren meine Systeme überwachen, brauche ich dann trotzdem einen Penetrationstest?
Ja. Das CSOC fungiert als eine Art Alarmanlage. Es soll den durch einen Angriff auf Ihr Netzwerk / IT-Systeme entstehenden Schaden begrenzen, den Angreifer im besten Fall aussperren, bevor er Schaden verursachen kann.
Der Penetrationstest wiederum begrenzt die Möglichkeiten des Angreifers auf ein Minimum und macht Sie als Ziel weniger anfällig und attraktiv.
Erhält man im Nachgang Empfehlung für Maßnahmen, wenn Schwachstellen erkannt wurden?
Selbstverständlich erhalten unsere Kunden nach der Durchführung einer IT-Schwachstellenanalyse eine Zusammenfassung in Form eines Berichts. Es findet eine Besprechung der Funde statt, in der Möglichkeiten zur Verbesserung der aktuellen Lage dargelegt werden.