Tipps zur Unternehmenssicherheit: Penetrationstest im Fokus
20. November 2015Nicht nur interne Überlegungen in den Unternehmen zum Thema IT-Sicherheit sind zu berücksichtigen. Stehen doch auch gesetzliche Rahmenbedingungen fest, um etwa den Schutz von Kundendaten sicherzustellen. Daher sollten die Unternehmen in regelmäßigen Abständen „ihr“ Netzwerk und die zugehörige IT-Landschaft überprüfen. Sicherheitshalber sollten die Firmen dies immer durch einen unabhängigen „Dritten“ durchführen lassen, nur so kann sichergestellt werden, dass Fehler und Schlupflöcher aufgedeckt werden. Dabei stehen unterschiedliche Dienstleister bereit, die Penetrationstests (Pentest) durchführen, und den Unternehmen sowohl im Vorfeld, als auch im Nachgang zur Seite stehen.
Bei Pentests sind viele Details zu beachten. MTI Technologies hat hierzu sechs Tipps aufgestellt:
- Gefahrenpotenzial erkennen: Generell sollte im Unternehmen bekannt sein, welches Gefahrenpotenzial besteht und welche sensitiven Bereiche des Unternehmens an das Internet angeschlossen sind. Dazu gehören beispielsweise Datenbanken oder auch File-Services, welche für Hacker interessante Informationen beinhalten. Ebenso sollte die Sicherheit der Passwörter genau überprüft werden, auch die der Administratoren-Zugänge. Im Vorfeld eines Pentests werden die Risiken mit dem Security-Spezialisten besprochen. In vielen Fällen werden bereits im Vorgespräch weitere Gefahrenpotenziale aufgedeckt, die Unternehmen aus der internen Sicht nicht bedacht haben.
- Angriff erkennen: Wie schnell würde im Unternehmen ein Angriff erkannt werden? Sind Firewall und andere Security-Systeme so konfiguriert, dass im Falle einer Attacke eine sofortige Warnmeldung erfolgt? Wichtig ist, dass Security-Warnmeldungen an oberster Stelle stehen und die IT-Verantwortlichen möglichst ohne Verzögerung reagieren können. Erfahrene Pentesting-Spezialisten fragen nach bereits definierten Prozessen für den Fall eines Angriffs auf das Unternehmen. Sie geben zudem Anregungen für optimale Eingriffe in die Systeme, um Schlimmeres zu verhindern.
- Durchführung des Pentests: Security-Pentests sollten ausschließlich von ausgewiesenen Experten mit viel Erfahrung durchgeführt werden. Für den Pentest wird eine Appliance in das Netzwerk eingebunden. Gute Test-Tools erkennt man auch daran, dass sie nicht nur den Traffic im Netz untersuchen, sondern sich ganz natürlich und ohne zusätzliche Konfiguration ins Gesamtsystem einbinden lassen. Die Appliance verbleibt im Schnitt einige Tage im Netz und protokolliert den normalen und auch den verdächtigen Verkehr. Zusätzlich wird ein erfahrener Test-Spezialist versuchen, von außen in das Netz des Unternehmens zu gelangen, beispielsweise durch einen fingierten Zugriff über die Web-Applikationen auf die dahinter liegenden Datenbanken.
- Angriff identifizieren und verfolgen: Angriffe von Hackern schleichen sich oft unbemerkt ins Unternehmen und werden erst nach einer gewissen Zeit oder nach erfolgter Injizierung weiterer Befehle von Hackern aktiv. Durch einen Pentest sollten Angriffe nicht nur identifiziert werden, sondern auch eine Nachverfolgung möglich sein, um die Lücke oder weitere betroffene Systeme zu erkennen. Findet die Test-Appliance verdächtigen Verkehr im Netz, sollte der Spezialist in der Lage sein, den Ursprung und das Ziel genau zu identifizieren. Nur so können Lücken effizient gefunden und im Anschluss behoben werden.
- Auswertung der Testprotokolle: Die Testprotokolle der Appliance beinhalten sehr viele Informationen, die nur von erfahrenen Spezialisten richtig ausgewertet und interpretiert werden können. Zweierlei Reports sollten dem Unternehmen nach einem Pentest zur Verfügung stehen. Erstens zeigt ein konsolidierter Report übersichtlich, wo Lücken gefunden wurden und wie der allgemeine Sicherheitszustand der Infrastruktur zu bewerten ist. Das Protokoll zeigt die Ergebnisse einzelner Komponenten wie beispielsweise das interne Netz, die Internetanbindung, die Endpoints aber auch Applikationen wie Datenbanken oder Endpoint-Anwendungen. Ein zweiter wesentlich detaillierterer Report gibt den Systemadministratoren sehr umfangreiche Informationen über die Datenflüsse und Konfigurationen. Anhand dieses Reports kann die Security gezielt optimiert werden.
- Call for Action: Pentests können einem Unternehmen durchaus eine sehr gute Sicherheit testieren. In vielen Fällen jedoch werden gravierende Lücken entdeckt. Auf Basis des Pentests müssen Lücken und Gefahrenpotentiale priorisiert und diverse Optionen für die Verbesserung der Situation erarbeiten werden. Aufgrund der Priorisierung wird klar, welche Lücken umgehend geschlossen werden müssen und welche je nach Security-Anforderungen, beispielsweise auf ein nächstes Update der beteiligten Systemkomponenten, warten können.
Pentests sind nicht trivial und sollten daher nur von sehr erfahrenen Spezialisten durchgeführt werden, die sowohl Gefahrenpotenziale kennen als auch mit der feinmaschigen Vernetzung unterschiedlichster Systeme im Unternehmen einschätzen können. MTI Technology beispielsweise verfügt über einen ganzen Stab an Spezialisten inklusive der besten Werkzeuge, die auf dem Markt erhältlich sind. Das Team ist in ganz Europa tätig, wobei die Labore und Spezialisten für die Remote-Tests in England installiert sind. Hier wird Kompetenz gebündelt, die europaweit von Kunden jederzeit in Anspruch genommen werden kann. Im Fokus der Remote Services stehen External Network Penetration Tests, Managed Vulnerability Scans, Web Application Tests und das PCI-DSS ASV Vulnerability Scanning.