Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

Mit Penetrationstests die Angriffsfläche reduzieren

"Mehr Raum für Sicherheit!"

Mit einem Penetrationstest können Unternehmen ihr IT-Sicherheitsniveau überprüfen lassen, um mögliche Angriffsfläche für Hacker zu identifizieren und zu beseitigen. Die SySS GmbH bietet solche Prüfungen für Unternehmen aller Größen und Branchen an. Geschäftsführer Sebastian Schreiber spricht im Interview über Hacker, Bedrohungen und Sicherheitslücken.



Im Bild: Sebastian Schreiber. Bild: SySS GmbH

Herr Schreiber, wie schätzen Sie die aktuelle Bedrohungslage durch Cyber-Attacken in der produzierenden Industrie ein und wie bewerten Sie die zukünftige Entwicklung?

Sebastian Schreiber: Wie man den Medien entnehmen kann, kommt es andauernd zu Hacking-Vorfällen. Doch das ist nur die Spitze des Eisbergs: Entsprechende Vorkommnisse werden meist verschwiegen. Oft weiß das betroffene Unternehmen nicht einmal selbst, dass Systeme gehackt und Daten zu Wettbewerbern geschickt werden. Dieser Trend wird sich weiter verstärken, da IT zunehmend allgegenwärtig wird – auch im eigentlichen Produktionsbetrieb. Das vielzitierteStichwort ‚Industrie 4.0‘ wird hier praktisch zur ‚Cyber-Bedrohung 4.0‘.

Welchen Handlungsbedarf sehen Sie aktuell und in der nahen Zukunft für die Unternehmen?

Schreiber: Der IT-Security und der IT-Qualität muss mehr Raum zugestanden werden. Einige Unternehmen haben hier einen enormen Nachholbedarf.

Was sind typische Motive und Angriffsziele von Hackern?

Schreiber: Hier gibt es die verschiedensten Täter-Modelle. Am einen Ende des Spetrums befinden sich Personen, die einfach Freude am Hacking haben, aber keinen Schaden anrichten wollen. Am anderen Ende stehen staatliche Profihacker, die Cyber-Angriffe zur Industriespionage, zur Sabotage oder gar als Kriegswaffe nutzen.

Wie planen Sie Ihre Penetrationstests?

Schreiber: Ich habe über 70 Mitarbeiter und wir können ohne zeitlichen Vorlauf zuschlagen. In der Regel werden die Prüfungen vorab genau spezifiziert. Tätermodell, Angriffsursprung, Angriffsziel und Angriffsmittel werden definiert. Natürlich werden Maßnahmen zur Risikominimierung ergriffen. Hierzu gehört eine genaue Definition des Vorgehens. Teilweise werden nur TestSysteme untersucht, teilweise weicht man auf Tagesrandzeiten oder das Wochenende aus – oder verzichtet auf besonders gefahrengeneigte Untersuchungen. In der produzierenden Industrie ist das ein besonders heikler Punkt, denn jede Minute Maschinenzeit, die wegen eines Tests verloren geht, ist bares Geld. Trotzdem sollten gerade Industrieunternehmen vor diesen Kosten nicht zurückschrecken und stattdessen mit einer exakten Vorplanung entsprechend effiziente Testszenarien durchführen.

Halten Sie neben Tests von außen auch Tests von innen für sinnvoll?

Schreiber: Tests von innen sind absolut sinnvoll. Schließlich können Mitarbeiter-PCs oder im extremen Fall sogar moderne, ans Internet angeschlossene CNC-Maschinen auch von Hackern infiziert und ferngesteuert werden.

Was sind typische, eventuell auch systemunabhängige Schwachstellen in den Systemen großer Unternehmen?

Schreiber: Ähnlich wie realistische Täter suchen auch wir zunächst die Low Hanging Fruits. Wir nutzen Schwachstellen im Active Directory aus, identifizieren ungesicherte Wartungszugänge und nichtgepatchte Software.

Wie stellen Sie die Sicherheit der bei den Tests ermittelten Daten Ihrer Kunden sicher?

Schreiber: Zeitweise verfügen wir über sehr sensible Informationen wie zum Beispiel einen aktuellen Angriffspfad auf die IT-Systeme eines ganzen Produktionsstandorts. Solche Daten werden bei uns absolut vertraulich behandelt. Hierzu gehört eine eigene, sichere IT-Landschaft, zuverlässige Mitarbeiter sowie ein besonders geschütztes Bürogebäude. In aller Regel beheben unsere Kunden die konkreten Findings sehr schnell, sodass das Schadpotenzial der uns zur Verfügung stehenden Daten nur eine kurze Zeit lang wirklich groß ist.

In welcher Form stellen Sie dem Auftraggeber die Ergebnisse der Tests zur Verfügung?

Schreiber: Je nach Projektgröße kann ein Projekt zwischen zwei und 40 Tagen in Anspruch nehmen. Hierzu kommen zwei bis drei Tage für die Qualitätssicherung des Abschlussberichts im SySS-eignen Lektorat. Wenn gewünscht, können wir das erforderliche Zeitfenster raffen, indem wir zum Beispiel sechs Mitarbeiter parallel arbeiten lassen und alle zwei Tage telefonisch berichten.

Herr Schreiber, wie wird man Penetrationstester?

Schreiber: Indem man ein gutes naturwissenschaftliches Studium – Informatik, Mathematik oder Physik – absolviert und sich bei der SySS GmbH bewirbt. Neue Mitarbeiter durchlaufen im ersten halben Jahr ein spannendes Einarbeitungsprogramm bei dem sie sechs verschiedene Schulungen besuchen und in laufenden Projekten das Pentesting erlernen.

Setzen Sie auch Social Engineering-Techniken ein?

Schreiber: Social Engineering schließt die Techniken der Lüge und des Betrugs ein. Wer derartige Tests durchführt oder beauftragt, wird daher zum Lügner und Betrüger. Dieses Kleid wollen sich die meisten unserer Kunden nicht anziehen. Es mag sicherlich Rechtfertigungen dafür geben, die eigenen Mitarbeiter zu belügen. In aller Regel ergeben Social Engineering-Prüfungen jedoch keine neuen Erkenntnisse und richten mehr Schaden an als sie Nutzen bringen. Bereits im Jahr 2008 haben wir uns einen eigenen Ethik-Katalog auferlegt, in dem wir auch den Respekt vor dem Menschen verankert haben.

Bei welchen Arten des Hackens und Eindringens ziehen Sie eine Grenze, weil sie ethisch oder rechtlich umstritten sind?

Schreiber: Diese Grenzen haben wir in unserem genannten Ethik-Katalog beschrieben: Zunächst einmal halten wir uns streng an die Gesetzeslage. Scheinbare Rechtfertigungen, hier anders zu verfahren, lehnen wir ab. Ein Graubereich, mit dem wir uns schwer tun, ist der Ankauf sogenannter Exploits oder Exploit-Sammlungen. Diese kaufen wir tatsächlich ein, um hochwertige Penetrationstests durchzuführen. Uns ist klar, dass wir hierdurch den Exploit-Handel befeuern. Rechtlich legale, aber ethisch zweifelhafte Projekte lehnen wir ab. Lieber verlieren wir Umsätze als unsere Integrität. Die Praxis hat gezeigt, dass es uns kein Kunde verübelt hat, wenn wir zweifelhafte Anfragen abgelehnt haben.


Das könnte Sie auch interessieren:

Mehr als eine Milliarde Schadprogramme verzeichnet das Bundesamt für Sicherheit in der Informationstechnik im aktuellen Lagebericht. Und auch die Corona-Pandemie wirkt sich auf die aktuelle Sicherheitslage aus.‣ weiterlesen

Eine Voraussetzung bei der Entwicklung von industriellen KI-Anwendungen sind ausreichende Daten. Diese sind jedoch nicht immer in der benötigten Menge, Qualität oder Struktur vorhanden. Anhand eines konkreten Beispiels erläutert dieser Beitrag, wie sich ein Data Lake anlegen und mit Daten füllen lässt, bis er ein Fundament für quasi beliebige KI-Applikationen bildet.‣ weiterlesen

CIOs setzen auf Automatisierung und KI, um wachsende Kluft zwischen begrenzten IT-Ressourcen und steigender Cloud-Komplexität zu überbrücken. Dies geht aus einer Studie von Dynatrace hervor.‣ weiterlesen

Zahlreiche Geräte verbinden sich heutzutage mit dem Firmennetzwerk. Neben offensichtlichen Geräten wie Büro-PCs und Maschinensensoren gibt es meist auch solche, die keiner auf dem Radarschirm hat. In diesem verborgenen Internet of Things könnten Einfallstore für Cyberkriminelle sein.‣ weiterlesen

Die Erwartungen an die wirtschaftliche Entwicklung gehen laut aktueller ZEW-Zahlen im Oktober zurück. Die Einschätzung der aktuellen konjunkturellen Lage hat sich jedoch erneut verbessert.‣ weiterlesen

Die MPDV hat seit Oktober drei neue Geschäftsführer. Nathalie Kletti, Thorsten Strebel und Jürgen Petzel stehen an der Spitze des Unternehmens.‣ weiterlesen

Die Verschmelzung von Operational Technology (OT) und IT bietet Vorteile. Um sie zu nutzen, müssen sich Fabrikbetreiber aber zunächst mit einem tragfähigen IT-Sicherheitskonzept befassen. Die Eckpfeiler sind Transparenz, Kontrolle und Reaktionsfähigkeit.‣ weiterlesen

Bild: DSAG Deutsche SAP Anwendergruppe e.V.

Im Rahmen der Mitgliederversammlung der Deutschsprachigen SAP-Anwendergruppe (DSAG) wurden im Vereins- und Fachvorstand insgesamt neun Positionen neu oder wieder besetzt. Unter anderem ist Jens Hungershausen neuer Vorstandsvorsitzender. ‣ weiterlesen

Der Maschinen- und Anlagenbauer Dürr beteiligt sich an der Industrial Cloud von Volkswagen und AWS. Zuerst werden Teile des DXQ-Portfolios über die Cloud bereitgestellt. Volkswagen-Werke und Partnerunternehmen des Autobauers können die Lösungen dann ähnlich wie aus einem B2C-App Store beziehen und etwa zur Produktionsoptimierung einsetzen. Der Maschinen- und Anlagenbauer verspricht sich vom Projekt hingegen, das Feedback der Anwender zur Verbesserung der eigenen Applikationen nutzen zu können.‣ weiterlesen

Die Planung der Produktion kann das Personal einige Zeit kosten. Warum also nicht eine künstliche Intelligenz einsetzen, um die Planer zu unterstützen? Auf diese Weise gelang es dem Verpackungs-Spezialisten Constantia Teich, die Termintreue zu erhöhen.‣ weiterlesen

Inmitten der sich verschärfenden Wirtschaftskrise wenden sich immer mehr Industrieunternehmen dem Industrial Internet of Things (IIoT) zu, um ihre Anlagen aus der Ferne zu überwachen und ungeplante Ausfallzeiten zu verhindern. Ein wichtiger Aspekt ist dabei die Nachrüstung alter Anlagen.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige