- IT&Production - https://www.it-production.com -

Härtetest für Netzwerk-Sicherheit

Penetration Testing

Härtetest für Netzwerk-Sicherheit

Im Wettlauf zwischen Angreifern, die sich durch illegalen Zugriff auf Unternehmensnetzwerke bereichern wollen, und Sicherheitsverantwortlichen befinden sich die Angreifer häufig im Vorteil. Denn ihre Methoden werden zunehmend ausgefeilter, während die Abwehrstrategien bislang nicht im notwendigen Umfang Schritt halten. Hinzu kommt, dass die meisten Unternehmen keine validen Kenntnisse darüber besitzen, wo sich kritische Schwachstellen in ihrer IT befinden. Um hier gegenzusteuern empfiehlt sich die methodische Suche nach Sicherheitslücken mittels sogenannter Penetrationstests, um Risiken anschließend systematisch beseitigen zu können.

Bild: Fotolia/alphaspirit

Vor einigen Jahren galten Unternehmen bereits als geschützt gegen Schadsoftware und Know-how-Diebstahl, wenn sie Firewalls und Virenscanner implementiert hatten. Diese Annahme verliert mittlerweile ihre Gültigkeit: So erklärte unlängst RSA-Vorstand Art Corviello anlässlich seiner Rede auf der Sicherheitstagung ‚RSA Conference Europe‘, dass, falls er die Position eines ‚Chief Information Security Officer‘ (CISO) innehätte, seine Einsparungsmaßnahmen in erster Linie den Bereich ‚Antiviren‘ betreffen würden. Denn diese spürten durchschnittlich nur noch 30 bis 40 Prozent der Gefahren im Netz auf.

Diese Quote lässt sich leicht erklären, denn Angriffe werden – wenn sie wirtschaftlich motiviert sind – mit speziell auf die jeweilige Umgebung individualisierten Tools durchgeführt und nicht mittels wahlloser Viren-Attacken. Hinzu kommt, dass selbst im Hinblick auf Routine-Angriffe die Wirksamkeit der Standard-Maßnahmen als relativ begrenzt zu bezeichnen ist, weil sie in der Regel mittels retrograd basierter Überprüfungen nur jene schadhaften Codes detektieren können, die bereits bekannt sind. Da jedoch ständig neue Viren geschrieben werden, werden die Systeme durch diesen Ansatz nicht gegen unmittelbar aufgetretene Bedrohungen geschützt.

Methodische Durchleuchtung des Unternehmensnetzwerks

Gleichzeitig fristet die IT-Sicherheit in Industrieunternehmen vielfach noch ein Schattendasein und wird tendenziell eher ausgeklammert, weil sie – aus Managementsicht – nicht besonders attraktiv ist. Denn Sicherheitsmaßnahmen und -personal verursachen Kosten, ohne dass ein rechnerisch nachweisbarer Beitrag zur Wertschöpfung geleistet wird. Folglich sind die Maßnahmen im Vergleich zu anderen IT-Projekten, etwa im Bereich Backup, aufgrund der ohnehin knappen Budgets meist unterdimensioniert. Um diese Diskrepanz auszugleichen, empfiehlt sich eine methodische Durchleuchtung der Unternehmensnetzwerke. Auf diese Weise kann aufgedeckt werden, in welche Bereiche gezielt investiert werden muss, um die Unternehmens-IT wirkungsvoll zu schützen und so einen kontinuierlichen Geschäftsbetrieb zu unterstützen.

Organisation kommt vor technischen Maßnahmen

In Umkehrung dazu ist es jedoch – vor allem in komplexen Organisationen – nicht sinnvoll einen Penetrationstest durchzuführen, wenn im Unternehmen keinerlei durchgängige Konzepte inklusive der dazugehörenden Richtlinien bezüglich der IT-Sicherheit vorliegen. Von daher sollte diese Methodik nicht eingesetzt werden, um eine Sicherheitsstrategie zu entwickeln, sondern erst dann, wenn diese – zumindest rudimentär und hinterlegt mit entsprechenden Maßnahmen – vorhanden ist. Eine grundsätzliche Vorgehensweise bezüglich Penetrationstests ist definiert, unter anderem in der Studie ‚Durchführung von Penetrationstests‘, herausgegeben vom BSI. Der tatsächliche Umfang der Überprüfung ist jedoch im Einzelfall davon abhängig, wie exponiert das Unternehmen in der Öffentlichkeit steht – also wie hoch die Angriffswahrscheinlichkeit und wie groß der mögliche Schaden, der daraus resultiert, ausfallen. Prinzipiell können Penetrationstests entweder automatisiert mittels Schwachstellen-Scanner oder individualisiert durch Beauftragung eines externen Dienstleisters durchgeführt werden.

Qualitätsmerkmale für Penetration Tests

Die Qualität und der daraus resultierende Nutzen sind jedoch stark davon abhängig, wie dediziert auf die jeweilige Situation des zu überprüfenden Unternehmens eingegangen wird. Hierbei entscheidend sind unter anderem, wie viel Zeit und Ressourcen der Auftraggeber dem Dienstleister zur Ermittlung der Schwachstellen bewilligt – aber auch, wie produktiv und effizient dieser letztendlich dabei vorgeht. Zusätzlich ist zu beachten, dass ein automatisierter Penetrationstest unter Einsatz von Tools nicht so effizient und detailliert vorgetragen werden kann wie individuell gestaltete Test-Szenarien. Vom Prinzip her sind alle Schwachstellen, die in der Unternehmens-IT aufgedeckt werden, nichts anderes als von Menschen verursachte Fehler. Gemäß dieser Logik kann deren Aufdeckung keinesfalls mittels standardisierter Vorgehensweisen, sondern nur in einem kreativen Prozess erfolgen. Somit ist das individualisierte Assessment als das entscheidende Qualitätsmerkmal zu benennen.

Menschliche ‚Gegenspieler‘ für komplexe IT-Angriffe

Denn eine Maschine kann nicht nachvollziehen, was in den Köpfen der – in der Regel sehr motivierten und auch durchaus intelligenten – Angreifer vorgeht, wo sie welche Schwachstellen suchen und wie diese am besten ausnutzbar sind. Automatisierte Tools können hilfreich sein, wenn es darum geht, allseits bekannte und gut dokumentierte Verwundbarkeiten – wie veraltete Softwareversionen oder falsch konfigurierte Serverdienste – aufzudecken. Doch die dann noch angreifbare Lücke, die zwar in der Theorie als geschlossen gilt, aber in der Praxis noch Angriffspunkte bietet, entgeht Software-Werkzeugen viel zu oft.

Vorteile durch standardisierte Testverfahren

Das zweite Merkmal eines guten Penetrationstests ist seine Vergleichbarkeit. Hierzu muss sichergestellt sein, dass die turnusmäßigen Tests auf den jeweiligen Systemen analoge Ergebnisse hervorbringen, auch wenn diese von unterschiedlichen Prüfern durchgeführt wurden. Dies gewährleistet der Bezug auf international anerkannte Standards. Bei Infrastrukturtests, in denen zum Beispiel Netzwerkgeräte, Server und Backbones getestet werden, hat sich das ‚Open Source Security Testing Methodology Manual‘ (OSSTMM) als De-facto-Standard der Branche durchgesetzt.

Entsprechendes gilt beim Testen von Web-Applikationen für das ‚Open Web Application Security Project‘ (OWASP). Die hier zugrundeliegende Methodik verbürgt qualitativ hochwertige Assessments und gleichzeitig die Einhaltung des wichtigsten Ziels: dem Auftraggeber durch die standardisierte Vorgehensweise vergleich- und belastbare Ergebnisse zu liefern. Ein Kennzeichen für die Auswahl des passenden Beraters ist neben der Zertifizierung die Forderung eines adäquaten Honorars. Für hoch qualifizierte Penetrationstester sind regelmäßige Weiterbildungen sowie das Trainieren neuer Angriffstechniken ein Muss. Da diese Qualifizierungsmaßnahmen einen bedeutenden Kostenfaktor darstellen, spiegeln sie sich auch in der Preisgestaltung der Leistung wider.

Sicherheit als kontinuierlicher Prozess

IT-Sicherheit ist kein Produkt, das einmal eingekauft wird und dessen Einsatz dann garantiert, dass ein Unternehmen für alle Zeit sicher ist. Für die Beibehaltung eines bestimmten Sicherheitsniveaus bedarf es eines kontinuierlichen Prozesses, der regelmäßig überprüft werden muss. Schließlich werden ständig neue Anwendungen eingesetzt, was wiederum neue Anforderungen in puncto Absicherung impliziert. Da die Bedrohungen im Bereich IT eine zunehmende Komplexität aufweisen, gilt es, den Prozess bezüglich der Absicherung gezielt voranzutreiben und nicht erst dann tätig zu werden, wenn ein Vorfall eingetreten ist. Denn neben dem entstandenen Schaden, etwa Produktionsausfall oder Imageverlust, kommt hinzu, dass in dem Fall bei der Behebung der Schwachstelle übereilt gehandelt werden muss, um den Verlust so gering wie möglich zu halten.

Eine planvolle Vorgehensweise ist dann vielfach nicht möglich. Als Folge sind die im ‚Hotfix‘-Verfahren entstehenden Kosten vergleichsweise hoch, und die Lösung stellt meist nur ein Flickwerk dar, da sie nicht in einer Sicherheitsstrategie eingebettet ist. Die Abhängigkeit der Unternehmen von der IT hat ein hohes Niveau erreicht. Von daher ist es essentiell, die methodisch richtigen Maßnahmen zu treffen, um die Funktionsfähigkeit der IT zu gewährleisten.