Anzeige
Anzeige
Anzeige
Beitrag drucken

Testverfahren für IT-Security

Wenn Firewall und Virenschutz nicht reichen

In der jüngsten Vergangenheit gab es Cyberangriffe mit einer noch nicht dagewesenen Professionalität. Zudem ist nun hinlänglich bekannt, dass sich auch Staaten am Cyberkrieg beteiligen. Da stößt der Schutz durch Firewalls und Antivirussysteme an Grenzen. Oft ist es Unternehmen nicht bewusst, wie verwundbar sie für geübte Angreifer sind. In Zeiten von vernetzten Produktionsanlagen steigt die Gefahr durch Cyberangriffe noch einmal zusätzlich. Dabei positionieren sich Angreifer auch als sogenannte Advanced Persistent Threats. Viele solcher APTs wählen ihre Ziele sorgfältig aus und wollen keine einzelne Komponente, sondern ganze Unternehmensnetzwerke infiltrieren. Mit den passenden Maßnahmen können sich Unternehmen jedoch ganz gut wehren.



Bild: IT-Cube Systems AG

Umfassende Informationen über das Sicherheitsniveau eines Netzwerkes samt verschiedener Systeme und Applikationen zu erhalten ist schwierig. Oft ist die Bewertung für Administratoren schwer und komplex. Penetrationstests und Infiltrationstests verfolgen ein gemeinsames Ziel: das Aufdecken von Sicherheitsproblemen in der IT-Infrastruktur, allerdings mit zwei völlig unterschiedlichen Ansätzen. Bei einem Penetrationstest wird aktiv nach Angriffsvektoren und Schwachstellen gesucht, die ein Angreifer ausnutzen könnte. Im Gegensatz dazu handelt es sich beim Infiltration Testing um einen Prozess von eher passiver Natur, wobei die IT-Infrastruktur analysiert beziehungsweise die Kommunikation der Hosts auf Anomalien überprüft wird. Grob gesagt liefert der Penetrationstest die Antwort auf die Frage, ob es möglich ist, die Infrastruktur zu infiltrieren und beim Infiltration Testing stellt sich heraus, ob und wie stark ein Netz bereits infiltriert ist. Der Dienstleister IT-Cube Systems bietet produzierenden Unternehmen die Möglichkeit, sie bei den verschiedenen IT-Sicherheitstests zu unterstützen.

Maßgeschneiderte Penetrationstests

Bei Penetrationstests wird meist der Fokus auf die jeweilige Applikation, den jeweiligen Dienst oder die jeweilige Infrastruktur gelegt – nur selten finden nicht fokussierte Penetrationstests auf die gesamte Infrastruktur statt. Für einen erfolgreichen Penetrationstest müssen bereits im Vorfeld der Rahmen und die Zielsetzung definiert werden. Nicht jede Anwendung und Infrastruktur besitzt die gleichen Sicherheitsanforderungen für die verarbeiteten Daten – die Kritikalität der einzelnen Aspekte wie Business-Workflow, Schutzbedarf der Daten und so weiter sollte vor dem eigentlichen Test ausgearbeitet werden. Die Prüfung selbst gliedert der IT-Dienstleister in folgende Phasen, die an Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik angelehnt sind:

  • Phase 1 − Projektvorbereitung: In der Projektvorbereitung erfolgt die Abstimmung mit dem Fertigungsunternehmen, um die Anforderungen an den Penetrationstest zu konturieren.
  • Phase 2 − Informationsbeschaffung und Auswertung sowie der passive Penetrationstest: In der zweiten Phase sammeln Prüfer Informationen, um die weiteren Testschritte durchzuführen.
  • Phase 3 − Bewertung der Informationen sowie Risikoanalyse: Für ein nachvollziehbares und wirtschaftlich effizientes Vorgehen müssen die gesammelten Informationen analysiert und bewertet werden, bevor die zeitaufwendigen Prüfungsschritte im Rahmen der qualifizierten Schwachstellenanalyse durchgeführt werden.
  • Phase 4 − Qualifizierte Schwachstellenanalyse: Anhand der Ergebnisse aus den anderen Phasen erfolgt nun eine intensive Prüfung des Testgegenstands auf Sicherheitsauffälligkeiten.
  • Phase 5 − Abschlussanalyse: Die Abschlussanalyse ist ein wichtiger Teil der Prüfung und dient der Ergebnisdarstellung und Präsentation. Ein umfangreicher Maßnahmenkatalog wird erstellt und dient als Entscheidungsvorlage für die nachgelagerten Tätigkeiten, etwa um gefundene Lücken zu schließen.

Warum Penetrationstests nicht ausreichen

Ein Penetrationstest sagt viel über die Gefahr und die Voraussetzungen für einen erfolgreichen Angriff auf den Testgegenstand aus – er kann allerdings keine Aussage über aktuell laufenden Angriffe liefern und ob sich bereits Angreifer Zugang zu dem Firmennetzwerk verschaffen konnten. Er ist nur eine Momentaufnahme und zeigt die Verwundbarkeit des Testgegenstands. Da jedoch täglich Sicherheitslücken veröffentlicht und Angriffstechniken so schnell weiterentwickelt werden, könnte schon kurz nach dem aufwendigen Test ein erfolgreicher Angriff erfolgen – die Arbeit geht also weiter. Auch hierzu bietet IT-Cube seine Deinste an.



Im Netzwerk platzierte Sensoren lauschen im Datenverkehr, ob sich etwas unerwünschtes tut. Werden Anomalien und Angreifer erkannt, können die IT-Verantwortlichen zügig Gegenmaßnahmen einleiten.Bild: IT-Cube Systems AG


Herausfinden, was im Netzwerk vor sich geht

Im Gegensatz zum Penetrationstest zielt Infiltration Testing als andauernder Prozess darauf ab, laufende Cyberangriffe in Echtzeit zu erkennen. Dabei wird eine Verkehrsdatenanalyse mithilfe von strategisch platzierten Sniffern, einer Netzwerküberwachungsanwendung, über einen Zeitraum von etwa vier Wochen erstellt. Mit einer Kombination aus Normalisierung, Datenanalyse, Verhaltensmustererkennung und maschinellem Lernen werden Kommunikationsverhalten, Verkehrsbeziehungen und -charakteristika automatisiert erfasst, korreliert, kontextuell bewertet und schließlich graphisch evaluiert. Aktuelle Malware-Erkennungssysteme liefern nur zufriedenstellende Ergebnisse bei der Erkennung von Erstinfektionen. Jedoch haben sie den Nachteil, dass je nur spezifische Protokolle wie HTTP oder SMTP untersucht werden können. Durch die Einschränkung auf den Internetperimeter können diese Systeme die laterale Ausbreitung im Netzwerk nach der Erstinfektion nicht erkennen. Der IT-Sicherheitsdienstleister kombiniert in seinen Analysen daher die Perimeterüberwachung mit verteilten Sensoren, um die die Nachteile eines reinen Sandboxing-Verfahrens für die Malware-Erkennung auszuschalten. So lassen sich Bedrohungen wie Malware, Bots, CnC-Kommunikationen, Datenausleitungen und Reconnaissance-Verhalten mit hoher Zuverlässigkeit aufspüren und die jeweilige Phase im Lebenszyklus des Angriffes erkennen.

Schaden eindämmen mit Post Breach Detection

Setzt man voraus, dass es bereits zu einem erfolgreichen Angriff gekommen ist, rückt die Post Breach Detection in den Fokus. Gerade bei dem Verdacht auf Industriespionage stellt sich die Frage, welche unternehmenskritischen Daten bereits entwendet wurden, damit man einen Überblick bekommt, welchen Risiken das Unternehmen ausgesetzt ist und welche Gegenmaßnahmen einzuleiten sind. Das Verfahren kann sowohl lateralen als auch ein- und ausgehenden Internet-Traffic analysieren. Typische Host-to-Peer-Beziehungen werden in Clustern zusammengefasst und normale Interaktionen im Baselining erfasst. Davon abweichende Verhaltensweisen werden erkannt, da typische Muster der eingesetzten Ausbreitungstechniken mit hoher Wahrscheinlichkeit identifiziert werden können. Die hier beschriebene Kombination aus Penetrationstests und Infiltration Testing vermitteln Unternehmen einen Einblick in das Innenleben ihres Netzwerks. Das ist der erste Schritt, um Risiken rechtzeitig zu beseitigen und um laufende Angriffe abzuwehren. Und offene Angriffsvektoren können sich digitalisierte Fertigungsbetriebe genauso wenig leisten wie Ausschuss in der Produktion.

google plus


Das könnte Sie auch interessieren:

Altair hat Simsolid übernommen. Das Unternehmen arbeitet auf Grundlage detailgetreuer CAD-Baugruppen und bietet schnelle, genaue und robuste Struktursimulationen, die ohne Geometrievereinfachung, Bereinigung und Vernetzung auskommen.‣ weiterlesen

Die Montage von Kunststoff-Führungshülsen für die Kopfstützenverstellung der SUV-Baureihen eines deutschen Premiumherstellers stellt hohe Ansprüche an die Automation. Der Automobilzulieferer Ros setzt deshalb auf eine in Eigenregie konzipierte Anlage mit zwei Sechsachs-Robotern, um die Ziele zu erfüllen.‣ weiterlesen

Aufgrund der hohen Zahl zu testender Fahrsituationen spielt zukünftig Simulation eine zentrale Rolle bei der Homologation automatisierter Fahrzeuge. Zur Validierung der Simulation als Methode für die Fahrzeugzulassung starten TÜV Süd, der Chip-Hersteller Nvidia und der Antriebssystem-Anbieter AVL aus Österreich eine Kooperation. Ziel ist es, Sicherheitsanforderungen, kritische Fahrszenarien sowie die notwendigen Bewertungskriterien zu definieren und die Simulation als Prüfwerkzeug zu etablieren.‣ weiterlesen

Die Volkswagen AG will ihr Vertriebsmodell umbauen: Der Konzern hat angekündigt, den Online-Vertrieb massiv auszubauen und somit auch den Direktvertrieb seiner Fahrzeuge zu ermöglichen. Ziel ist zudem eine nahtlose und individuelle Betreuung der Kunden über den Fahrzeugkauf hinaus mittels neuer Kunden-ID.‣ weiterlesen

Deutschland fehlt es nicht nur bei technisch-naturwissenschaftlichen Berufen an Fachkräften, das Phänomen macht sich branchenübergreifend bemerkbar. Mit digitalen Assistenzsystemen (Datenbrillen) lassen sich den daraus folgenden Effekten entgegenwirken.‣ weiterlesen

Anzeige
Anzeige
Anzeige