IT-Security

Tipps fürs Pentesting

18.11.2014 von Daniel Hamburg
Damit der simulierte Cyber-Angriff verwertbare Ergebnisse und damit einen Sicherheitsgewinn für die Organisation bringt, ist eine gute Vorbereitung und Nachbereitung trotzdem unerlässlich. Nachfolgend ein paar Tipps für die Praxis.

Wer einen externen Dienstleister mit einer Sicherheitsanalyse oder einem Penetrationstest beauftragt, kann sich erst einmal zurücklehnen… Naja, fast! Denn im Vergleich zu anderen Sicherheitsmaßnahmen binden diese Tests während des eigentlichen Prozesses tatsächlich kaum Ressourcen im Unternehmen. Damit der simulierte Cyber-Angriff verwertbare Ergebnisse und damit einen Sicherheitsgewinn für die Organisation bringt, ist eine gute Vorbereitung und Nachbereitung trotzdem unerlässlich. Nachfolgend ein paar Tipps für die Praxis.

Eine Schwachstellenanalyse respektive ein Penetrationstest will gründlich vor- und nachbereitet sein.
Foto: Denis Junker - Fotolia.com

Die Vorbereitung

Welche Ziele verfolgen wir? Diese Frage sollte sich die Organisation als erstes stellen, denn nach diesen Antworten richten sich Form und Umfang der Maßnahme. Daneben ist zu definieren, welche Bereiche näher in Augenschein zu nehmen sind und vor allem, zu welchem Zeitpunkt. Denn soll der simulierte Angriff realistisch sein, sind Störungen des Produktivsystems unter Umständen nicht auszuschließen.

Eine Möglichkeit, Risiken für den Betrieb zu umgehen, ist der Test in der produktionsfreien Zeit. Wird ein System-Ausfall bewusst einkalkuliert, ist auch die Zeit miteinzuberechnen, die es braucht, das System wieder hochzufahren. Ein professioneller Dienstleister lotet mit seinem Auftraggeber den optimalen Test-Zeitpunkt aus. Abzuklären ist im Zusammenhang mit hochkritischen Systemen auch, welcher Plan in einem Notfall greift und wer zur Kommunikationskette gehört.

Threat Monitoring Tools & Services
Eine BT-Umfrage zeigt, ...
... dass 32 Prozent der Unternehmen glauben, dass ihre Geschäftsleitung die Bedeutung von IT-Sicherheit unterschätzt. Ohne Bewusstsein für die neuartigen Cyber-Bedrohungen werden aber kaum präventive Maßnahmen wie beispielsweise Cyber-Frühwarnsysteme eingesetzt.
Wachsende Bedrohungslage
Die Bedrohungen für IT-Systeme werden immer vielfältiger und komplexer. Gerade kleine und mittlere Unternehmen brauchen Unterstützung, um Angriffe möglichst frühzeitig erkennen und abwehren zu können. Eine wichtige Rolle können dabei Threat-Monitoring-Services aus der Cloud spielen.
Früherkennung von Gefahren
Die Kombination verschiedener, weit verteilter Quellen für sicherheitsrelevante Informationen ermöglicht es, Angriffe früher und besser zu erkennen. Dies ist die Basis für Lösungen im Bereich Threat Monitoring und Threat Intelligence.
Ergänzende Analyse-Funktionen
Die Lösung Arbor Networks Pravail Security Analytics gibt es auch als Cloud-Version. Über den Zugriff auf die Daten von ATLAS (Active Threat Level Analysis System) stehen dem Anwender-Unternehmen umfangreiche Bedrohungsinformationen für sein Frühwarnsystem zur Verfügung.
Dashboards helfen visualisieren
Lösungen wie Trustwave Threat Intelligence bieten dem Anwenderunternehmen Dashboards, mit denen die Bedrohungsdaten und -vorhersagen individuell dargestellt werden können. Dies hilft auch bei der gezielten Umsetzung von Compliance-Vorgaben.
In Echtzeit
Die Visualisierung von Cyber-Attacken in Echtzeit, wie dies zum Beispiel die Kaspersky-Cyberbedrohungsweltkarte bietet, zeigt eindrucksvoll die Bedrohungslage und hilft bei der Sensibilisierung. Zusätzlich besteht Bedarf an Bedrohungsdaten, die in IT-Sicherheitslösungen importiert werden können, um so die Abwehr möglichst automatisch optimieren zu können.

Am Anfang schon ans Ende denken

Je größer der Bereich der IT, den die Security Analysts unter die Lupe nehmen sollen, desto höher möglicherweise die Anzahl der Findings. Auch wenn professionelle Security Analysts die Ergebnisse nach Risiko-Dringlichkeit priorisieren - irgendwann muss die IT auch die weniger kritischen Schwachstellen schließen. Hat die Organisation genügend Ressourcen und Zeit, um sich in einem bestimmten Zeitraum um alle entdeckten Sicherheitslücken zu kümmern?

Die Erfahrung zeigt: Werden weniger dringliche Tasks auf die lange Bank geschoben, bleiben sie meist unerledigt. Bestenfalls treten sie als Finding bei der nächsten oder übernächsten Analyse wieder auf, schlimmstenfalls wachsen sie zu einem hochkritischen Problem aus. So oder so: Aussitzen lassen sich Schwachstellen nicht. Deshalb: Realistische Ziele definieren - am besten in einem Prüfplan.

Prüfplan erstellen

Er hilft nicht nur, das Vorhaben zu strukturieren, sondern auch das interne Sicherheits-Monitoring generell zu verstetigen. Wichtigster Ordnungsfaktor ist die Kritikalität von Bereichen, Anwendungen, Komponenten oder Geräten. Diese kann abhängig sein von den Prozessen innerhalb der Wertschöpfungskette, der Anzahl der Nutzer oder der Prominenz von Systemen mit hochkritischen Daten. In diesen Prüfplan lassen sich auch Aufgaben integrieren, die schon seit längerem hätten ausgeführt werden sollen, aus Ressourcenmangel aber liegengeblieben sind.

Zugangsdaten

Um die Verwundbarkeit einer Organisation aus verschiedenen Blickwinkeln zu evaluieren, schlüpfen Security Analysts in der Regel in verschiedene Rollen: die des normalen Benutzers, des Administrators oder eines Super-Users mit Zugriff auf hochkritische Daten. Banal, aber essenziell: Die Zugangsdaten für die einzelnen Rollen sollten rechtzeitig verfügbar sein.

Modernes Identitäts-Management
Beliebige Endgeräte können sich zu jeder Zeit und an jedem Ort anmelden
Unternehmen müssen eine riesige Anzahl von Geräten, Anwendungen, Benutzern und die zahlreichen Beziehungen zwischen diesen unterstützen und dabei über all ihre Berührungspunkte hinweg das gleiche Kundenerlebnis bereitstellen. Heutige Systeme für Identity Relationship Management können fast beliebige internetfähige Geräte, darunter Laptops, Touchpads und sogar Autos, sowie neue mobile und soziale Apps mit einer zentralen Sicherheitsplattform verbinden, die Identitätssynchronisierung und Einmalanmeldung (Single Sign-On, SSO) jederzeit, überall, vor Ort oder in der Cloud ermöglicht.
Bereitstellung kontextsensitiver Dienste
Ein Log-in ist heute nicht mehr eine einfache Ja-/Nein-Entscheidung. Mehrere Faktoren sollten darüber bestimmen, ob ein Benutzer Zugriff erhält - und falls ja, in welchem Umfang und worauf. Ein Unternehmen kann zum Beispiel sein IRM-System so einrichten, dass es je nach Situation eine zusätzliche Authentifizierungsangaben erfordert, wenn sich jemand von einem neuen Gerät oder einem anderen Land anmeldet.<br /><br /> Kontextsensitivität erhöht den Wert digitaler Dienste. Das In-Car-Portal von Toyota ist sich zum Beispiel immer im Klaren darüber, welcher Autobesitzer gerade auf die Plattform zugreift und wo sich Fahrer und Fahrzeug gerade befinden. Auf diese Weise kann das System Tankstellen empfehlen, einen Parkplatz finden, Echtzeit-Verkehrsinformationen bereitstellen und bei Umleitungen die Strecke neu berechnen. Andere Dienste können eine große Auswahl von Kontextdaten wie Standort, Uhrzeit, Kundendatensatz, Temperatur, Gerät und praktisch alle sonstigen Informationen nutzen, um die Interaktionen mit Benutzern individuell anzupassen.
Skalierung auf Tausende oder sogar Millionen von Identitäten
Da IRM-Systeme für den Zugriff auf Dienstleistungen für Kunden entwickelt wurden, bieten sie von Haus aus Kapazitäten für Tausende oder Millionen von Identitäten. Sie ermöglichen die schnelle Verifizierung dieser Identitäten sowie ihrer Berechtigungen. Immer mehr Benutzern, Geräten und Dingen wird netzwerkweit eine Identität zugeordnet. IRM hilft Unternehmen dabei, eine unkontrollierte Zunahme von Anmeldeinformationen zu vermeiden sowie einen nahtlosen und reaktionsschnellen Zugriff zu gewährleisten.
Offenheit und Sicherheit von Open Source
Eine gute IRM-Plattform ist als integrierte, zusammenhängende System- und Lösungsinfrastruktur konzipiert, die speziell entwickelt wurde, um komplexen Anforderungen Rechnung zu tragen. Open-Source-Lösungen sind gut geeignet, um der paradoxen Herausforderung gerecht zu werden. Sie können sowohl Offenheit als auch Sicherheit auf einer einheitlichen, hochskalierbaren Plattform bereitstellen. Und sie können mit praktisch jedem Gerät verbunden werden – auch mit verschiedenen Versionen gleichartiger Geräte. Erfahrenen Architekten zufolge sind sie zudem sicherer, weil Entwickler in der Lage sind, sicherheitsbezogene Programmfehler schneller zu identifizieren und zu beheben als bei Legacy-Closed-Source-Plattformen.
Schnellere Umsetzung neuer Geschäftsmodelle
Jedes Unternehmen will wachsen. Doch Unternehmen, die dafür Konsumente ansprechen und als neue Kunden gewinnen wollen, kommen dabei oft an Grenzen, weil es aufwändig ist, hunderttausende von Kunden adäquat in der IT abzubilden. Die früher gängigen Identitäts-Lösungen lassen sich nicht in diesem Maße skalieren. Da Verbraucher stärker personalisierte Dienstleistungen verlangen, müssen sich Unternehmen Identitäten zunutze machen, um visionäre Ideen in Anwendungen zu verwandeln. Mit einem schlüssigen, ausgereiften IRM können Unternehmen schnell Lösungen bereitstellen, die mit jedem beliebigen Gerät für Millionen von Kunden funktioniert. Ein für das Internetzeitalter designtes Identitäts-Management ist also das Fundament, auf dem Unternehmen Innovationen bauen.

Mitarbeiterinformation

Ob sie erforderlich ist, hängt ganz von den Zielen der Sicherheitsanalyse oder des Penetrationstests ab. Grundsätzlich ist immer zu prüfen, ob die Arbeitnehmerrechte in Bezug auf den Datenschutz gewahrt bleiben. Sind personenbezogene Daten vom Test betroffen, sind Mitarbeiter zu informieren bzw. ist der Betriebsrat einzuschalten. Wie der Einzelfall zu behandeln ist, lässt sich im Vorfeld in einem Gespräch mit der Personalabteilung oder mit dem Datenschutzbeauftragten klären. Es empfiehlt sich auch hier, auf die Branchenerfahrung des externen Dienstleisters zurückzugreifen. Einige grundlegende Rechtsfragen klären wir in unserem Beitrag "Was Security Analysts dürfen und was nicht".

Die Nachbereitung

Es hat sich bewährt, die Ergebnisse von Sicherheitsanalyse oder Penetrationstest im Rahmen eines Workshops zu besprechen. Hier lassen sich Fragen zu Kritikalität, Risikobewertung und zur Priorisierung klären und Empfehlungen des Dienstleisters für wirksame Gegenmaßnahmen eingehend erörtern. Der externe Anbieter kann wertvolle Unterstützung leisten, wenn es darum geht, Maßnahmen und Risiken auf Basis der Findings detailliert zu begründen und diese in einen größeren Bedrohungszusammenhang einzuordnen.

Maßnahmenplan

Nach dem Workshop sollte sich die Organisation Zeit dafür nehmen, die gefassten Entscheidungen in einen Maßnahmenplan zu gießen, Verantwortlichkeiten und Prozesse zu definieren und einen Zeitpunkt festzulegen, bis zu dem die Tasks abgearbeitet sein sollten. Dabei sollte sie den Transfer leisten, nicht nur die konkreten Fehler, sondern vor allem auch Fehlerklassen zu berücksichtigen, denn weder eine Sicherheitsanalyse noch ein Penetrationstest haben den Anspruch auf Vollständigkeit.

Beispiel: Findet der Security Analyst heraus, dass der Parameter Benutzername in der Login-Maske anfällig ist für eine SQL-Injection, reicht es nicht, nur diesen konkreten Fehler zu beheben. Vielmehr ist die grundsätzliche Auswertung der Eingabefelder zu prüfen, um die Möglichkeit von SQL-Injections in allen Eingabefeldern zu unterbinden.

Zum Video: Tipps fürs Pentesting

Sind die Gegenmaßnahmen umgesetzt, lohnt sich eine Nachprüfung durch den Security Analyst. Meist ist diese nicht Bestandteil des ursprünglichen Prüfumfangs, sondern eine zusätzliche Investition, deren Aufwand wiederum von Qualität und Quantität der Findings abhängt.

Nach dem Test ist vor dem Test

Auf Basis der Erfahrungen des jüngsten Sicherheits-Monitorings sollten der Prüfplan aktualisiert und die nächsten Termine für die Sicherheitsanalyse oder den Penetrationstest definiert werden. Ziel des Prüfplans muss es sein, ein kontinuierliches Monitoring sicherzustellen und alle kritischen Komponenten der Infrastruktur sowie Anwendungen zu integrieren. (sh)

Mehr zum Thema?

Wenn Sie sich für das Thema Schwachstellen-/Security-Analyse und Penetrationstesting interessieren, empfehlen wir auch die anderen Teile dieser Reihe: