Penetrationstest

Um möglichen Gefährdungen entgegenzuwirken und vorzubeugen, sind Maßnahmen zur kontinuierlichen Verbesserung der IT-Sicherheit zu ergreifen. Sicherheit definiert sich durch Sicherheitsorganisation und Eskalationsvorschriften, technische und  organisatorische Maßnahmen, wie Zugriffsschutzmechanismen und Mitarbeitersensibilisierung, Verschlüsselung und Firewallsysteme, mit dem Ziel, ein bestimmtes IT-Sicherheitsniveau zu etablieren. Diese und weitere Aspekte sollten in einer unternehmensweiten IT-Sicherheitsleitlinie („IT-Security Policy“) bzw. in einem organisationsweiten IT-Sicherheitskonzept zusammengeführt werden.

Haben Sie sich schonmal gefragt:

  • Wie gut ist unser IT-Sicherheits-Konzept tatsächlich?
  • Sind unsere IT-Sicherheits-Maßnahmen auch „State of the Art”?
  • Wird unsere IT-Sicherheits-Politik wirklich von allen Beteiligten gelebt?
  • Können Externe an unsere Daten kommen und können diese sogar gestohlen/ manipuliert werden?

Was ist ein Penetrationstest?

Ein Penetrationstest ist ein (umfassender) Sicherheitstest einzelner Rechner oder ganzer Netzwerke. Anders als bei unserer IT-Sicherheitsschwachstellenanalyse (SiSSA) wird hierbei nicht die Organisation, sondern vielmehr die technische Umsetzung von Sicherheitsmaßnahmen dahingehend geprüft, ob Schwachstellen existieren, die zum „Einbruch“ genutzt werden können. Hierbei werden Methoden und Tools genutzt, die ein potentieller Angreifer (oft „Hacker“ genannt) nutzen könnte, um unautorisiert in das System einzudringen.

Was soll ein Penetrationstest erreichen?

Ziel und Zweck eines Penetrationstests ist die Prüfung des IT-Systems auf mögliche Mängel und Schwachstellen. Dies bedeutet im Einzelnen:

  • Identifikation von Schwachstellen;
  • Aufdecken potentieller Fehler, die sich aus der (fehlerhaften) Bedienung ergeben können;
  • Erhöhung der Sicherheit auf technischer und organisatorischer Ebene;
  • Bestätigung der IT-Sicherheit durch einen externen Dritten.

Durch die ständige Änderung der Bedrohungsbilder und sicherheitsrelevanten Faktoren in der Informationstechnik ist ein Penetrationstest allerdings eher als Momentaufnahme zu begreifen. Im Extremfall kann ein System unmittelbar nach dem Beheben der durch den Test aufgedeckten Schwachstellen durch eine neue Sicherheitslücke wieder verwundbar sein.

Wie gehen Sie bei einem Penetrationstest vor?

Je nach vertraglicher Vereinbarung, bietet die UIMC eine Vielzahl hochkomplexer Prüfungsmethoden:

  • Verdeckte und offensichtliche Verifikation von Schwachstellen
  • Verifikation tatsächlicher Schwachstellen in Anwendungsschnittstellen
  • Verdeckter und offensichtlicher Test der Router
  • Test von Vertrauensbeziehungen zwischen Systemen
  • Verdeckter und offensichtlicher Test der Firewall von außen
  • Test des IDS-Systems
  • Brute-Force-Attacken
  • Abhören von Passwörtern
  • Test von Passwörtern
  • Test von „Denial-of-Service“ Anfälligkeit
  • Direktes und indirektes, persönliches Social-Engineering mit physischem Zutritt
  • Indirektes, persönliches Social-Engineering ohne     physischen Zutritt
  • Überprüfung der drahtlosen Kommunikation (z. B. W-LAN)
  • Test der administrativen Zugänge zur Telefonanlage
  • Test des Voicemailsystems
  • Test der administrativen Zugänge zum Faxsystem
  • Test von Modems
  • Aktiver Test der Zutrittskontrollen
  • Überprüfung der Eskalationsprozeduren
  • Test der vorhandenen VPN-Schnittstellen

Darüber hinaus werden auf Wunsch aggressive Scans durchgeführt - sowohl solche, bei denen es ein Absturzrisiko gibt als auch solche, deren Ziel der Absturz des jeweiligen Systems ist. In gegenseitiger Absprache kann in Abhängigkeit der Penetrationstestergebnisse eine tiefergehende Analyse durchgeführt werden.

Was sollte vor einem Penetrationstest im Unternehmen vorbereitet werden?

Grundsätzlich ist nichts vorzubereiten. Es ist vorab zu klären, ob die IT-Abteilung informiert oder nicht informiert werden sollte. Dies sollte vorab entsprechend der verfolgten Ziele vereinbart werden.

Es ist aber zu bedenken, dass ein Penetrationstest im Allgemeinen nur dann sinnvoll ist, wenn vorab schon eine IT-Sicherheitsorganisation etabliert wurde. Falls die zu prüfende Organisation kein Sicherheitskonzept bzw. keine Sicherheitsleitlinien erstellt hat, ist es insbesondere bei einer komplexen IT-Landschaft fragwürdig, ob die Durchführung eines Penetrationstests überhaupt zielgerecht ist. Vermutlich wäre es für eine Steigerung der IT-Sicherheit viel effizienter, zunächst ein geeignetes Sicherheitskonzept zu erarbeiten und umzusetzen.

Was bietet die UIMC konkret im Rahmen des Penetrationstests an?

Die UIMC erstellt Ihnen gerne ein individuelles Angebot und bietet hierzu Systemexperten mit Kenntnissen in den Bereichen:

  • Systemadministration (Server-Systeme, etc.)
  • Datenbanken (SQL, MSDE, MS Access)
  • Netzwerktechniken
  • Programmiersprachen (Visual Basic, Pascal, etc.)
  • IT-Sicherheitsprodukte (Firewall, Intrusion-Detection-Systeme)
  • Handhabung von Hackertools und Schwachstellen-Scanner
  • Black-Box-Test (Eingriff ohne jegliches Hintergrundwissen)
  • White-Box-Test (Eingriff mit bestimmten Detailkenntnissen)
  • Umfangreiche, eigenentwickelte Testmethoden

Hierbei sind auch folgende Aspekte Teil des Angebots:

  • Umfassende Dokumentation des Penetrationstests und sämtlicher Ergebnisse
  • Einbringung von Know-How aus themenverwandten Projekten, z. B. Aspekte des Datenschutzes, Notfall- und Risikomanagement, Business-Continuity-Management, etc.
  • Erstellung eines Maßnahmenkatalogs sowie ein auf das Unternehmen angepasstes IT-Sicherheits- und Datenschutz-Konzept

Wir haben auch Lösungen, die speziell auf die Bedürfnisse von kleinen und mittelgroßen Unternehmen (KMU) zugeschnitten sind.
Sofern Sie ausführliche Informationen zu diesem Thema benötigen, dann sprechen Sie uns an!