Technologie

Was macht ein Pentesting Team?

Was macht ein Pentesting Team?
Radar Cyber Security beschäftigt ein hoch qualifiziertes Team an Experten, um die Sicherheit von Unternehmen zu überprüfen. Als unabhängige Stelle analysieren diese im Rahmen eines Penetration Tests, auch Pentest genannt, im Auftrag von Unternehmen die IT- bzw. Unternehmensinfrastruktur auf mögliche Schwachstellen. Diese können dazu führen, dass Vertraulichkeit, Integrität und Verfügbarkeit empfindlich beeinträchtigt werden. Ziel ist es, herauszufinden, wie sicher und gut ein Unternehmen oder seine Software in Bezug auf Angriffe von innen und außen aufgestellt ist. Die entdeckten Schwachstellen werden so angegriffen, wie es Kriminelle im Ernstfall auch tun würden.

Pentests sind ebenso zur Überprüfung diverser Standards wie ISO-Zertifizierungen oder Datenschutz- und NIS-Richtlinien wichtig, um eindeutig zu klären, ob Firmen diese Vorgaben einhalten. Im Vorfeld jedes Tests werden Umfang, Aufgabenbereich und Zielsetzung detailliert besprochen und vom Auftraggeber genehmigt.

Die Schwachstellen eines Unternehmens können unterschiedlichster Natur sein. So gibt es physische Schwachstellen wie offene Türen oder keine Zugangsbeschränkungen. Menschliche Schwachstellen können durch mehr oder weniger ausgefeilte Social-Engineering-Attacken ausgenutzt werden. Technische Schwachstellen ermöglichen, aufgrund mangelnder IT- und OT-Sicherheitsmaßnahmen, ein Eindringen in das Unternehmensnetzwerk.

Wie wird ein Pentest durchgeführt?

Ein Pentest wird in mehreren Phasen durchgeführt. Zu Beginn werden Informationen beschafft, um mögliche Ziele oder Angriffspunkte auszumachen. Details zu Zugangspunkten, Mitarbeitern (die lohnende Ziele darstellen könnten) sowie technischen Applikationen und Systemen werden gesammelt. Diese Informationen werden entweder direkt vom Kunden zur Verfügung gestellt oder in Eigenrecherche mittels gängiger Suchmaschinen, diverser Social-Media-Kanäle oder Spezial-Suchmaschinen erarbeitet. Auf Grundlage der gesichteten Daten können im zweiten Schritt weitere Informationen beschafft werden. Server-Systeme werden auf offene Ports und Schwachstellen gescannt, während Webapplikationen mittels Proxy analysiert werden. Alle von Scannern gemeldeten Schwachstellen werden manuell überprüft und gegebenenfalls verworfen. Bei physischen Assessments wird zu diesem Zeitpunkt eine Recherche mit Google Maps durchgeführt, ein Vor-Ort-Check gemacht oder Termine im Büro ausgemacht. Im nächsten Zug werden die gesammelten Informationen ausgewertet, gefundene Schwachstellen aktiv ausgenutzt oder Phishing-Kampagnen entworfen und durchgeführt. Für solch eine Social-Engineering-Attacke werden glaubwürdige Inhalte generiert, die dafür sorgen sollen, dass die getesteten Mitarbeiter ihre Zugangsdaten bei einem gefälschten Login eingeben. Besonders geeignet hierfür sind Gewinnspiele jeder Art. Bei einer physischen Sicherheitsüberprüfung werden Mittagspausen und Rauchpausen ausgenutzt, um mit anderen Mitarbeitern ins Gebäude zu gelangen. Dort angekommen wird ein geeigneter Netzwerkport gesucht, um ein mitgebrachtes Fremdgerät an das Netzwerk anzuschließen. Dieses Gerät ermöglicht, entweder über das Firmennetzwerk oder ein eingebautes LTE-Modem, Fernzugriff auf das Unternehmensnetz.

Technische Schwachstellen werden manuell verifiziert und oft toolgestützt ausgenutzt. Der initiale Weg in das Firmennetzwerk oder die Applikation stellt dabei meistens die größte Herausforderung dar. Abhängig vom Auftrag wird im Folgenden versucht, initiale Rechte auf den Systemen auszuweiten und weitere zu übernehmen, um das gewünschte Resultat zu erreichen. So wird versucht, Domain-Administratoren-Rechte zu erlangen, Zugriff auf geschützte Systeme zu bekommen oder besonders schützenswerte, personenbezogene Daten zu finden. Während des gesamten Analysezeitraums werden sämtliche vorgenommen Änderungen an den Systemen dokumentiert. Dies können abgelegte Dateien, installierte Programme oder hinzugefügte Benutzer sein. Nach Abschluss der Überprüfungen werden, soweit möglich, alle Änderungen rückgängig gemacht.

Am Ende eines jeden Projekts wird ein umfassender Abschlussbericht verfasst, der dem Auftraggeber sicher übermittelt und auf Wunsch präsentiert wird. Der Report stellt das wichtigste Dokument jeder Überprüfung dar. Darin werden sämtliche durchgeführten Maßnahmen und Aktionen sowie Schwachstellen und Empfehlungen detailliert beschrieben. Risiken werden nach dem Ampelsystem bewertet und entsprechend einer Skala von gering bis hoch eingestuft. Social-Engineering-Kampagnen werden im Bericht anonymisiert, um Rückschlüsse auf betroffene Mitarbeiter zu vermeiden. Solche Angriffe müssen vom Betriebsrat bewilligt werden, ein Fehlverhalten darf keine negativen Konsequenzen für Mitarbeiter nach sich ziehen.

Die Management Summary gibt einen kompakten Überblick über die aufgedeckten Probleme. Sie soll entsprechendem Führungspersonal helfen, die aktuelle Lage schnell und einfach zu erfassen und entsprechende Maßnahmen einzuleiten. Pentests helfen dem Management auch, zu klären, ob interne und externe Richtlinien korrekt umgesetzt und eingehalten werden.

Die Experten von Radar Cyber Security finden bei ihren Aufträgen so gut wie immer Schwachstellen, einzig der Schweregrad der einzelnen Feststellungen sowie deren Ausnutzbarkeit unterscheiden sich. Abhängig von Aufgabenstellung und Umfang dauern Assessments im Durchschnitt einige Tage bis zwei Wochen. Große Unternehmen komplett zu überprüfen kann mitunter auch einen Monat in Anspruch nehmen. Meistens ist ein Pentest im Vorfeld mit der internen IT abgesprochen, um einen reibungslosen Ablauf zu gewährleisten. Es kommt auch vor, dass nur ein kleiner Personenkreis im Management Kenntnis über eine bevorstehende Überprüfung hat, um auch das Verhalten der eigenen Mitarbeiter zu testen.

Schwachstelle Mensch

Wie schon in unserer Cybersicherheitsstudie 2018 nachzulesen war, mangelt es in Unternehmen meist an internen Sicherheitsexperten und oft fehlt den Mitarbeitern auch das Wissen um die Risiken. Denn in der Regel sind es Menschen, die E-Mail-Anhänge aufmachen. Gefälschte Domains und Absender fallen während des normalen Tagesgeschäfts oft gar nicht auf. Um fast garantiert Erfolge zu erzielen, bieten sich Online-Gewinnspiele an. Gewinner sind dabei aber nur die Angreifer, die rasch und unkompliziert an gültige Zugangsdaten von Angestellten kommen. In der Menge zu verschwinden geht bei Gebäuden ohne Zugangsschleusen beim Vor-Ort-Einsätzen ganz leicht zu Arbeitsbeginn oder nach der Mittagspause. Wenn ein Lieferant oder Wartungstechniker unangekündigt vorbeischaut, sollte man als Angestellter auch aufmerksam werden. In solch einer Rolle kann man sich relativ leicht Zugang zu sensiblen Bereichen wie etwa dem Serverraum verschaffen.

Zur Verbesserung der Sicherheit gilt es einige grundlegende Aspekte und Maßnahmen zu beachten und entsprechende Vorkehrungen zu treffen, um Schäden und einen etwaigen Reputationsverlust für Unternehmen zu minimieren. Nur mit einer starken Cyber Security in allen Bereichen können Unternehmen sicher sein, auch in Zukunft weiterhin auf das Vertrauen von Kunden und Partnern bauen zu können.

Die Empfehlungen unserer Experten

  1. Kontinuierliches IT-Monitoring und Risk Detection sämtlicher Systeme
  2. Überblick über Systeme und Berechtigungen verschaffen (IT, OT, IoT, IIoT)
  3. Patchmanagement und -zyklen etablieren
  4. Umfassende Sicherheitsstrategie samt Verantwortlichkeiten und deren regelmäßige Überprüfung festlegen
  5. Eingesetzte Technologien entsprechend Best-Practice-Empfehlungen konfigurieren und aktualisieren
  6. Schwachstellen durch entsprechende Maßnahmen aufdecken und umgehend schließen
  7. Geschäfts- und Kundendaten regelmäßig sichern und Backups geschützt speichern
  8. Sichere Entsorgung oder Löschung von Informationen (Papier, Datenträger und digitale Daten)
  9. Multi-Faktor-Authentifizierung sowie starke Passwörter bzw. Passphrasen verwenden
  10. Verschlüsselung von Daten und Kommunikation (Festplattenverschlüsselung, TLS, End-to-End Encryption)