Das könnte dich auch interessieren

Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Infrastruktur

Netzwerk, Mitarbeiter und Hardware unter der Lupe: Mit Penetrationstests das eigene Unternehmen absichern

    Netzwerk, Mitarbeiter und Hardware unter der Lupe: Mit Penetrationstests das eigene Unternehmen absichern

Die Frage ist: „Von außen rein, oder von innen raus?“

IT-Sicherheits-Maßnahmen gibt es einige, aber wie kann überprüft werden, ob die IT-Sicherheits-Maßnahmen auch effektiv sind? Eines ist klar, das Wort „sicher“ gibt es nicht, aber ein Penetrationstest kann Risiken minimieren.

Beim Penetrationstest wird versucht, in ein System oder ein Netzwerk einzudringen. Dabei gibt es keine Spielregeln und es sind alle Faktoren gleichermaßen zu überprüfen, egal ob Hardware-Komponente oder menschliche Faktoren. Es handelt sich also um einen enorm umfassenden Sicherheitstest, da alle Systembestandteile, Anwendungen und sogar auch die einzelnen Akteure beziehungsweise die internen Nutzer, überprüft werden. Somit werden nicht nur Angriffspotenziale von außen, sondern auch von innen überprüft.

penetration
Penetrationstest. Die Gefahr kommt nicht immer von außerhalb. (Foto: © Stocksnapper - Fotolia.com)

Bei der Durchführung eines Penetrationstests wird zwischen verschiedenen Angreifern und Methoden unterschieden. Landläufig werden Angreifer häufig als „Hacker“ bezeichnet, wobei diese Bezeichnung nicht immer zutrifft. Zurückzuführen ist das darauf, dass selbst in der Fachwelt die Abgrenzunug beziehungsweise die Defintion des Begriffs umstritten und teilweise fließend ist. In diesem Artikel wollen wir aber zwischen „Hackern“ und „Crackern“ unterscheiden. Wobei die Cracker diejenigen sind, die bereits enormes Wissen über ein System besitzen, weil es sich zum Beispiel um ehemalige Mitarbeiter handelt und sie sich nicht völlig „blind“ an das System herantasten müssen, um eine potenzielle Schwachstelle zu finden. So ist es als ehemaliger Kollege einfacher an Passwörter zu kommen beziehungsweise „Social Engineering“ zu betreiben, als ein klassischer Hacker der im Ausland sitzt, und vielleicht gar nicht die Sprache spricht.

Natürlich gibt es auch mehrere Herangehensweisen in ein System (egal ob Rechner oder Netzwerk) einzudringen:

Social-Engineering

Über die Gefahren des Social-Engineerings wurden eine ganze Reihe von Büchern geschrieben – und ein Artikel auf t3n. Bei dieser Angriffsmethode wird versucht, über Schwachstellen im Personal privilegiertes Wissen zu erlangen. Dabei kann es sich um Passwörter handeln, oder um Informationen die erst in Summe brauchbar werden. Das klassische Beispiel ist wohl ein Angreifer, der sich als „der Neue in der IT-Abteilung“ vorstellt, um sich Wissen erschleichen zu können.

Physische Barrieren durchdringen oder umgehen

Dass Server in einem abgeschlossenem Bereich stehen, ist eine Grundvorraussetzung in der IT-Sicherheit. Denn: Wer physischen Zugang zu einem System hat, der wird über kurz oder lang auch Zugriff auf die Daten haben.

Angriff über das Netzwerk

DDoS-Attacken, Portscanning, IP-Spoofing, Session-Hijacking oder Sniffing sind Attacken die unter der Ausnutzung von Schwachstellen der eingesetzten Netzwerkprotokolle, Netzwerkkomponenten, Computersystemn oder deren Applikationen stattfinden.

Penetrationstest: Der Weg ist das Ziel

Natürlich kann hier mit umfassenden Sicherheits-Policys und anderen IT-Sicherheitsmaßnahmen entgegen gewirkt werden. Allerdings sollte man sich klar sein, dass es keine absolute Sicherheit gibt.

The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guardsGene Spafford

Darüber hinaus sind sich Nutzer oft gar nicht bewusst, dass sie selbst ein potentielles Sicherheitsrisiko darstellen. Stichwort: Schatten-IT. Um also ein gesamtheitliches Bild der IT-Sicherheit zu erhalten empfiehlt sich der Penetrationstest.

Was kann ein Penetrationstest leisten?

Penetrationstests sind geeigenet, um die Sicherheit der technischen Systeme zu erhöhen, Schwachstellen im System zu identifizieren, die Sicherheitsriskiken durch Mitarbeiter zu minimieren oder um die eigene IT-Sicherheit durch externe Experten bestätigen zu lassen.

Es ist also wichtig, dass das Ergebnis des Penetrationstests nicht nur Schwachstellen sondern auch konkrete Lösungen aufzeigt. Wobei es sich nicht immer um das Schließen von einzelnen Lücken, sondern von einer Überarbeitung des Gesamtkonzepts handeln kann.

Die Grenzen des Penetrationstests

Die Durchführung eines Penetrationstest sollte nicht mit „positiv“ oder „negativ“ enden, denn der Penetrationstest ist nur eine Momentaufnahme. Techniken, Angriffsszenarien und Sicherheitslücken einzelner Komponenten und Faktoren ändern sich so schnell, dass paradoxerweise, kurz nach erfolgreichem Penetrationstesting auch ein erfolgreicher Angriff erfolgen kann. Ein Penetrationstest ist somit kein Zertifikat, sondern vielmehr die Ermittlung eines Status-Quo der vorhandenen IT-Sicherheit. Des weiteren liefert dieser Test keine Auskunft über das Niveau der Softwarequalität der eingesetzten Anwendungen, die sich auch mit jedem Update ändern könnte.

Ist ein Penetrationstest somit sinnlos? Auf keinen Fall! Wie gesagt: Es gibt keine absolute Sicherheit, allerdings ist ein Penetrationstest sicher eine der besten Methoden um die IT-Sicherheit eines Unternehmens zu erhöhen, komplementär zu den Sicherheitsrichtlinien.

Schreib den ersten Kommentar!

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen