t3n News Infrastruktur

Netzwerk, Mitarbeiter und Hardware unter der Lupe: Mit Penetrationstests das eigene Unternehmen absichern

Netzwerk, Mitarbeiter und Hardware unter der Lupe: Mit Penetrationstests das eigene Unternehmen absichern

IT-Sicherheits-Maßnahmen gibt es einige, aber wie kann überprüft werden, ob die IT-Sicherheits-Maßnahmen auch effektiv sind? Eines ist klar, das Wort „sicher“ gibt es nicht, aber ein Penetrationstest kann Risiken minimieren.

Netzwerk, Mitarbeiter und Hardware unter der Lupe: Mit Penetrationstests das eigene Unternehmen absichern

Die Frage ist: „Von außen rein, oder von innen raus?“

Beim Penetrationstest wird versucht, in ein System oder ein Netzwerk einzudringen. Dabei gibt es keine Spielregeln und es sind alle Faktoren gleichermaßen zu überprüfen, egal ob Hardware-Komponente oder menschliche Faktoren. Es handelt sich also um einen enorm umfassenden Sicherheitstest, da alle Systembestandteile, Anwendungen und sogar auch die einzelnen Akteure beziehungsweise die internen Nutzer, überprüft werden. Somit werden nicht nur Angriffspotenziale von außen, sondern auch von innen überprüft.

penetration
Penetrationstest. Die Gefahr kommt nicht immer von außerhalb. (Foto: © Stocksnapper - Fotolia.com)

Bei der Durchführung eines Penetrationstests wird zwischen verschiedenen Angreifern und Methoden unterschieden. Landläufig werden Angreifer häufig als „Hacker“ bezeichnet, wobei diese Bezeichnung nicht immer zutrifft. Zurückzuführen ist das darauf, dass selbst in der Fachwelt die Abgrenzunug beziehungsweise die Defintion des Begriffs umstritten und teilweise fließend ist. In diesem Artikel wollen wir aber zwischen „Hackern“ und „Crackern“ unterscheiden. Wobei die Cracker diejenigen sind, die bereits enormes Wissen über ein System besitzen, weil es sich zum Beispiel um ehemalige Mitarbeiter handelt und sie sich nicht völlig „blind“ an das System herantasten müssen, um eine potenzielle Schwachstelle zu finden. So ist es als ehemaliger Kollege einfacher an Passwörter zu kommen beziehungsweise „Social Engineering“ zu betreiben, als ein klassischer Hacker der im Ausland sitzt, und vielleicht gar nicht die Sprache spricht.

Natürlich gibt es auch mehrere Herangehensweisen in ein System (egal ob Rechner oder Netzwerk) einzudringen:

Social-Engineering

Über die Gefahren des Social-Engineerings wurden eine ganze Reihe von Büchern geschrieben – und ein Artikel auf t3n. Bei dieser Angriffsmethode wird versucht, über Schwachstellen im Personal privilegiertes Wissen zu erlangen. Dabei kann es sich um Passwörter handeln, oder um Informationen die erst in Summe brauchbar werden. Das klassische Beispiel ist wohl ein Angreifer, der sich als „der Neue in der IT-Abteilung“ vorstellt, um sich Wissen erschleichen zu können.

Physische Barrieren durchdringen oder umgehen

Dass Server in einem abgeschlossenem Bereich stehen, ist eine Grundvorraussetzung in der IT-Sicherheit. Denn: Wer physischen Zugang zu einem System hat, der wird über kurz oder lang auch Zugriff auf die Daten haben.

Angriff über das Netzwerk

DDoS-Attacken, Portscanning, IP-Spoofing, Session-Hijacking oder Sniffing sind Attacken die unter der Ausnutzung von Schwachstellen der eingesetzten Netzwerkprotokolle, Netzwerkkomponenten, Computersystemn oder deren Applikationen stattfinden.

Penetrationstest: Der Weg ist das Ziel

Natürlich kann hier mit umfassenden Sicherheits-Policys und anderen IT-Sicherheitsmaßnahmen entgegen gewirkt werden. Allerdings sollte man sich klar sein, dass es keine absolute Sicherheit gibt.

The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guardsGene Spafford

Darüber hinaus sind sich Nutzer oft gar nicht bewusst, dass sie selbst ein potentielles Sicherheitsrisiko darstellen. Stichwort: Schatten-IT. Um also ein gesamtheitliches Bild der IT-Sicherheit zu erhalten empfiehlt sich der Penetrationstest.

Was kann ein Penetrationstest leisten?

Penetrationstests sind geeigenet, um die Sicherheit der technischen Systeme zu erhöhen, Schwachstellen im System zu identifizieren, die Sicherheitsriskiken durch Mitarbeiter zu minimieren oder um die eigene IT-Sicherheit durch externe Experten bestätigen zu lassen.

Es ist also wichtig, dass das Ergebnis des Penetrationstests nicht nur Schwachstellen sondern auch konkrete Lösungen aufzeigt. Wobei es sich nicht immer um das Schließen von einzelnen Lücken, sondern von einer Überarbeitung des Gesamtkonzepts handeln kann.

Die Grenzen des Penetrationstests

Die Durchführung eines Penetrationstest sollte nicht mit „positiv“ oder „negativ“ enden, denn der Penetrationstest ist nur eine Momentaufnahme. Techniken, Angriffsszenarien und Sicherheitslücken einzelner Komponenten und Faktoren ändern sich so schnell, dass paradoxerweise, kurz nach erfolgreichem Penetrationstesting auch ein erfolgreicher Angriff erfolgen kann. Ein Penetrationstest ist somit kein Zertifikat, sondern vielmehr die Ermittlung eines Status-Quo der vorhandenen IT-Sicherheit. Des weiteren liefert dieser Test keine Auskunft über das Niveau der Softwarequalität der eingesetzten Anwendungen, die sich auch mit jedem Update ändern könnte.

Ist ein Penetrationstest somit sinnlos? Auf keinen Fall! Wie gesagt: Es gibt keine absolute Sicherheit, allerdings ist ein Penetrationstest sicher eine der besten Methoden um die IT-Sicherheit eines Unternehmens zu erhöhen, komplementär zu den Sicherheitsrichtlinien.

Newsletter

Bleibe immer up-to-date. Sichere dir deinen Wissensvorsprung!

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Hardware
Hardware-Fetischisten werden diesen Stehtisch lieben
Hardware-Fetischisten werden diesen Stehtisch lieben

Stehtische gibt es in vielen Variationen, Formen und Farben. Das Modell von Lian Li unterscheidet sich aber von den meisten anderen. Denn er fungiert zugleich auch als Gehäuse für euren PC und … » weiterlesen

Atari-Comeback mit IoT-Hardware: Smarte Geräte statt Spielkonsolen
Atari-Comeback mit IoT-Hardware: Smarte Geräte statt Spielkonsolen

Erinnert ihr euch noch an Atari? Der legendäre Spielkonsolen- und Computerhersteller will wieder die Wohnzimmer erobern – allerdings leider nicht mit einer neuen Konsole, sondern mit Gadgets für … » weiterlesen

Android-Updates: Google will mehr Druck auf Hardware-Hersteller ausüben
Android-Updates: Google will mehr Druck auf Hardware-Hersteller ausüben

Android und Updates: ein sensibles Thema seit 2007. Google hat schon diverse Male versucht, das Problem der schlechten Update-Politik von Herstellern zu beheben – jetzt wird laut Bloomberg ein … » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?