PENTEST

Ziele

Ziel eines Pentest ist immer, eine Informationsbasis für die Erhöhung der Sicherheit von technischen Systemen zu schaffen.

Schwachstellen werden identi­fiziert, bewertet und zu Entscheidungskriterien für organisatorische, fachliche oder technische Maßnahmen aufbereitet.

Die daraus abgeleiteten Maßnahmen unterstützen dabei, Unbefugten den Zugang zu ihren Systemen und/oder sensiblen Daten möglichst schwer zu machen.

Definition

Ein Pentest (Penetration Test)

  • ist die Prüfung der Sicherheit eines IT-Systems aus dem Blickwinkel eines Angreifers;
  • ist ein kontrollierter Versuch, in ein Computer- oder Netz­werksystem einzudringen. Dabei werden potentielle Tools und Techniken eines Angreifers unter den typischen Szenarien eines Angriffes eingesetzt;
  • kann die Korrektur identifizierter Schwachstellen ermöglichen, bevor die­se durch einen realen Angriff ausgenutzt und dadurch Unbefugte Zugang zu Syste­men und/oder zu sensiblen Daten erlangen können;
  • macht als unabhängiger, Fakten schaffender Test eines Gesamtsystems auch dann Sinn, wenn zum Aufbau des Systems zertifizierte Einzelkompo­nenten eingesetzt werden;
  • liefert immer ein Ergebnis zum Zeitpunkt der Durchführung. Geänderte Konfigura­tionen, neue Software Versionen aber auch bisher unentdeckte Fehler oder Angriffsmethoden können dieses Ergebnis invalidieren bzw. neue Aspekte hinzufügen. Welche Risiken daraus zukünftig entstehen können und wann, ist Spekulation. Aus diesem Grund sollten derartige Tests in regelmäßigen Abständen wiederholt werden;
  • kann in einer Art durchgeführt werden, die Testaktivitäten vor evtl. vor­handenen Abwehrsystemen verbirgt. Dies erhöht typischerweise die Testdauer massiv und verhindert Hinweise darauf, ob die Tests von den Abwehrsystemen erkannt werden;
  • wird immer in einer Abwägung aus Prüftiefe, Aufwänden und Risiken der Prüfung durchgeführt. Höhere Prüftiefen erhöhen die Wahrscheinlichkeit, potentielle Schwachstellen zu entdecken und nachzuweisen, erhöhen aber immer sowohl das Risiko eines unerwünschten Effektes auf das zu prüfende System als auch die Aufwände für die Prüfung. Bei dieser Abwägung ist der vorgenannte Punkt „Ergebnis zum Zeitpunkt“ ein wichtiger Faktor. Auch bei maximal denkbarem Aufwand bleibt das Ergebnis eine Momentaufnahme unter den zu diesem Zeitpunkt vorliegenden Rahmenbedingungen. Daher können häufige Prüfungen mit niedrigerer Prüftiefe unter Umständen besser nutzbare Ergebnisse erzielen als seltene Prüfungen mit höherer Prüftiefe;
  • kann sowohl von „Innen“ (vor Ort, per VPN, per SSH o.ä.) als auch von „Außen“ (WLAN vor Ort, Internet) erfolgen.

Ein Pentest ergänzt und unterstützt andere und ähnliche Maßnahmen der IT Sicherheit in wesentli­cher Form, kann diese jedoch nicht ersetzen. Dazu gehören

  • Zertifizierungen (z.B. ISO 27001),
  • Sicherheitsanalysen (z.B. BSI IT-Grundschutz-Audits),
  • Optimierung der Netzwerk- und Anwendungsarchitektur,
  • Optimierung der IT-orientierten Prozesse.

Ausprägungen

Sicherheitsexperten kategorisieren Pentests vor allem nach den Rahmenbedingungen, die die Ausgangsbedingungen und die Vorgehensweise bei der Durchführung bezeichnen. Etabliert haben sich die Begriffe „Black-Box“, „White-Box“ und „Grey-Box“ Tests. Dabei ist die häufig erste reflexhaft entstehende Einschätzung, ein Grey-Box Test ist eine Mischung oder auch ein Mittelweg zwischen Black- und White-Box Tests etwas irreführend. Natürlich ist die Kombination der Vorteile anderer Tests ein Gesichtspunkt, allerdings steckt dahinter deutlich mehr.

Soviel vorab, Vorsicht Spoiler: In der Mehrzahl der Fälle hat sich der Grey-Box Test als ideal passend zum Informationsbedarf unserer Kunden herausgestellt. Er vermeidet „Suchspiele“ mit begrenzter Aussagekraft und erlaubt es, bei vergleichbar geringen Kosten sehr gezielt vorzugehen.

Black-Box Test

Der Black-Box Test kommt einem echten Angriff am nächsten. Die internen Strukturen der Netze, die Konfigurationen, Informationen über Benutzer u.ä. werden nicht vorab bekannt gemacht. Es ist Teil und typischerweise erster Schritt des Pentest, öffentlich verfügbare Quellen zur Gewinnung dieser Informationen heranzuziehen. Auf dieser Basis erstellt der Tester dann seine eigene Sicht der Dinge. Netzwerktopographien, Architekturen und Komponenten ergeben ein Gesamtbild, so wie es sich dem Tester darstellt. Die Suche nach Schwachstellen bezieht sich auf dieses Gesamtbild. Der Ausgangspunkt des Zugriffes befindet sich typischerweise außerhalb des Netzwerk Perimeters.

Vorteile

  • kann sehr kurzfristig und schnell initiiert werden, da im Vorfeld nur die Rahmenbedingungen, aber keine weiteren Details abgestimmt werden müssen;
  • hat häufig eine kürzere Projektlaufzeit, da die nutzbaren Angriffsflächen typischerweise eher klein und bereits gut gesichert sind.

Nachteile

  • tatsächlich vorhandene Schwachstellen werden eventuell übersehen, weil der Tester z.B. bestimmte äußere Sicherungen im vorgegebenen Zeitraum nicht überwinden, oder durch interne Querverbindungen erreichbare Systeme nicht testen konnte;
  • es entstehen Zeitaufwände, um Informationen zu beschaffen, die der Tester in jedem Falle erreichen kann, oder die durch Sichtung der Dokumentation oder durch einen vorhandenen Zugang durch den Perimeter sofort sichtbar würden;
  • manche Schwachstellen sind evtl. nur zu bestimmten Zeitpunkten nutzbar und treten im vorgegeben Zeitraum nicht zu Tage. Anders als Pentester nutzen echte Angreifer aber häufig sehr lange Zeiträume für ihre Aktivitäten.

White-Box Test

Bei einem White-Box Test erhält der Tester Zugriff auf Netzwerktopologien, Konzepte, Softwarearchitekturen, Source Code u.ä. und untersucht alle Informationen aus dem Blickwinkel der IT Sicherheit. Es ist damit in weiten Strecken eine Begutachtung der Systeme und ihrer Konfigurationen. Der Ausgangspunkt des Zugriffes befindet sich typischerweise innerhalb des Netzwerk Perimeters.

Vorteile

  • zeigt potentielle Schwachstellen in vielen Zusammenhängen direkt auf. Es gibt keine Geheimnisse;
  • eine mühsame Suche nach dem initialen Zugangspunkt oder versteckten Schwachstellen („security by obscurity“) ist oft nicht notwendig.

Nachteile

  • erfordert die Sichtung und Analyse umfangreicher Dokumentation. Das kann sehr zeitraubend und damit kostenintensiv sein;
  • internes Wissen über die Architektur und damit die Denkweise von Entwicklern und Administratoren führt möglicherweise zu einer Voreingenommenheit und in der Folge zum Übersehen von Schwachstellen;
  • unvollständige oder falsche Dokumentation kann Schwachstellen verdecken.

Grey-Box Test

Bei einem Grey-Box Test werden dem Tester die Informationen zur Verfügung gestellt, die für den Test notwendig oder relevant sind, die er in jedem Fall entdecken würde oder die speziell betrachtet werden sollen. Darüber hinaus erfolgt der Test wieder aus dem Blick eines Angreifers, diesmal aber mit etwas Insider Information. Der Ausgangspunkt des Zugriffes befindet sich typischerweise innerhalb des Netzwerk Perimeters.

Vorteile

  • bietet häufig einen guten Kompromiss aus schnellen Einstieg, Kosten und Qualität der Ergebnisse;
  • erlaubt eine feine Anpassung an die individuellen Prüfziele, z.B. auch auf „Putzpersonal“ und „Home-Office“ Szenarien;
  • verkürzt den oft mühsamen ersten Einstieg bzw. das Überwinden des äußeren Schutzringes und erlaubt es, mehr Zeit mit der tatsächlichen Analyse der Systeme zu verbringen.

Nachteile

  • erfordert etwas mehr Planung und Vorbereitung für den Einstieg als ein Black-Box Test.

Fazit

Wenn eine Ausprägung in jedem Szenario die besten Ergebnisse erzielen könnte, dann gäbe es nur diese eine Ausprägung. Die Auswahl ist also eine Abwägung aus Zielen, Rahmenbedingungen und Budgetbetrachtungen. Wir unterstützen Sie gerne dabei.

Im Zweifel ist meist der Grey-Box Test das Mittel der Wahl.

Er vermeidet „Suchspiele“ mit begrenzter Aussagekraft und erlaubt es, sehr gezielt vorzugehen. Damit bietet er häufig einen sehr guten Kompromiss aus schnellem Einstieg, Kosten und Qualität der Ergebnisse. Die Kombination mit häufigeren Prüfungen bei niedrigerer Prüftiefe bietet er in sehr vielen Fällen das am besten nutzbare Ergebnis bei begrenztem Budget.

Ergebnis

Das Ergebnis eines Pentest ist ein ausführlicher schriftlicher Bericht, der eine eindeutige Aussage zum Zustand der betrachteten Systeme aus dem Blickwinkel der IT-Sicherheit beinhaltet. Er enthält eine detaillierte Darstellung der vorgefundenen Infrastruktur und Topologie, wie sie sich für einen Angreifer darstellt.

Der Bericht beinhaltet eine Aufstellung aller

  • entdeckten Schwachstellen, nachgewiesen und potentiell, mit nachvollziehbarer Begründung,
  • sichtbaren bzw. erreichbaren Systeme und deren bekannte Eigenschaften,
  • verfügbaren Ports und Schnittstellen,
  • als kompromittiert anzusehenden Zugangsdaten,
  • entdeckte und potentielle Zugriffspfade auf sensible Daten,
  • im Laufe der Untersuchung festgestellten Auffälligkeiten,

sowie eine Bewertung der Schwachstellen nach Schweregrad und Risiko.

Die Inhalte des Berichts werden dem Projektteam in Form einer Präsentation dargestellt. Diese ist idealerweise zweigeteilt in

  • eine Zusammenfassung und Diskussion der Ergebnisse mit Blickwinkel auf die strategischen und organisatorischen Auswirkungen („Management Summary“) ;
  • einen technisch orientierten Workshop, der sich an Systemverantwortliche richtet. Es werden ausgewählte Hintergründe und Details dargestellt, Fragen gestellt und Lösungsansätze diskutiert.