Region - Ausgabe September 2023

Gute Hacker - böse Hacker

Effektive Verteidigung im Bereich IT-Sicherheit: Mit Penetrationstests Schwachstellen im Unternehmen aufdecken, bevor echte Angreifer sie nutzen.
Unscheinbar bewegt sich ein Mann durch das Unternehmen. Eine freundliche Mitarbeiterin hat ihm die Tür geöffnet und nun sucht er gezielt nach Schwachstellen, um in das digitale Herz der Firma einzudringen. Zuvor hatte er schon eifrig Daten gesammelt, die Papiertonne inspiziert und auf Webseiten, in sozialen Medien sowie über spezielle Suchmaschinen zahlreiche Informationen über Mitarbeiter, Geschäftsbeziehungen und die Infrastruktur herausgefunden. Es wäre im Gebäude bereits ein Leichtes für ihn, Firmendaten abzugreifen. An etlichen Stellen findet er offene Zugänge oder vertrauliche Informationen. Dennoch wird er erst am kommenden Tag versuchen, über das Internet in die Firma einzudringen. Er wird Phishing-Mails an Mitarbeiterinnen und Mitarbeiter schicken sowie von außen zugängliche Lücken im Netzwerk ausnutzen.
Der besagte Mann darf das, denn er gehört zu den guten Hackern. Von der Geschäftsleitung hat er diskret den Auftrag bekommen, die physischen, digitalen und menschlichen Schwachstellen in der Firma zu finden und auszuloten, wie weit er in die digitale Struktur des Unternehmens eindringen kann.

Profis am Werk

Die bösen Hacker würden ähnlich vorgehen. Auch sie sind Profis, arbeiten mit anderen Hackern zusammen und sind teilweise hochspezialisiert. „Trotz aller Maßnahmen, die man als Firma ergreift, unterliegt man immer der Gefahr, betriebsblind zu sein. Der geschulte Blick von außen überrascht selbst die, die glauben, das eigene Unternehmen ganz genau zu kennen“, beschreibt Thomas Moosmüller die Situation bei seinen Kunden. Moosmüller ist seit mehr als zehn Jahren in der IT-Sicherheitsbranche aktiv und hat vor vier Jahren die BreakinLabs GmbH gegründet – ein Unternehmen, das im Auftrag ihrer Kunden sogenannte Penetrationstests durchführt.
Thomas Moosmüller, BreakinLabs GmbH
Ein gezielter Angriff, wie gerade beschrieben, stellt die Ausnahme da. Die meisten Unternehmen fallen wahllosen Massenangriffen zum Opfer, ohne dass sich die Angreifer besondere Mühe geben. Ein Betrieb, der gegen gezielte Angriffe gewappnet ist, hat jedoch seine Schutzmauern so weit hochgezogen, dass ein zufälliger Angriff wenig Erfolg verspricht.
Penetrationstests sind ein wesentlicher Bestandteil einer umfassenden Sicherheitsstrategie. Indem sie Sicherheitslücken und Schwachstellen von Unternehmensnetzwerken, Webanwendungen und Infrastrukturen aufdecken, ermöglichen Penetrationstests, gezielte Maßnahmen zur Risikominimierung zu ergreifen. Sie simulieren konkrete Angriffsszenarien und helfen, potenzielle Eintrittspunkte für Angreifer zu erkennen, bevor es zu spät ist.

Risiken festlegen

Tom Michalski, Inmodis GmbH
Der Umfang eines Penetrationstest richtet sich nach den individuellen Risiken des Unternehmens. Das kann der Webstore bei einem Händler sein, vertrauliche Kunden- oder Lieferantendaten oder hochsensible Konstruktions- und Produktionspläne. Häufig steht schlicht die Verfügbarkeit der eigenen Daten, Produktions- und IT-Systeme im Fokus. Das, was es zu schützen gilt, wird im Penetrationstest gezielt auf Schwachstellen untersucht und angegriffen.
„Bei der Beauftragung eines Penetrationstest müssen die Rahmenbedingungen ganz klar festgelegt werden. Es muss vorher definiert werden, was geprüft wird und wie weit ein Angriff gehen soll und darf, damit die Geschäftsführung und der Tester auf sicherem Terrain bleiben“, erklärt Tom Michalski, der sich mit seinem Unternehmen Inmodis GmbH auf Penetrationstests und IT-Forensik spezialisiert hat. Auch er beschäftigt sich seit vielen Jahren mit IT-Sicherheit, unter anderem während seiner Zeit bei der Bundeswehr.

Das sollte geklärt und vertraglich festgehalten werden:

  • Umfang des Tests: Der Vertrag sollte den genauen Umfang des Penetrationstests festlegen. Dies umfasst den Zeitrahmen, die Ziele, die zu testenden Systeme und Anwendungen.
  • Methodik und Testverfahren: Es ist wichtig, die spezifischen Methoden und Testverfahren zu beschreiben, beispielsweise Netzwerkpenetrationstests, physischer Zugang oder Social Engineering-Tests.
  • Vertraulichkeit und Datenschutz: Der Vertrag sollte klare Bestimmungen zur Vertraulichkeit und zum Datenschutz enthalten, um sicherzustellen, dass der Durchführer des Tests alle erhaltenen Informationen und Daten vertraulich behandelt und nicht an Dritte weitergibt.
  • Haftungsausschluss: Ein Haftungsausschluss für den Durchführer des Tests ist meist Vertragsbestandteil. Dies sollte jedoch nicht bedeuten, dass grobe Fahrlässigkeit oder vorsätzliches Fehlverhalten des Testers nicht berücksichtigt werden.
  • Zustimmung und Genehmigung: Der Vertrag sollte bestätigen, dass das Unternehmen dem Penetrationstest zustimmt und dass der Tester alle erforderlichen Genehmigungen und Berechtigungen erhalten hat, um den Test durchzuführen.
  • Berichterstattung und Ergebnisse: Der Vertrag sollte klare Anforderungen an den Bericht und die Ergebnisse des Penetrationstests festlegen. Dies beinhaltet detaillierte Informationen wie Schwachstellen, Risikobewertungen und Empfehlungen zur Behebung.
  • Nachtest-Aktivitäten: Vereinbarungen über mögliche Nachtest-Aktivitäten ermöglichen es dem Unternehmen, die behobenen Schwachstellen erneut überprüfen zu lassen, um sicherzustellen, dass die vorgeschlagenen Maßnahmen erfolgreich umgesetzt wurden.
Autor: Dr. Christian Götz