28

Nov

2020

Penetrationstests lassen Hacker alt aussehen

Warum Penetrationstests für Unternehmen unverzichtbar sind

Hacker agieren immer hemmungsloser. Oft verlieren sich ihre Spuren in Russland oder auf Proxys in Malaysia. Abgesehen haben es Cyberkriminelle auf den Zugang zu Firmennetzen. Ihr Ziel: Sabotage, Diebstahl geistigen Eigentums oder die Blockade von Servern, um Zahlungen zu erpressen. Penetrationstests, bei denen beauftragte Profis ein Netzwerk wie ein Hacker auf Schwachstellen prüfen, erschweren künftige Angriffe von Cyberkriminellen. Sie helfen neben einem Informations-Security-Management-System Unternehmen, ihre Netzwerke zu härten. Severin Quell, Director IT Security Consulting bei der INFODAS GmbH, erläutert in einer fünfteiligen Serie Grundlagen, Methoden und Perspektiven von Penetrationstests.

Deutschland verzeichnet einen neuen Höchststand der Cyberkriminalität. Das ist eines der wichtigsten Ergebnisse aus dem „Lagebericht der IT-Sicherheit in Deutschland 2020“ vom Bundesamt für Sicherheit in der Informationstechnik (BSI) aus Oktober 2020. Unter anderem hat die Anzahl an Schadprogramm-Varianten in den vergangen zwölf Monaten bis Mai 2020 um 117,4 Millionen zugenommen, ein erneutes Plus gegenüber dem Vorjahr um drei Prozent. Für die Wirtschaft bedeutet das Verluste in Milliardenhöhe. Allein bis Ende 2019 hatte sich die Schadenhöhe durch Cyberangriffe in nur zwei Jahren auf über 100 Milliarden Euro verdoppelt, so der Branchenverband Bitkom. Für 2020 dürfte diese Summe weiter steigen, denn mit Corona haben sich zudem die Angriffsmöglichkeiten schlagartig erhöht. Zur Hochzeit der Pandemie arbeiteten über 40 Prozent der Bürobeschäftigten im Homeoffice. Das jedenfalls ist das Ergebnis der ESET Wirtschaftsstudie „Quo Vadis, Unternehmen?“. Bei der Befragung von 620 Unternehmen von Mai bis Juli 2020 stellte sich heraus, dass 30 Prozent der Heimarbeiter lediglich mit Benutzername und Passwort auf Firmennetzwerke zugreifen konnten. Immerhin 44 Prozent arbeiteten über eine sichere Verbindung (Virtual Private Networks, VPN), 29 Prozent über eine Zwei-Faktor-Authentifizierung.

Natürlich lesen auch Cyberkriminelle Nachrichten und machten sich die Notlage zunutze. Die ESET-Forscher fanden heraus, dass Hacker die in Microsoft-Programmen vorhandene Fernwartungsprotokolle (Remote Desktop Protokoll, RDP) missbräuchlich für Versuche nutzten, sich illegalen Zugang zu Firmennetzen zu verschaffen. Ihre Statistik zeigt, dass sich seit Beginn der Corona-Pandemie die Angriffe auf RDP vervielfacht haben. Allein in Deutschland stieg mit dem Beginn des Lockdowns die Zahl rasant an. Im April gab es täglich rund 1,7 Millionen Attacken. Bis Juni kletterten diese Angriffe auf rund drei Millionen Versuche pro Tag. Immerhin beeinflusst dieser coronabedingte Digitalisierungsschub auch die Prioritätensetzung der IT-Sicherheitsentscheider. Für den infodas-COVID-19-Report aus Mai 2020 wurden 300 Fach- und Führungskräfte in Konzernen, Behörden und Mittelstand zu den aktuellen Entwicklungen der IT in der Pandemie befragt. Die Mehrheit gab an, die professionelle Absicherung vom Homeoffice durch VPN und Verschlüsselung sei künftig „wichtig“ bis „sehr wichtig“. Danach folgen auf Platz zwei die Möglichkeit, zuhause an einem vollwertigen Arbeitsplatz arbeiten zu können, sowie Cloud-Dienste und Cloud-Speicher in Anspruch nehmen zu können. Deshalb wollen die IT-Entscheider aus Wirtschaft und Öffentlicher Hand in Deutschland weiter in Digitalisierungsmaßnahmen und parallel auch Cybersecurity investieren.

„Security by Design“ braucht mehrere Sicherungslinien

Zum Glück sind Hackerattacken nur selten so erfolgreich, wie der Angriff auf den deutschen Bundestag im Januar 2019. Hunderte Politiker waren betroffen, ihre privaten Daten, E-Mails und Akten wurden online veröffentlicht. Neben großen Internetfirmen, global agierenden Konzernen und dem deutschen Mittelstand sind immer wieder auch Kritische Infrastrukturen (KRITIS) wie Krankenhäuser, Forschungseinrichtungen, aber auch Stadt- und Kraftwerke Ziele von Angriffen. So vermeldete der BSI-Report 2020 für den Berichtszeitraum 419 Anzeigen meldepflichtiger IT-Sicherheitsvorfälle von Seiten der KRITIS-Betreiber.

Gegenüber 2019, als „nur“ 252 IT-Sicherheitsvorfälle aus KRITIS-Unternehmen gemeldet wurden, entspricht dies einer Steigerung von über 60 Prozent. Auch die Streitkräfte kämpfen an allen Fronten gegen Cyberangriffe. Der scheidende Inspekteur des „Kommandos Cyber- und Informationsraum“ der Bundeswehr, General Ludwig Leinhos berichtete Ende September 2020 der FAZ, dass die Streitkräfte alleine 2019 rund 5,74 Millionen unberechtigte oder schadhafte Zugriffsversuche erkannt und abgewehrt hätten. Hundertprozentige Sicherheit vernetzter Systeme gibt es nicht, das weiß auch der General. Er rät zur Risikominimierung. Deshalb wird IT-Sicherheit bei der Bundeswehr von Anfang an mitgedacht, etwa bei der Planung vernetzter Waffensysteme. Security by Design bereits bei der Konstruktion von vernetzten IT-Landschaften zu berücksichtigen, ist auch für Unternehmen jeder Größenordnung eine zentrale Aufgabe. Ein Information Security Management System(ISMS) ist das Mindeste für die systematische Absicherung einer Organisation, vor allem zum Schutz von geistigem Eigentum oder sensiblen Kundendaten. Ein ISMS besteht aus einem Regelwerk, das die Anforderungen an Informationssicherheit festlegt und die Umsetzung überprüft, steuert, aufrechterhält und kontinuierlich verbessert, und das über den gesamten Lifecycle jeder Ebene der IT-Landschaft. Sicherheit fängt somit bereits bei der Entwicklung an, wird durch Penetrationstests kontinuierlich überwacht und um ein Business Continuity Management (BCM) ergänzt, wenn die Hacker doch mal schneller waren. Eine solche mehrfache Sicherungslinie ist aber noch längst nicht selbstverständlich, wie der infodas-COVID-19-Report aus Mai 2020 aufdeckte: Auf die Bewältigung von Krisen oder Störungen wie Naturkatastrophen, Pandemie oder Cyberangriffe war unter den Befragten nur jede dritte Organisation vorbereitet. Immerhin die Hälfte steuert ihre Informationssicherheit bereits mit einem ISMS. Aber nur ein Drittel der antwortenden Unternehmen verfügt über Notfallpläne mit einem BCM. Eine regelmäßige Überprüfung durch Penetrationstests, um es gar nicht soweit kommen zu lassen, ist also unerlässlich.

Gesetzliche Ansprüche an IT-Sicherheit steigen – Penetrationstests unscharf definiert

Denn auch der Gesetzgeber hat die Sicherheitsanforderungen an die Datenverarbeitung mittlerweile deutlich verschärft, auch wenn Penetrationstests im Wortlaut der Gesetze nicht immer vorgeschrieben sind. Sie ergeben sich aber beispielsweise aus der EU-DSGVO, dem IT-Sicherheitsgesetz, den Standards der Payment Card Industry (PCI) sowie Empfehlungen und Verordnungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). So schreibt §32 Absatz 1d der DSGVO lediglich vor, dass für die Sicherheit von IT-Systemen „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ etabliert werden muss. Und mit dem 2015 gründlich überarbeiteten IT-Sicherheitsgesetz verschärfte der Bund die Meldepflichten von IT-Sicherheitsvorfällen. Es verpflichtet Betreiber gefährdeter IT-Infrastrukturen, ihre Netze vor Hackerangriffen zu schützen. Zudem erweiterte das Gesetz auch den Kundenkreis, der über kritische Vorfälle zu unterrichten ist. Neben den Datenschutzbehörden sind alle Verbraucher, deren Daten gestohlen wurden, unmittelbar zu informieren. Die BSI-Verordnungen wirken sich vor allem bei Betreibern kritischer Infrastrukturen (KRITIS) der Daseinsvorsorge wie Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen aus. Um die Anforderungen des IT-Sicherheitsgesetztes zu erfüllen, wurden Branchenstandards definiert, die das BSI genehmigen muss und deren Einhaltung Unternehmen alle zwei Jahre nachweisen müssen. So schreiben die PCI-Standards für die Finanzindustrie je nach Sicherheitsniveau für die verarbeiteten Daten bereits ausdrücklich jährliche Penetrationstests vor. Und das Kraftfahrt Bundesamt (KBA) fordert für die „Internetbasierte Fahrzeug-Zulassung“ (i-Kfz) ebenfalls ausdrücklich verbindliche Penetrationstests.

Technische Herausforderungen und Findings bei Penetrationstests

Faktisch ist ein Penetrationstest die systematische Netzwerk-, Hard- und Software- und Anwendungsanalyse von IT-Systemen, bei dem hochqualifizierte IT-Sicherheitsexperten mit der kriminellen Energie eines Hackers manuell nach Lücken suchen. Ihr Angriff erfolgt mit der Absicht, die gegen einen unbefugten Zugriff gesicherten Mechanismen zu umgehen beziehungsweise auszuschalten, um sie für kriminelle Aktionen nutzen zu können. Eine Analogie mag dieses Vorgehen verdeutlichen: Bei einer Villa, deren Außengelände mit Bewegungsmeldern, Videoaufzeichnung und Alarm gesichert ist, braucht es mehr kriminelle Energie als bei einer Scheune mit offenstehendem Tor. Das Problem bei vielen Firmennetzwerken ist aber, dass die Sicherheitstechnik zwar vorhanden, bisweilen aber nicht richtig eingesetzt oder eingestellt wird. Penetrationstests der infodas-IT-Sicherheitsspezialisten zeigen immer wieder erschreckend schlecht abgesicherte „IT-Villen“ oder „Tresore“. Oft sind z. B. Security Headers in den Abwehrsystemen nicht richtig gesetzt. Bei Verschlüsselungsdiensten kommen veraltete Cipher-Algorithmen zum Einsatz. Häufig ist bei Authentifizierungsverfahren die User-Eingabe-Validierung fehlerhaft. Manchmal sind die Kronjuwelen zwar wie bei Fort Knox von zahlreichen Gräben, Mauern und Stacheldraht umgeben; die SQL-Datenbank mit den geheimen Bauplänen oder Kundendaten im Tresor selbst aber nicht. Wer also die anderen Schutzmaßnahmen bereits umgehen konnte, spaziert einfach so in das Innerste eines Unternehmens hinein. Auch wenn diese Analogie etwas überspitzt scheinen mag, liegt in ihr eine tiefere Wahrheit.

Penetrationstests gehören zum Goldstandard für die IT-Sicherheit

Natürlich härten die Chief Informationen Security Officer (CISO) ihre Netzwerke. Aber sie schaffen dies selbst im besten Fall nur bis zu dem Zeitpunkt, an dem eine neue Schwachstelle bekannt wird. Und das passiert häufiger, als viele Budgetverantwortliche denken. Bleiben solche immer neu auftauchenden Schwachstellen unbemerkt, arbeiten sich Hacker und ihre Schadcodes im Netzwerk durch alle Hard- und Softwareebenen. Nicht zuletzt deshalb sollten CEOs und Geschäftsführer bei Ihren IT-Leitern oder CISOs nachfragen, ob ihre IT-Landschaft durch Penetrationstests schon einmal überprüft wurden. Besser noch ist es, wenn Unternehmen regelmäßige Penetrationstests einplanen. Denn sie gehören zum Goldstandard für IT-Sicherheit, damit Hacker künftig alt aussehen, wenn sie draußen bleiben müssen.

Im zweiten Teil der Serie schauen wir uns die Tools an: Sicherheitsanalysen, Schwachstellenanalysen und Penetrationstests…

Über die Autor:innen
Severin Rast

Director Cybersecurity Consulting, INFODAS