„Dem Hacker immer eine Nasenlänge voraus“ muss der Anspruch einer ganzheitlichen IT-Sicherheitsstrategie sein. Um dieses ambitionierte Ziel zu erreichen, brauchen Unternehmen und ihre Chief Information Security Officer (CISO) einen gut bestückten Werkzeugkoffer. Im zweiten Teil der fünfteiligen Serie vergleichen wir verschiedenen Methoden: Warum Sicherheits- und Schwachstellenanalysen zur Routine gehören, aber nur Penetrationstests durch Menschen mit Hackerintelligenz das Sicherheitsniveau nachhaltig anheben.
Die professionelle Steuerung der IT-Sicherheit gehört mittlerweile zu den wichtigsten Managementaufgaben, um die immer zahlreicher gewordenen Compliance-Anforderungen erfüllen zu können. So schreibt die Datenschutzgrundverordnung in Art. 32 „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ vor. Würde jedes Unternehmen diesem Grundsatz nachkommen, hätten Cyberkriminelle ein hartes Leben. Dennoch füllt sich jedes Jahr die Liste der kompromittierten Firmen- und Forschungsnetze. Ursachen dafür, dass Hacker weiterhin erfolgreich angreifen können, sind häufig veraltete oder unvollständige Sicherheitskonzepte und -richtlinien, unzureichend sensibilisierte Mitarbeiter sowie nicht geflickte Schwachstellen in Webanwendungen, Hard- und Software sowie Netzwerkeinstellungen.
Ist ein Hackerangriff dann erfolgreich, können sich Geschäftsführer und Vorstände allerdings nicht mit Unwissenheit aus ihrer Haftung herausreden. Die einzige Chance, Haftungsrisiken zu begrenzen, ist eine proaktive, regelmäßige und professionelle Überprüfung des jeweiligen IT-Sicherheitsniveaus vor dem Hintergrund des aktuellen technischen Wissens.
Sicherheitsanalyse, Schwachstellenanalyse sowie Penetrationstest gehören als gleichberechtigte Methoden zu einer ganzheitlichen IT-Sicherheitsstrategie und sollten regelmäßig zum Einsatz kommen. Die Unterschiede liegen in Methodik, Erkenntnisgewinn und dem Einsatz von Tools. Wer externe Dienstleister beauftragen will, sollte differenzieren können, um zu wissen, welcher Weg zum individuellen Ziel führt.
Unterschiede und Gemeinsamkeiten
Sicherheits- und Schwachstellenanalysen sowie Penetrationstests führen jeweils darauf spezialisierte IT-Experten durch, die über fundierte Erfahrungen und Wissen über aktuelle Bedrohungsszenarien und technologische Möglichkeiten von Cyberkriminellen verfügen. Sie haben eine Hackerintelligenz, mit der sie sich in die Denkmuster und mögliche Angriffsstrategien der Hacker hineinversetzen und auf dieser Grundlage mögliche Szenarien durchspielen.
Bei der Sicherheitsanalyse gehen Cybersecurity-Spezialisten von der Dokumentenlage und Netzwerkarchitektur aus und verschaffen sich einen Überblick über den betrachteten Informationsverbund und seine Sicherheitsmaßnahmen. Hier können ergänzend technische Prüfungen zum Einsatz kommen.
Die Schwachstellenanalyse beinhaltet eine konkrete Untersuchung auf bekannte Schwachstellen. Dazu werden auch Tools eingesetzt. Diese decken bekannte Sicherheitslücken relativ schnell auf. Die Schwachstellenanalyse ist techniklastig, standardisiert und fördert erfahrungsgemäß zeitnah Ergebnisse zutage. Das Detektieren neuer oder komplexer Schwachstellen ist mit der Schwachstellenanalyse nicht möglich.
In einem Penetrationstest nutzen die Spezialisten bereits detektierte Schwachstellen, um potenzielle Angriffsszenarien in der mit dem Kunden vereinbarten Angriffstiefe kreativ zu analysieren und versuchen, neue Schwachstellen zu entdecken.
Um neue Einfallstore zu finden, brauchen Penetrationstester Kreativität und Ausdauer. Kommen sie an einer Stelle nicht weiter, suchen sie alternative Wege, nach denen auch Hacker Ausschau halten. Diese Arbeit ist nur manuell möglich und unter den richtigen Rahmenbedingungen auch völlig legal. Liegt keine verbindliche vertragliche Festlegung für die Arbeit ethischer Hacker vor, ist das Ausspähen und Abfangen von Daten wird nach § 202c Strafgesetzbuch („Hackerparagraph“) mit bis zu zwei Jahren Freiheitsstrafe oder Geldstrafe bedroht (Mehr zum Thema in Folge 3 dieser Serie).
Mit Sicherheitsanalysen IT-Security gemäß „State of the Art“
Der Art 5 Abs. 2 DSGVO (Rechenschaftspflicht) verlangt von Unternehmen die „Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person“. Die DSGVO, aber auch das Bundesdatenschutzgesetz sind als gesetzliche Regelungen Teil weitreichender Compliance-Anforderungen, die Unternehmen zu beachten haben.
Geeignete Mittel, um diesen Anforderungen nachzukommen, können die Dokumentation der IT-Infrastrukturen und eingesetzten Hard- und Software sowie ein IT-Sicherheitskonzept sein. Diese sind, wenn vorhanden, Ausgangspunkt einer Sicherheitsanalyse. Die Analytiker überprüfen in der Dokumentation alle dort aufgeführten Systeme, Einstellungen und Versionen. Sie prüfen die Aktualität der eingesetzten Hard- und Software, also Betriebssysteme, zulässige Anwendungen, Server-Dienste, die Schutzmaßnahmen vor Schadcodes, ob Authentifizierungsverfahren angemessen sowie Passwort- und Benutzersicherheit gewährleistet sind sowie keine Konfigurations- und Administrationsfehler vorliegen.
Bei Webanwendungen überprüfen sie die Verarbeitung von Benutzereingaben. Dabei steht die Widerstandsfähigkeit gegen Cross-Site-Scripting sowie SQL-Lücken und das Session-Management im Zentrum. Bei verschlüsselten Verbindungen wie beispielsweise bei Virtual Private Network (VPN) analysieren die Experten die ausgewählten Authentifizierungsverfahren, verifizieren die Sicherheit der Verschlüsselungsalgorithmen und Schlüssellängen sowie die Aktualität der eingesetzten Zertifikate. Hierbei ist vor dem Hintergrund aktueller Hackermethoden wichtig zu analysieren, ob Angreifer sich auf eine gültige VPN-Verbindung aufschalten könnten, um Sicherheitskonzepte für die Zugriffskontrolle zu umgehen und auf Daten zuzugreifen. Die Sicherheitsanalytiker versuchen also, alle potenziellen Angriffsziele entlang der Schnittstellen zwischen dem Netzwerk, den Anwendungen und den Nutzern auf Grundlage der Dokumentation zu identifizieren. Bereits hier treffen sie häufig auf Sicherheitslücken, die einfach über die Zeit entstanden sind. Häufigste Ergebnisse sind Lücken, die durch Aufspielen neuer Sicherheitspatches der Hersteller zu beseitigen sind. Oft finden die Analytiker auch veraltete Versionen bei Anwendungen, abgelaufene Zertifikate und nicht mehr zeitgemäße Einstellungen bei Sicherheitsanwendungen. Bis zu dieser Stelle arbeiten Sicherheitsanalysten auf der Dokumentationsebene und damit auf der Ebene, wie eine IT-Infrastruktur sein sollte. Über ihre Analysen erstellen sie anschließend ausführliche Berichte, die idealerweise nicht nur CISOs, sondern auch kaufmännischen Entscheidern klare Handlungsempfehlungen an die Hand geben.
Anschließend können Administratoren die gefundenen Schwachstellen und Sicherheitslücken selbst schließen oder noch weitergehende Überprüfungen durchführen.
Tools zur Schwachstellenanalyse zur Überprüfung der Wirklichkeit
Eine dieser Optionen ist die Schwachstellenanalyse mit einem der heute zahlreich erhältlichen Tools. Mit diesen lässt sich überprüfen, ob Soll- und Ist-Zustand der Systeme übereinstimmen. Ziel ist es, die bekannten und eventuell noch auftauchenden Schwachstellen nach Erkennung unmittelbar zu schließen und mögliche Cyberattacken zu verhindern.
Eine toolbasierte Schwachstellenanalyse ist aber lediglich eine Methode, um bekannte Sicherheitslücken zu schließen, bevor Hacker sie ausnutzen.Allerdings stoßen sowohl Sicherheits- als auch Schwachstellenanalysen an ihre Grenzen, wenn auch bisher unbekannte Sicherheitslücken gefunden werden sollen. Hier hilft dann nur noch die systematische Suche nach Lücken mit bewährten Hackermethoden.
Penetrationstests decken auch unbekannte Lücken auf
Penetrationstester, auch Ethische Hacker genannt, werden von Unternehmen beauftragt, um nach bisher unbekannten Sicherheitslücken zu fahnden sowie die gesamte Resilienz des Unternehmens und seiner IT-Infrastruktur gegenüber echten Angriffen zu bewerten.
Wie bei der Sicherheitsanalyse steht am Ende des Penetrationstests ein ausführlicher Bericht mit den gefundenen Schwachstellen sowie Empfehlungen, wie die Auftraggeber ihre Netzwerke, Systeme, Soft- und Hardware noch besser absichern sowie Mitarbeiter noch stärker für mögliche Cyber-Gefahren sensibilisieren können.
Doch vor Bericht und Empfehlungen gehen Penetrationstester mit Hackerintelligenz ans Werk. Sie brauchen eine gute Portion Kreativität, geballtes Wissen aus den aktuellen Diskursen der Hackerszene sowie forensisches Gespür.
Dabei denken sie wie Cyberkriminelle, handeln wie diese und verschleiern ihre Aktivitäten, damit sie im Netzwerk durch Schutzmechanismen und Sicherheitstools nicht entdeckt werden.
Manchmal reicht bereits ein offener Port, der zwar für die betriebliche Netzkommunikation wichtig ist, aber auch für andere Zwecke genutzt werden kann. Oder sie durchstöbern Schnittstellen, um bisher selbst vom Hersteller nicht entdeckte Schlupflöcher auszunutzen. So streifen sie oft stunden- oder tagelang durch die IT-Infrastrukturen, Systeme und Anwendungen, hebeln systematisch Sicherheitsmaßnahmen aus, um sich bis zu den „Kronjuwelen“ durchzuackern.
Wie ein Penetrationstest abläuft und wie sich Unternehmen darauf vorbereiten sollten, lesen Sie in Folge drei unserer Serie.