Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
04. August 2021

Penetrationstests: So lässt sich die Sicherheit überprüfen

Penetrationstests decken Sicherheitslücken auf, über die externe, aber auch interne Angreifer z.B. Daten abziehen könnten
Bild: iStock.com / gorodenkoff.
5,00 (3)
drucken
Sicherheit der Verarbeitung
Angesichts der wachsenden Bedrohung müssen Unternehmen nachhaltige Cyber-Resilienz, also Widerstandsfähigkeit, anstreben, um Angriffe zu verhindern und bei Sicherheitsvorfällen schnell zu reagieren. Dazu eignen sich Sicherheitsaudits, sogenannte Penetrationstests, besonders gut.

Cyberkriminelle nutzen immer noch verstärkt die Situation aus, dass viele Beschäftigte von zu Hause aus arbeiten, um Phishing-Angriffe und Cyberattacken zu platzieren. Die Pandemie hat die Arbeitswelt verändert. Man vernetzt sich mit seinen Arbeitskollegen, arbeitet online und kommuniziert via Chats oder Videokonferenzen. Informationen, Daten und Anwendungen sind dabei über das Internet ständig verfügbar, was ein ortsunabhängiges Arbeiten möglich macht.

Im Fokus: Kollaborationslösungen

Das wissen aber auch Cyberkriminelle. Sie greifen z.B. vermehrt Kollaborationslösungen an, um über Sicherheitslücken Schadsoftware im jeweiligen Unternehmensnetzwerk zu verteilen sowie Informationen und Daten zu stehlen. Häufig verbreiten dabei Phishing-Kampagnen Malware. So versuchen die Angreifer, an sensible persönliche Daten wie Passwörter oder Bankdaten von Internetnutzern zu gelangen. Kommt es hierbei zur Verletzung des Schutzes personenbezogener Daten – etwa wenn Passwörter unbefugt offengelegt wurden – liegt eine meldepflichtige Datenpanne vor.

Forderungen aus dem Datenschutz

Eine Forderung der Datenschutz-Grundverordnung (DSGVO) bezüglich der Sicherheit der Verarbeitung von personenbezogenen Daten ist die erwähnte Resilienz oder Belastbarkeit.

„Belastbar“ sind IT-Systeme, wenn sie ausreichend widerstandsfähig sind, um auch bei Störungen oder externen Angriffen wie z.B. einer DDoS-Attacke funktionsfähig zu bleiben. Bei einem DDoS-Angriff (Distributed-Denial-of-Service-Angriff) führen Cyberkriminelle die Nichtverfügbarkeit von bestimmten Diensten oder Servern gezielt herbei. Zudem müssen diese (widerstandsfähigen) Systeme im Hinblick auf die Verarbeitung personenbezogener Daten Vertraulichkeit und Integrität garantieren.

Forderungen aus Sicht der Informationssicherheit

Neben dem Datenschutz misst auch die Informationssicherheit der Resilienz bzw. ihrer Überprüfung große Bedeutung zu. So muss sichergestellt sein, dass das Informationssicherheitsmanagementsystem (ISMS) wirksam bzw. die Informationssicherheit in Verfahren und Prozessen sichergestellt ist. In diesem Zusammenhang fordert die ISO/IEC 27001 neben der „Einhaltung von Sicherheitsrichtlinien und -standards“ und der „Überprüfung der Einhaltung von technischen Vorgaben“ eine „unabhängige Überprüfung der Informationssicherheit“.

Was sind Penetrationstests?

Um den Forderungen des Datenschutzes und der Informationssicherheit gerecht zu werden, eignen sich Sicherheitsaudits, sogenannte Penetrationstests (Pentests), sehr gut. Bei einem solchen Sicherheitstest agieren die Tester mit Erlaubnis des jeweiligen Unternehmens wie Hacker und überprüfen so Firewalls, Serversysteme, Netzwerke, Netzsegmente oder Webanwendungen auf Sicherheitslücken bzw. auf ihre Verwundbarkeit.

Welche Arten von Penetrationstests gibt es?

Innerhalb des Begriffs „Penetrationstests“ lässt sich u.a. nach Art, Vorgehensweise und Ausgangspunkt unterscheiden.

Unterscheidung nach Informationsbasis

Ein erstes Unterscheidungskriterium bildet die Informationsbasis, d.h. mit welchem Vorwissen überprüft der Tester das Unternehmen? Hier lassen sich drei Varianten unterscheiden.

Black-Box-Penetrationstest

Bei dieser Variante weiß der beauftragte Pentester nicht, welche IT-Systeme und IT-Infrastruktur ihn beim eigentlichen Test erwarten. Dieses Verfahren beschreibt vielleicht am besten die Bedingungen, die auch einem externen Angreifer, also einem Cyberkriminellen, vorliegen würden.

Nachteil dieses Verfahrens ist das ungünstige Verhältnis zwischen tatsächlichem Erkenntnisgewinn und den Kosten. Beispielsweise kostet es Zeit, die Unternehmens-IP-Adressen und die eingesetzten Software- und Hardwarekomponenten zu ermitteln. Doch generieren diese Informationen keinen (neuen) Erkenntnisgewinn im eigentlichen Sinne.

White-Box-Penetrationstest

Das Gegenteil ist beim White-Box-Penetrationstest der Fall. Hier bekommt der Tester vorab alle Informationen über die IT-Infrastruktur des zu überprüfenden Unternehmens: Welche Server, Betriebssysteme, Dienste und Anwendungen im Einsatz sind; welche Ports offen sind/sein sollten.

Darum decken White-Box-Pentests auch Angriffsszenarien ab, die ein Black-Box-Test nicht berücksichtigt – z.B. die Attacke eines gut informierten internen Angreifers aus den Reihen des eigenen Unternehmens. Da der Pentester bei dieser Variante kaum Zeit für die Recherche einsetzen muss, sind White-Box-Tests viel effektiver als Black-Box-Tests.

Grey-Box-Penetrationstest

Den Mittelweg beschreibt das sogenannte Grey-Box-Testverfahren. Hier hat der Penetrationstester bereits einige Informationen über die IT-Infrastruktur. Dieses Verfahren wird dann eingesetzt, wenn zu testende IP-Bereiche festgelegt und/oder der Test bestimmte Systeme vielleicht nicht berücksichtigen soll.

RED Teaming

Da Angriffe oft nicht nur über einen Weg stattfinden, sondern verschiedene Angriffspunkte kombinieren, reicht Cyber-Resilienz allein nicht aus. Möchten Unternehmen einen ganzheitlichen Sicherheitstest durchführen (lassen), sind die Maßnahmen des Red Teamings das Mittel der Wahl. Red Teaming überprüft Sicherheitsstrukturen durch Austesten. Üblicherweise betreffen die Tests

  • Technologien bzw. Technik (Pentests),
  • Personen (Social Engineering) und
  • die physische Sicherheit (physisches Eindringen in die Liegenschaften des Unternehmens).

Mit Methoden des Social Engineering versuchen die Angreifer, Mitarbeiter zwischenmenschlich so zu beeinflussen, dass die angesprochene Person vertrauliche Informationen wie Passwörter herausgibt. Diese Methode ist auch sehr beliebt, um in einem zweiten Schritt z.B. Schadsoftware auf die Firmenrechner zu spielen.

Unterscheidung nach Vorgehensweise

Ein weiteres Unterscheidungskriterium beschreibt die Vorgehensweise. Ist der Test angekündigt oder nicht? Ist der Ausgangspunkt des Tests intern oder extern?

Verdeckte und bekannte Tests

Bei der Vorgehensweise unterscheidet man zunächst zwischen verdeckten und offensichtlichen bzw. bekannten Penetrationstests. Sind also die betreffenden Mitarbeitenden wie die IT-Administration über die Durchführung des Sicherheitstests informiert oder nicht?

Der Vorteil eines verdeckten Tests besteht darin, dass der Dienstleister auch die Informations- bzw. Eskalationsprozesse prüft. Allerdings kann ein solcher Test die IT-Abteilung u.U. in Schwierigkeiten bringen. Sie kann eventuell auf Probleme wie Störungen und Ausfälle bei den IT-Systemen, die der Pentest hervorruft, nicht so schnell reagieren, wie wenn sie eingeweiht worden wäre. Darüber hinaus könnte ein verdeckter Test zu negativer Stimmung bei den Mitarbeitenden führen, weil er gewisse Arbeitsprozesse prüft.

Interner oder externer Test?

Beim Ausgangspunkt des Pentests wird zwischen externen und internen Tests unterschieden. Häufig streben Unternehmen v.a. einen externen Test an, weil sie wissen möchten, ob bzw. wie sicher sie gegen Angriffe von außen sind.

Hat das zu testende Unternehmen aber eine gewisse Größe erreicht – ab etwa 100 bis 200 Mitarbeitern –, gewinnen auch interne Faktoren an Wert. So steigt die Gefahr eines internen Angriffs mit der Mitarbeiteranzahl des Unternehmens.

Fazit: Individuell entscheiden

Abschließend lässt sich sagen, dass Unternehmen bei einem Penetrationstest immer zwischen dem Erkenntnisgewinn, der sich aus dem Test generiert, und dem möglichen Risiko wie Schäden und Ausfällen bei den IT-Systemen abwägen und danach erst entscheiden sollten, welche Vorgehensweise in ihrem Fall die sinnvollste ist.

Markus Vollmuth

Markus Vollmuth
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
IT-Sicherheit
drucken
Verfasst von
Markus Vollmuth
Markus Vollmuth
Markus Vollmuth ist Informationssicherheitsberater bei der atarax Unternehmensgruppe, einem Dienstleister für strategische Unternehmenssicherheit und Haftungsmanagement. Seine Schwerpunkte sind Informationssicherheit und Datenschutz.
Verwandte Beiträge
25. Oktober 2024
DP+
Die neue EU-Verordnung DORA bringt zahlreiche neue Sicherheits- und Berichtspflichten für Finanzunternehmen. Dabei gibt es viele Schnittstellen zum Datenschutz.
Bild: iStock.com/dem10

Achtung, DSB: DORA für Finanzunternehmen kommt!

Ratgeber
Cybersicherheit IT-Sicherheit
24. Oktober 2024
DP+
Die IT-Sicherheitslage erfordert es heute, Netzwerkaktivitäten umfassend zu überwachen (XDR). Dies birgt Risiken für den Datenschutz der Belegschaft.
Bild: iStock.com/gorodenkoff

Umfassende IT-Sicht versus gläserner User

Ratgeber
Cybersicherheit IT-Sicherheit KI
23. Oktober 2024
DP+
NIS
Bild: iStock.com/posteriori

NIS 2: Was gilt wann?

Ratgeber
Cybersicherheit IT-Sicherheit
26. September 2024
DP+
Phishing-Tests sind ein wichtiges Hilfsmittel, um Unternehmen resilienter gegen Cyberbedrohungen zu machen. Doch sie bergen Tücken im Hinblick auf den Datenschutz.
Bild: iStock.com/Baris-Ozer

Phishing-Tests: Richtig gemacht, Daten geschützt

Ratgeber
Betriebsrat Checklisten IT-Sicherheit
20. August 2024

Download Checkliste: Sicherheit von USB-Sticks testen

Downloads
IT-Sicherheit
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.