Penetrationstest – die Vorgehensweise
Mit einem IT-Penetrationstest finden wir Ihre Sicherheitslücken – bevor Hacker es tun!
Bei den IT Penetrationstests (Schwachstellenanalysen) ist es sinnvoll, sie in verschiedene Gruppen einzuteilen. Man kann
zwischen sog. Black-Box-Penetrationstests und White-Box-Penetrationstests unterscheiden.
Bei einem Black-Box-Test ist das zu testende System unbekannt. Der Tester weiß nicht, auf welches System er trifft. Bei
den White-Box-Tests weiß der Tester schon im Vorhinein, welches System er testet. Hier sind Betriebssystem und die laufenden
Dienste bekannt.
Es kann das komplette IT-Netzwerk des Unternehmens, oder auch einzelne Bereiche wie WLAN oder VPN-Anbindung einem
Penetrationstest unterzogen werden.
Dipl. Ing. Christian Perst
Gutachter & Gerichtssachverständiger
Organisatorische Vorgehensweise beim IT Penetrationstest
Einführungsgespräch: Es werden die Anliegen und Erwartungen an den Penetrationstest geklärt.
Zieldefinition: In dieser Phase wird das zu testende System bestimmt und erörtert.
Schwachstellenanalyse: Nun erfolgt der eigentliche Penetrationstest.
Auswertung: Die Ergebnisse werden ausgewertet und per Post und/oder per E-Mail verschickt. Um die Sicherheit der teilweise sehr
vertraulichen Daten zu gewährleisten, werden die Daten per Kurier-Dienst verschickt und beim E-Mail-Versand verschlüsselt.
Nachgespräch: Die Ergebnisse und Hilfen zur Schließung der Sicherheitslücken werden besprochen.
Nachtest: Nach etwa zwei Wochen erfolgt ein erneuter Schwachstellentest, der zur Kontrolle dient.
Technische Vorgehensweise oder der Lebenszyklus eines IT Penetrationstests
Der eigentliche Penetrationstest unterteilt sich in sechs Phasen. Phase 2 bis 4 wird oft mehrmals zyklisch durchlaufen.
Erforschungsphase – Wir suchen nach frei verfügbaren Informationen im Internet.
Scan-Phase – Offene Zugangswege werden gesucht. Hier wird das System erstmals “berührt”.
Enumeration – Diese Phase wird auch oft gleichzeitig mit der 2. Phase durchgeführt. Ziel dieser Phase eines
Penetrationstests ist, reale, verwertbare Informationen zu erhalten. Scanner liefern oft nur unsichere Aussagen, daher ist es notwendig
mehr Daten vom System zu erhalten.
Exploitphase – Gefundene Schwachstellen gilt es auszunutzen und Angriffe auf das System zu starten, um
Sicherheitslücken aufzudecken.
Wiederholung von Phase 2 bis Phase 4.
Auswertungs- und Berichtphase – Ein detaillierter und umfassender Bericht ist notwendig, um die Sicherheitslage
realistisch einzuschätzen und Handlungen des Managements zu veranlassen.
Penetrationstest von Web-Anwendungen
Webanwendungen erfahren seit einigen Jahren eine enorme Beliebtheit. Die hohe Verfügbarkeit und die ständige Präsenz von (Kleinst-)Computern
und Internet brachten eine enorme Vielfalt an überall verfügbare Anwendungen hervor – seien es Fotobuchdienste, das Service zur Reservierung
eines Mietwagens, der Kauf von Online-Zugtickets oder die Buchung ganzer Reisen über Webanwendungen im Internet.
Durch termingetriebene Funktionalitäten wird die Sicherheit bei Webanwendungen oft nur suboptimal berücksichtigt. Das führt dazu, dass die
Systeme verwundbar sind und Angriffe zum Ziel führen. Und Hackerangriffe sind Albträume eines jeden Unternehmens: Kundendaten werden im Internet
veröffentlicht, das Vertrauen der Kunden sinkt rapide, Auftraggeber wandern ab, der Umsatz bricht ein.
Angriffe auf Webanwendungen sind eine der häufigsten Attacken im Internet. Von hunderten getesteten Webanwendungen haben 62% eine fehlerhafte
Authentifizierung, 71% fehlerhafte Zugriffsrechte, 94% sind anfällig für Cross-Site-Scripting (XSS), 78% haben Informationslecks und 92% sind
für Cross-Site-Request-Forgery (CSRF) anfällig.
Penetrationstests für Webanwendungen stellen eines der effektivsten Mittel dar, um die Sicherheit extrem zu erhöhen. Webanwendungen werden
durch IT-Sicherheitstests auf Herz und Nieren geprüft. Das erhöht die Sicherheit der Anwendung, stellt die Vertraulichkeit von Informationen
sicher und beugt einem Hackereinbruch vor.
Rufen Sie uns an!
Wir beraten Sie gerne.
Ein IT Penetrationstest einer Webanwendung oder eines WLANs kann einen Teil einer Sicherheitsanalyse des gesamten IT-Systems
sein. Wie itEXPERsT bei so einem Audit vorgeht, sehen Sie unter dem
Link.
Penetrationstest von WLANs
Szenario
Ihre Vorteile
Wir geben Ihnen die Sicherheit zu wissen, wie geschützt Ihre Daten im Funknetz sind.
Informationen
Wir überprüfen bei diesem Test, ob in Ihrem Unternehmen unerlaubte WLAN-Netze in Betrieb sind. Weiters messen wir die Reichweite von
regulären und unerlaubten Funknetzen, deren Sicherheit und welches Gefährdungspotential von den Netzen ausgeht.
Funknetze sind durch ihren günstigen Preis der Hardware ungebrochen aktuell und einfach zu handhaben. Doch gibt es auch Nachteile,
die zu Schäden führen können. Ein Firmen-Funknetz endet nicht an der Gebäudemauer. Angreifer können leicht von außerhalb eindringen
oder den Betrieb sabotieren. Attacken sind außerdem schwer nachzuweisen. Ein Zugriff auf das Firmen-WLAN bedeutet oft vollen Zugriff
auf die Daten eines Betriebes.
Viele WLAN-Netze sind nur schlecht gesichert und bedrohen die Datensicherheit.
Rufen Sie uns an!
Wir beraten Sie gerne.
Ein IT Penetrationstest eines WLANs oder eines VPN-Zugangs kann einen Teil einer Sicherheitsanalyse
des gesamten IT-Systems sein. Wie itEXPERsT bei so einem Audit vorgeht, sehen Sie unter dem
Link.
Penetrationstest von VPN-Server
Szenario
Ist es möglich, Ihren VPN-Zugang zu missbrauchen?
Wie leicht ist es möglich, Zugang zu Ihren Firmendaten zu bekommen?
Ihre Vorteile
Wir geben Ihnen die Sicherheit zu wissen, ob Ihr VPN-Zugang geschützt ist.
Informationen
Die Notwendigkeit von VPN-Tests
Viele meinen, dass VPN-Server nicht sichtbar und daher auch nicht angreifbar sind. Auf einen Hacker-Novizen mag dies vielleicht
zutreffen. VPN-Server können aber sehr wohl relativ einfach aufgespürt werden.
Auch sind diese Systeme lohnende Ziele. Angreifer wissen, dass – wenn sie in einen VPN-Zugang einbrechen – es bei vielen Firmen
keine großen Hürden mehr gibt, um zu kritischen und sensiblen Informationen und Systemen zu gelangen.
Rufen Sie uns an!
Wir beraten Sie gerne.
Der IT Penetrationstest eines VPN-Servers, eines VPN-Zugangs oder eines Funknetzes kann
Teil einer ganzheitlichen Sicherheitsanalyse sein. Gerne können Sie sich über die Vorgangsweise von itEXPERsT informieren.
IT-Forensik
Zum Thema IT-Forensik bieten wir gesonderte, detailliertere Informationen auf unserer dezidierten Seite:
IT-Forensik.