Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Free

Die Rolle von Penetrationstests angesichts der Zunahme KI-gestützter Bedrohungsakteure

Penetrationstests gehören zu den effektivsten Methoden, um die Risikosituation eines Unternehmens zu ermitteln. KI-gestützte Angreifer sind jedoch auf dem Vormarsch, und was man vor zwei Wochen noch über KI-basierte Angriffe zu wissen glaubte, kann heute schon irrelevant sein.

Lesezeit 6 Min.

Deshalb ist es wichtig, skalierbare Penetrationstests als Kernbestandteil einer modernen Gefahrenabwehr zu implementieren.

Der Aufstieg von ChatGPT hat sich als Gamechanger für die Cyberkriminalität erwiesen, indem er hochentwickelte Taktiken, Techniken und Verfahren (TTPs) demokratisiert hat, sodass durchschnittliche digitale Bedrohungsakteure ihre Effizienz zu geringen Kosten erhöhen können. Dadurch, dass gewöhnliche Hacker in die Lage versetzt werden, ständig über ihre Gewichtsklasse hinauszuwachsen, werden Umfang und Geschwindigkeit der Angriffe weiter zunehmen. Das erhöht die Bedeutung effektiver Penetrationstestprogramme, die dazu beitragen, die schwerwiegenden geschäftlichen Auswirkungen von Sicherheitsverletzungen zu mindern. Im Durchschnitt verloren die Opfer im Jahr 2022 rekordverdächtige 9,4 Millionen US-Dollar pro Sicherheitsverletzung.

Erschwerend kommt hinzu, dass die Sicherheitslage im öffentlichen und privaten Sektor schlecht ist. Die Ergebnisse des SANS 2022 Ethical Hacking Survey zeigen, dass mehr als drei Viertel der Befragten angaben, dass nur wenige Organisationen über wirksame Network-Detection-and-Response-(NDR)-Funktionen verfügen, um einen Angriff in Echtzeit zu stoppen. Darüber hinaus gaben fast die Hälfte der Befragten an, dass die meisten Unternehmen nur mäßig oder gar nicht in der Lage sind, Cloud- und anwendungsspezifische Angriffe zu erkennen und zu verhindern. Es ist klar, dass mehr getan werden muss, um das Kräfteverhältnis zu Gunsten der Verteidiger zu verändern.

Hier kommen Penetrationstests ins Spiel, die ein unvergleichliches kontextbezogenes Bewusstsein für die Verfeinerung der Cyberabwehr, die Beseitigung von Bedrohungen und die Wiederherstellungsprozesse innerhalb einer übergreifenden Risikomanagement-Architektur liefern können. Unternehmen, die Penetrationstests in großem Umfang durchführen, sollten die folgenden grundlegenden Prinzipien beachten, um die Wirkung zu maximieren.

Zielgerichtete Denkweise

Vor etwas mehr als einem Jahrzehnt entwickelte Josh „Jabra“ Abraham ein überzeugendes Argument für die verstärkte Einführung eines zielorientierten Ansatzes bei Penetrationstests. Er stellte eine einfache Frage in den Raum:

„Was treibt den Penetrationstester an? Woher weiß sein Auftraggeber, was er will oder welche Zugriffsebene die größten Risiken für das Unternehmen darstellt?“

Die Antwort war eine Reihe von vordefinierten Zielen, die sich nicht um die offensichtlichen taktischen Prozesse und technischen Arbeitsabläufe drehten. Entgegen der weit verbreiteten Meinung in Cybersicherheitskreisen war das Aufspüren von Schwachstellen auf Oberflächenebene nicht die goldene Gans des ethischen Hackers.

Penetrationstests und Schwachstellenanalysen sind nicht zwei Seiten derselben Medaille. Während letztere statisch und kontextlos sind, zielen erstere darauf ab, grundlegende Geschäftsrisiken aufzudecken. Dies geschieht, indem die Abwehrbereitschaft eines Unternehmens manuell getestet wird, um Daten zu stehlen oder einen nicht autorisierten Zugang zu erhalten. Am Ende geht es nicht darum, die eigentlichen Schwachstellen zu identifizieren, sondern vielmehr die Türen, die diese Schwachstellen öffnen – und die geschäftlichen Konsequenzen, die sich ergeben, wenn ein Angreifer sie unentdeckt durchschreiten kann.

Inzwischen hat sich Abrahams zielorientierter Ansatz als Grundpfeiler der heutigen Penetrationstests erwiesen. Damit Ethical Hacking den größtmöglichen Nutzen bringen kann, müssen vordefinierte Ziele vorhanden sein, die sich auf die anfälligsten Bereiche eines Unternehmens beziehen, um einen Angriff im schlimmsten Fall zu simulieren. Ethische Hacker nehmen diese Bereiche ins Visier, um den Grad der Cyber-Resilienz des Unternehmens zu messen und aufzuzeigen, wie sich einzelne Schwachstellen mit geringem Risiko zu einem übergreifenden Hochrisikoszenario zusammenfügen können, das das Unternehmen in Gefahr bringt. In der Theorie sind dabei unterschiedlichste Szenarien möglich:

  • Bei einem großen Fernsehsender könnte es sich um einen Ransomware-Angriff handeln, der eine landesweit ausgestrahlte Sportübertragung unterbricht und Werbeeinnahmen in Milliardenhöhe entgehen lässt.
  • Bei einer Wasseraufbereitungsanlage könnte es sich um einen Angriff eines Nationalstaates handeln, der die Wasserversorgung einer ganzen Stadt verseucht und eine Gesundheitskrise auslöst.
  • Bei einer Bundesbehörde könnte es sich um einen Insider-Angriff handeln, bei dem nationale Sicherheitsinformationen gegen Geld an ausländische Gegner weitergegeben werden.

Unabhängig davon, was das jeweilige Weltuntergangsszenario beinhaltet, müssen Penetrationstests mit einer klaren Vorstellung davon beginnen, wo das Ziel des Angreifers liegt und wie es Ihrem Unternehmen schaden könnte. Nur so lassen sich die richtigen Schwachstellen mit dem richtigen Kontext zur Minderung des Geschäftsrisikos aufdecken.

Die Schwachpunkte miteinander verbinden

Da sich die Grenzen zwischen Cyber- und Geschäftsrisiken im Laufe der Jahre verwischt haben, haben sich Penetrationstests zu einer wichtigen Komponente für die proaktive Risiko-Priorisierung entwickelt. Sie ermöglichen Unternehmen einen detaillierten Einblick in die Risikolage mit Wahrscheinlichkeitsskalen und finanziellen Prognosen, die mit verschiedenen Bereichen ihrer Sicherheitsumgebung verknüpft sind. Ausgestattet mit diesen Einblicken auf höchster Ebene können CISOs fundierte Entscheidungen treffen, indem sie das Geschäftsrisiko eines potenziellen Angriffs gegen die Wahrscheinlichkeit abwägen, dass er tatsächlich eintritt, und dann die Sicherheitsressourcen entsprechend zuweisen, um den Return-on-Invest (ROI) zu steigern und den Schutz zu verbessern.

Penetrationstests tragen dazu bei, die Komplexität der Cyber-Bedrohungslandschaft zu entmystifizieren und das Cyber-Risiko in umsetzbare Geschäftsbegriffe zu übersetzen, die bei der Führungsebene und dem Vorstand besser ankommen. Anhand konkreter Beispiele aus den jüngsten Penetrationstests ist es für die Verantwortlichen für Cyber-Resilienz viel einfacher, das Risiko so zu formulieren, dass die kollektive Akzeptanz in der gesamten Unternehmensführung gefördert wird, um sicherzustellen, dass die Sicherheit eine der höchsten Prioritäten des Unternehmens bleibt.

Es ist wichtig, sich daran zu erinnern, dass es unabhängig von der Effektivität eines Penetrationstestprogramms immer Grauzonen und unsichere Beurteilungen bezüglich der Risiko-Priorisierung geben wird. Penetrationstests tragen dazu bei, dass CISOs eine möglichst fundierte Entscheidung treffen können. Andernfalls tappen sie blindlings im Dunkeln, was ihre tatsächlichen Geschäftsrisiken betrifft.

Eisen schärft Eisen

Genauso wie Cybersicherheit ein Mannschaftssport ist, gilt dies auch für Penetrationstests. Ein Penetrationstestprogramm wendet grundsätzlich gezielte Angriffe an – dieselben TTPs, die von hochentwickelten Bedrohungsakteuren eingesetzt werden -, um zu ermitteln, wie Unternehmen ihre Verteidigung aufbauen sollten. Penetrationstests können auch eine Vorstufe zu Red-Team-Übungen sein. Bei reiferen Unternehmen, die bereits regelmäßige Penetrationstests durchführen, wird bei Red-Team-Übungen ein rotes Offensivteam zusammen mit Bedrohungsjägern und SOC-Analysten als blaues Defensivteam eingesetzt. Kombiniert man dann die jeweiligen Bemühungen, so nennt sich das Purple Teaming.

Das Konzept des Purple Teaming wird oft falsch dargestellt. Es handelt sich dabei nicht um ein einzelnes Team von Offensiv-Experten und Jägern, die alle im Einklang miteinander arbeiten. Vielmehr ist es in diesem Zusammenhang ein Verb, das beschreibt, wie die rote und die blaue Seite zusammenarbeiten können, um das Wissen zu erweitern, die Strategie zu schärfen und die operative Effizienz zu steigern. Auch wenn es oberflächlich betrachtet, weniger offensichtlich ist, kann die blaue Seite der roten helfen, genauso wie die rote der blauen.

Der kollaborative Austausch von Informationen verschafft den ethischen Hackern zum Beispiel weitere Erkenntnisse darüber, wie eine bestimmte TTP identifiziert wurde. Auf diese Weise kann das rote Team seinen Ansatz für den nächsten Versuch anpassen, um sicherzustellen, dass er effektiver ist, was wiederum das blaue Team stärker macht. Man kann das Ganze als Eisen betrachten, das Eisen wetzt – letztendlich profitieren alle davon.

Fazit

Der Einsatz von künstlicher Intelligenz auf beiden Seiten der Trennlinie im Bereich der Cybersicherheit wird sich in nächster Zeit nicht verlangsamen. KI-gestützte Angreifer sind auf dem Vormarsch, und was man vor zwei Wochen noch über KI-basierte Angriffe zu wissen glaubte, könnte heute schon irrelevant sein. Diese Tatsache verdeutlicht, wie wichtig es ist, skalierbare Penetrationstests als Kernbestandteil des Arsenals eines modernen CISO zu implementieren. In Verbindung mit violettem Teaming, Risiko-Priorisierung und klar definierten Zielen sind wirksame Penetrationstests und Red Teaming die ultimative Quelle für den Kampf gegen gegnerische Bedrohungsakteure.

Ed Skoudis, Präsident beim SANS Technology Institute, ist der Gründer des SANS Penetration Testing Curriculums und Counter Hacks.