Mit <kes>+ lesen

Evergreen Pentest: : Prüfung mit neutralem Blick

IT-Verantwortlichen fehlen nicht selten Zeit und Geld, um ein Kernproblem der IT-Sicherheit zu lösen: dass Angreifern häufig eine einzelne nicht behobene Lücke genügt. Penetrationstests liefern eine gute Möglichkeit, Sicherheitslücken aufzudecken, die man mit der „Alltagsbrille“ womöglich übersieht – das Vorgehen externer Tester kann dabei auch Anregungen für Audits und Übungen innerhalb eines Unternehmens liefern.

Lesezeit 5 Min.

IT-Security ist ein asymmetrisches Spiel: Verteidiger müssen alle Schwachstellen behandeln, während Angreifern in der Regel eine einzige Schwachstelle genügt, um gravierenden Schaden anzurichten. Die zunehmende Komplexität von Infrastrukturen, vernetzte Operational Technology (OT), das Internet of Things (IoT) und teils auch fehlendes Know-how führen dazu, dass immer mehr Systeme in Unternehmen von Sicherheitslücken betroffen sind. Wachsende IT-Schnittmengen innerhalb von Lieferketten gefährden noch dazu gleich mehrere Kunden oder Partner.

In vielen Fällen deckt sich die „gefühlte“ nicht mit der tatsächlichen Sicherheitslage – Pentester sehen mit frischem Blick genau hin und können so Schwachstellen finden, die auf den ersten Blick oder im Unternehmensalltag verborgen bleiben. Oft halten genau die Dinge, die Auftraggeber:innen vorher selbstbewusst als unproblematisch bezeichnet haben, einer kritischen Prüfung nicht stand. Auch deshalb sollte man Systemadministrator:inn:en und Fachverantwortliche in Schwachstellenanalysen mit einbeziehen.

Patch-Probleme

Verwundbarkeiten beginnen nicht selten bereits bei der regelmäßigen Wartung von IT- und OT-Systemen. Dass Schwachstellen nicht immer gewissenhaft und nachhaltig beseitigt werden, liegt nicht unbedingt an fehlender Expertise. Vielmehr sind es oft monetäre oder personelle Einsparungen, die dazu führen, dass Updates nicht ausgeführt werden und wichtige Patches zur Problembehandlung fehlen.

Pentests nehmen deshalb alte und komplexe Systeme gern als Startpunkte für die Suche nach Sicherheitslücken. Die Operational Technology (OT) befindet sich dabei in einer Sonderstellung, denn sie lässt sich vielfach nicht per Update an das notwendige Sicherheitsniveau anpassen. Hinzu kommt, dass Maschinen der OT ehemals (zu Recht) als geschlossene Systeme behandelt wurden. Mit der immer stärkeren Verknüpfung solcher weniger gehärteten Systeme im IoT ändert sich das allerdings in den letzten Jahren – und die Vernetzung erfolgt aus der Perspektive der IT-Sicherheit oft etwas nachlässig.

An einem Überblick über die aktuellen Systeme und Gegebenheiten führt kein Weg vorbei. Als erste Anhaltspunkte sind Übersichten über Patch-Stände oder grundlegende Analysen wie Schwachstellenscans bereits sehr hilfreich. Diese reichen jedoch oft noch nicht aus, um konkrete Handlungen ableiten zu können. Mit weiterführenden Sicherheitsanalysen können Pentester darauf aufbauend Lücken im System aufdecken und Unternehmen mit ihrem Spezialwissen individuell weiterhelfen.

Schwachstelle Supply-Chain

Supply-Chain-Attacken erweitern die Angriffsfläche auf ein Unternehmen erheblich. Anders als bei einem direkten Angriff muss man nicht beim eigentlichen Ziel ansetzen – vielmehr kann es ausreichen, wenn ein Akteur der Lieferkette kompromittiert wird. Unternehmen stehen innerhalb ihres Partner-Netzwerks in engem Austausch miteinander und sind in vielen Fällen auch über ihre IT-Umgebungen verbunden, beispielsweise über die Cloud. Gerade für Logistikverantwortliche ergibt sich daraus ein Szenario, das sie in ihr Supply-Chain-Risiko-Management (SCRM) integrieren sollten: Wird ein Partner innerhalb des Liefernetzwerks kompromittiert, kann das Folgen für die gesamte Supply-Chain haben – Frachtdaten oder Zolldokumente sind beispielsweise nicht länger zugänglich, Produktionsdaten fehlen, automatisierte Prozesse werden unterbrochen.

Auch Sicherheitsverantwortliche müssen das im Auge behalten und in die Abwendung solcher Risiken investieren. Hier kann wiederum bereits ein erster Überblick der Schnittstellen helfen, die es zu Partnern gibt – anschließend müssen diese gesichert oder vorhandene Sicherheitsmaßnahmen aktualisiert werden. Mittelfristig sollten Unternehmen für die gemeinsame Zusammenarbeit klare Sicherheitsstandards und Protokolle festlegen, um die jeweiligen Kompetenzen zu definieren, inklusive der Zugriffsrechte von Mitarbeiter:innen und dem Umgang mit sensiblen Daten.

Least-Privilege-Principle

Generell, also auch innerhalb der Organisation, sollte das Least-Privilege-Prinzip gelten: Demnach erhält jeder und alles (Menschen wie Maschinen, Anwendungen oder Prozesse) nur diejenigen Zugriffsrechte auf Informationen und Ressourcen, die nötig sind, um ihre Aufgaben zu erfüllen. Der Grundsatz „Was muss, das darf – was nicht muss, das darf auch nicht!“ sollte bei allen sicherheitspolitischen Überlegungen berücksichtigt werden. Denn strategische Entscheidungen, die zu einer übermäßigen Vernetzung führen, natives IoT oder das Untergraben der eigenen Handlungsfähigkeit durch komplexe Systeme können das Risiko von Cyberangriffen massiv steigern.

Ein ausgiebiger Pentest kann hier Schieflagen aufdecken und dazu dienen, auch im höheren Management Aufmerksamkeit für das Thema IT-Sicherheit zu schaffen und den Status quo zuverlässig darzustellen – dies ist der notwendige erste Schritt, um Risiken zu reduzieren. Die gute Nachricht lautet: Viele Schwachstellen findet man bereits durch eine strukturierte und ausgiebige Auseinandersetzung mit den Systemen und Anforderungen.

Verfügen Mitarbeiter:innen nicht länger über zu weitreichende Berechtigungen, welche bei einer Kompromittierung die meisten internen Dokumente und Ressourcen zugänglich machen, begrenzt man gleichzeitig die Auswirkungen erfolgreicher Phishing-Mails, die Benutzer:innen dazu bringen, Zugangsdaten preiszugeben oder eine schädliche Datei zu öffnen.

Pentest-Grundgedanken

Jedem Pentest sollte das sogenannte Scoping vorausgehen, bei dem eine Absprache darüber getroffen wird, welche Systeme zu untersuchen sind. Hierzu sollte man ein offenes Gespräch mit den Unternehmensverantwortlichen führen, in dem potenzielle Problemstellen erfragt und so auch bereits bekannte Versäumnisse klar werden können.

Prüfen können Pentester im weitesten Sinne alles, was Strom braucht, um zu funktionieren. Dabei spielt es keine Rolle, ob das die IT oder die OT betrifft – gerade bei der zunehmenden Vernetzung zwischen beiden Welten spielen Analysen in der Operational Technology eine immer wichtigere Rolle. Auch mobile Apps und Social-Engineering, bei dem die Rolle/Angreifbarkeit von Menschen ausgenutzt wird, sowie Zusatzfunktionen von Programmen oder Websites, die den Arbeitsalltag erleichtern sollen, können leicht zu einem Sicherheitsrisiko werden – all das sollte man daher bei Pentests ebenfalls berücksichtigen.

Das Leistungsspektrum von Pentestern reicht von konzeptionellen Prüfungen und Detailanalysen einzelner Systeme und Anwendungen bis hin zur realitätsnahen Angriffssimulation. Hierbei gibt es verschiedene Ansätze. Einer davon ist die Aufteilung der Beteiligten in ein Red und ein Blue Team: Um die Reaktionsfähigkeit des Unternehmens zu testen, simuliert das Red Team einen Angriff auf die Systeme – das Blue Team, das meist aus unternehmensinternen IT-Fachexpert:inn:en besteht, versucht, diese Angriffe zu erkennen und zu bekämpfen, ohne von den konkreten Vorhaben des Red Teams zu wissen. Zudem muss das Blue Team die Sicherheitslage des Netzwerks kontinuierlich verbessern, indem es beispielsweise Dokumente und Richtlinien in regelmäßigen Abständen anpasst. Anders läuft es beim „Purple Teaming“, wo Red und Blue Team zusammenarbeiten, um die Fähigkeiten und Verteidigungsmöglichkeiten schnell und effizient zu verbessern.

Unabhängig davon, welchen Ansatz Unternehmen verfolgen, sind solche Tests wertvolle Trainings für die IT-Sicherheit. Der Perspektivwechsel und die Simulation von Angriffen offenbaren häufig den Weg des geringsten Widerstands, den auch Angreifer nehmen könnten – und liefern so eine hilfreiche Ergänzung für das eigene IT-Sicherheitskonzept.

Fazit

Ob hinsichtlich der Umsetzung von Security-Basics (Patches, Passwords, Backups etc.), Supply-Chain-Attacken oder des Risikofaktors Mensch: Pentests stärken das Bewusstsein für die IT-Sicherheit des Unternehmens für Mitarbeiter:innen und Entscheider:innen. Denn ein erfolgreicher „Angriff“ durch einen Pentest ist immer „lebendiger“, näher und dringlicher als jede theoretische Darlegung.

Jannik Pewny ist Teamleiter Incident Response, Dirk Reimers ist Abteilungsleiter Pentest & Forensik bei der secunet Security Networks AG.

Diesen Beitrag teilen: