zur Übersicht

Sicherheitslücken verstehen: Pentests als Basis für mehr Sicherheit

Lesedauer ca. 6 Minuten
02.10.2024

Gerade dort, wo mit sensiblen Daten gearbeitet wird, ist es wichtig, dass die eigenen Computersysteme und Netzwerke ausreichend geschützt sind. Sicherheit ist ein Prozess, und die Anforderungen an ein sicheres System ändern sich daher ständig. Entscheidend ist, auf dem neuesten Stand zu bleiben und den eigenen Schutz vor Angriffen und Malware immer wieder zu überprüfen. Genau zu diesem Thema hat unser Admin-Team vor kurzem eine Weiterbildung gemacht. Für den aktuellen Blogbeitrag haben unsere Xperten nun die wichtigsten Punkte zusammengefasst und in eine kompakte Form überführt.

Pentesting: Ein Baustein zur Sicherheit

Pentesting, kurz für Penetration Testing, ist eine Methode zur systematischen Überprüfung der Sicherheit von Computersystemen oder Netzwerken. Dabei werden von IT-Security-Firmen gezielt Angriffe simuliert, um potenzielle Schwachstellen aufzudecken, bevor echte Hacker diese ausnutzen. Ziel ist es, Sicherheitslücken zu identifizieren und zu beheben, um die Widerstandsfähigkeit des eigenen Systems gegenüber Angriffen zu stärken. Pentests können von internen als auch von externen Spezialisten durchgeführt werden. Gerade bei externen ist auf eine gute Reputation und Erfahrung zu achten.

Die 5 Phasen des Pentests:
  1. Vorbereitung
  2. Informationsbeschaffung
  3. Bewertung und Risikoanalyse
  4. Durchführung der Angriffe
  5. Reporting

Vorbereitung: Der erste Schritt zum erfolgreichen Pentest

Die Vorbereitung kurz zusammengefasst:

  • Ziele definieren: Klare Ziele für den Pentest benennen und beschreiben. Diese Ziele sollten sowohl vom Auftraggeber als auch vom Pentester gemeinsam festgelegt werden.
  • Rechtliche Aspekte beachten: Sicherstellen, dass der Pentest im Einklang mit allen relevanten Gesetzen und Vorschriften durchgeführt wird. Das schützt beide Parteien vor möglichen rechtlichen Konsequenzen.
  • Organisatorische Voraussetzungen: Festlegen, welche Systeme und Bereiche getestet werden sollen und wer innerhalb der Organisation für die Zusammenarbeit mit dem Pentester verantwortlich ist.
  • Zeitliche Planung: Einen geeigneten Zeitpunkt wählen, um die Belastung der untersuchten Zielsysteme gering zu halten und den operativen Betrieb nicht zu beeinträchtigen.
  • Schriftliche Dokumentation: Alle Rahmenbedingungen und Vereinbarungen schriftlich festhalten und von beiden Parteien unterzeichnen lassen.

Informationsbeschaffung: Wissen ist Macht

In der Phase der Informationsbeschaffung werden alle verfügbaren Quellen genutzt, um Wissen über die anzugreifenden Systeme und Schwachstellen zu sammeln.

  • Social Engineering: Informationen von Stakeholdern erlangen
  • Automatisierte Werkzeuge: Einsatz von Tools wie Maltego, nmap und Wireshark
  • Dumpster Diving: Durchsuchen des Abfalls der Zielorganisation
  • Online-Ressourcen: Nutzung von Unternehmenswebsites, Social-Media-Profilen und Jobportalen

Durch eine umfassende Informationsbeschaffung kann ein detailliertes Bild der Zielumgebung erstellt werden und als Grundlage für die nächsten Schritte dienen.

Bewertung und Risikoanalyse: Prioritäten setzen

Die gesammelten Informationen werden der Nützlichkeit für den Pentest-Auftrag nach bewertet. Das beinhaltet die Bestimmung der Ziele für potenzielle Angriffe und die Fokussierung auf Systeme mit identifizierten Schwachstellen. Eine genaue Dokumentation und klare Kommunikation mit dem Auftraggeber sind im Nachhinein unerlässlich. Zudem müssen bestehende Risiken für den Produktivbetrieb erfasst und mit dem Auftraggeber abgesprochen sein.

Durchführung der Angriffe: Der Härtetest

In dieser Phase werden die geplanten Angriffe schließlich umgesetzt. Das tatsächliche Risiko vermeintlicher Schwachstellen wird bewertet, und gegebenenfalls kann auf einen Angriff verzichtet und stattdessen eine Trockenübung durchgeführt werden. Alle Erkenntnisse und Abweichungen vom Plan sollten sorgfältig dokumentiert werden.

Beispielhafte Angriffe:

  • Menschen: CEO Fraud, Nigeria Connection, Love Scamming
  • Netzwerke: MAC-Table-Flooding, OSPF-Spionage, STP-Manipulation
  • Software: Buffer-Overflow-Attacken, Fuzzing, maliziöse Routinen
  • Hardware: Einsatz schadhafter USB-Sticks, Keylogger, Vandalismus, Diebstahl
  • Systeme: Schadsoftware, „Zombifizierung“, Hintertüren, Kryptominer
  • Dienste: DNS-Cache-Poisoning, ARP-Spoofing, SSL-Splitting
  • Infrastruktur: Zerstörung, unbefugtes Eindringen, vorsätzliche Öffnung

Durch diese vielfältigen Angriffsmethoden wird eine große Bandbreite möglicher Bedrohungen abgedeckt.

Reporting: Ergebnisse und Empfehlungen

Die Phase des Reportings umfasst die detaillierte Auflistung der einzelnen Prüfungsschritte. Gefundene Schwachstellen werden hinsichtlich des Risikos eines potenziellen Angriffs und seiner Auswirkungen bewertet und dokumentiert. Empfehlungen zur Kompensation der Schwachstellen und Risiken werden festgehalten und die Ergebnisse ausgewählten Stakeholdern präsentiert.

Empfehlungen für das Reporting: Im Reporting sollten Standardtools und Dateiformate verwendet werden sowie Nomenklatur und Sprache einheitlich sein, um die Lesbarkeit zu gewährleisten. Da verschiedene Adressaten für den Abschlussbericht angesprochen werden, ist ein Glossar im Bericht erforderlich, sodass Fachbegriffe leicht nachgeschlagen werden können. Weiterhin empfiehlt sich eine zentrale Speicherung und Versionierung, was den Zugriff erleichtert und Änderungen am Bericht nachvollziehbarer macht.

Abschließend möchten wir noch einen knappen Überblick zu den wichtigsten Tools und Methoden sowie Schwachstellen geben.

Netzwerkstatistiken und -werkzeuge: Das technische Fundament

Netzwerkstatistiken und -werkzeuge spielen eine entscheidende Rolle in der IT-Sicherheit. Netzwerkkarten und ihre Konfiguration sind grundlegende Elemente für die Funktion und Verwaltung von Netzwerken. Die richtigen Netzwerkwerkzeuge helfen Admins dabei, den Überblick zu behalten und potenzielle Bedrohungen frühzeitig zu erkennen. Es ist wichtig zu beachten, dass diese Tools auch von Cyberkriminellen genutzt werden können, um Schwachstellen auszuspähen und auszunutzen.

Bordmittel und zusätzliche Tools für Informationsgewinnung

Netstat: Anzeige von Netzwerkverbindungen und deren Status. Services.msc: Grafisches Interface zur Verwaltung von Windows-Diensten. sc query type=service state=all: Abfrage aller Dienste und deren Status. Iftop: Zeigt den Netzwerkverkehr in Echtzeit an. Ressourcenmonitor: Bietet Einblicke in die Ressourcennutzung eines Systems. Netcat: Ein vielseitiges Tool, auch bekannt als das „Schweizer Taschenmesser“ für Netzwerkverbindungen. Ping und Tracert / traceroute: Basiswerkzeuge zur Diagnose von Netzwerkverbindungen und Routen.

Netzwerkkarten und Konfiguration: Übersicht behalten

Die Konfiguration und Überwachung von Netzwerkkarten sind essenziell für die Netzwerksicherheit:

  • Ipconfig: Zeigt IP-Konfigurationen unter Windows an.
  • Get-netadapter (Powershell): Liefert detaillierte Informationen zu Netzwerkadaptern.
  • Ip a und ifconfig: Ähnliche Funktionen unter Linux, um Netzwerkkonfigurationen abzurufen und zu ändern.

Schwachstellen: Die Achillesferse der IT

IT-Systeme sind durch die betriebenen Softwarekomponenten grundlegend als anfällig zu betrachten. Schwachstellen, die bei der Quality Assurance übersehen werden (Vulnerabilities) sind dabei die Einfallstore für diese Bedrohungen. Laut BSI gibt es 47 elementare Gefährdungen, von Feuer über Abhören bis hin zu Ressourcenmangel und Anschlägen. Exploits sind fertige Routinen zur Ausnutzung dieser Schwachstellen.

Schwachstellenscans: Proaktive Sicherheit

Schwachstellenscans sind unerlässlich, um IT-Systeme auf mögliche Sicherheitslücken zu überprüfen. Diese Scans können manuell mit Tools wie Nmap oder automatisiert mit Lösungen wie OpenVAS, Nessus und InsightVM/Nexpose durchgeführt werden. Automatisierte Werkzeuge bieten oft professionelle, kostenpflichtige Versionen und erstellen Listen gefundener Schwachstellen, die weiter analysiert werden können, um passende Exploits auszuwählen.

CVE: Einheitliche Schwachstellenbenennung

Das Common Vulnerabilities and Exposures (CVE) System bietet eine einheitliche Namenskonvention für Schwachstellen, um Mehrfachbenennungen zu vermeiden. Jede Schwachstelle wird durch eine eindeutige CVE-Nummer identifiziert, z. B. CVE-2017-5754 für die Meltdown-Schwachstelle. Die Bewertung erfolgt durch das Common Vulnerability Scoring System (CVSS).

Exploits: Das Werkzeug Cyberkrimineller

Exploits nutzen Softwarefehler aus, um Schadcode auszuführen, oft durch Provokation von Buffer Overflows. Nach erfolgreicher Ausführung sind sie auch in der Lage, interne Payloads (Nutzlasten) zu zünden. Exploits können aus Online-Sammlungen wie Exploit-DB.com oder aus Offline-Sammlungen wie Metasploit (unter Kali Linux) bezogen werden. Diese Tools bieten sowohl Vorteile (kostenlos, anpassbar) als auch Nachteile (Programmierkenntnisse erforderlich).

Fazit

Die hier vorgestellten Tools und Techniken sind doppelseitig – sie sind wertvolle Werkzeuge für die Sicherung und Überwachung von Netzwerken, aber sie können auch von Cyberkriminellen verwendet werden, um Schwachstellen zu identifizieren und auszunutzen. Daher ist es für Admins wichtig, sich der Bedrohungen bewusst zu sein und geeignete Maßnahmen zu ergreifen, um ihre Netzwerke zu schützen und potenziellen Angriffen entgegenzuwirken. Ein systematischer Ansatz, der sowohl technische als auch organisatorische und rechtliche Aspekte berücksichtigt, ist der Schlüssel zu einer robusten IT-Sicherheitsstrategie.


Quellen:

Bundesamt für Sicherheit in der Informationsinformatik
CVEdetails

IT-Beratung

Erfahren Sie mehr über unsere Leistungen
Beitrag teilen
Nächster Beitrag