Hacker mit Maske | Assecor IT-Blog Pentesting

Von Vandalen, Script-Kiddies und „bösen Buben“ – Die Grundlagen des Pentesting

Der digitale Wirtschaftsraum ist längst zu einer der wichtigsten Grundlagen für so ziemlich jedes Business geworden. Da auch die Kriminalität in diesen Gefilden steigende Zahlen verzeichnet, müssen Maßnahmen getroffen werden, die eine Grundsicherheit ermöglichen. Eine solche Methode, die für Sicherheit zu sorgen vermag, ist die Simulation des Ernstfalls mittels des sogenannten "Penetration Testings." Um in das Thema einzuführen, haben wir ein Interview mit Sascha Zinke von Splone geführt.
Inhaltsverzeichnis

Hey Sascha, danke, dass du dir die Zeit für ein kurzes Interview nimmst. Fangen wir mal ganz basal an: Was ist das überhaupt, Pentesting?

Sascha Zinke: Im Grunde gibt es zwei verschiedene Möglichkeiten, um IT-Sicherheit voranzutreiben: neben der akribischen Vorbereitung des eigenen Unternehmens und der respektiven Mitarbeitenden gibt es natürlich auch solche Menschen, die versuchen aktiv fingierte, gleichsam realistische Angriffe vorzubereiten und durchzuführen. Man simuliert also quasi die Tätigkeit eines Angreifers, samt derselben Methoden und Ziele. Im Unterschied zu einem tatsächlichen Angreifer, Vandalen, Script-Kiddy oder „bösen Buben“ handeln wir im Rahmen eines Pentests allerdings stets in Resonanz mit den jeweiligen Organisationen und halten uns an entsprechende Absprachen. Das ist der wesentliche Unterschied; die generelle Vorgehensweise gleicht hingegen der eines gemeinen Hackers.

 

Für wen ist denn Pentesting interessant bzw. für wen ist es mitunter gar essenziell?

Sascha Zinke: Die Frage, die ein Pentest zu beantworten sucht, ist ja vor allem die nach den Schwachstellen eines informationstechnologischen Systems. Und diese Frage versucht ein Pentest auf möglichst schnelle und effiziente Art und Weise zu beantworten. Das bedeutet, dass ein Pentest vor allem für solche Organisationen von Belang ist, die in relativ kurzer Zeit eine konzise Antwort auf die Frage nach den Schwachstellen innerhalb ihrer jeweiligen Infrastruktur benötigen: wo befinden sich etwa mögliche Einfallstore für potenzielle Angreifer in den jeweils exponierten Diensten, z.B. auf der Website? Ein Pentest versucht diese Fragen eben schnell und effizient zu beantworten.

„Kleine Betriebe unterliegen denselben Richtlinien wie Großkonzerne!“

Gibt es denn Branchen, in denen ein Pentest dringender benötigt wird als in anderen?

Sascha Zinke: Wenn ich ein Unternehmen oder auch nur einen kleinen Betrieb mit Website habe, muss ich mich natürlich auch um IT-Sicherheit bemühen. Jetzt hat sich ein kleiner lokaler Textilbetrieb natürlich seinen potenziellen Online-Shop irgendwo eingekauft und besitzt darüber hinaus vermutlich nur eine statische Website mit einem http-Web-Formular, die gar keine wirkliche Interaktion erlaubt. Das heißt, ein Pentest ist an dieser Stelle vielleicht gar nicht das effektivste und effizienteste Mittel; da kommt man wahrscheinlich mit anderen Mitteln schneller ans gewünschte Ziel. Trotzdem unterliegen generell auch solch kleine Betriebe denselben Richtlinien wie Großkonzerne!

Wenn ich natürlich umfangreichere Dienste anbiete, vielleicht selbst Großunternehmer:in bin, dann habe ich andere Ansprüche und bin ich auch mehr auf funktionierende Technik angewiesen. Wenn ein kleiner Betrieb seine Website „verliert“, die also offline geht, dann ist das vielleicht für mein Geschäftsmodell nicht so entscheidend. Zwar können im schlimmsten Fall Kundendaten betroffen sein, aber die generelle Geschäftsfähigkeit wird dann nicht unmittelbar in Mitleidenschaft gezogen. Das sieht bei Unternehmen der kritischen Infrastruktur (KRITIS) schon ganz anders aus. Da ist dann nicht nur das Unternehmen selbst und seine direkten Kunden in akuter Gefahr, sondern das kann dann schnell auch gesellschaftlich relevante Konsequenzen haben. Deshalb sind kritische Infrastrukturen auch so schützenswert und im Umkehrschluss prädestiniert für Pentests.

Im Rahmen meiner Recherche bin ich auf das OWASP gestoßen. Kannst du hierzu kurz etwas sagen?

Sascha Zinke: OWASP steht für Open Web Application Security Project und ist eine von verschiedenen Unternehmen gesponsorte Stiftung, die sich mit Websicherheit und auch mit Richtlinien für das Pentesting befasst. Als solche ist das OWASP natürlich besonders spannend, weil es ein recht gutes Verständnis und einen kohärenten Überblick über die doch recht zerfaserte IT-Sicherheitslandschaft ermöglicht– und sie stellen diesbezüglich sogar Programme zur Verfügung. Das ist also eine ganz schöne Sache.

 

Red Team, BlueTeam; white box, grey box, black box… An Farben mangelt es im semantischen Umfeld des Pentestings wahrlich nicht. Kannst du kurz etwas zu den Begrifflichkeiten ausführen?

Sascha Zinke: Ja, die Farbthematik kommt aus dem militärischen Jargon: Red Team und Blue Team bezeichnen dementsprechend angreifende und abwehrende Einheiten. Als Red Team sind wir dann tendenziell die Angreifer, wohingegen das Blue Team auf der anderen Seite des metaphorischen Schützengrabens sitzt und versucht, entsprechend zu reagieren. Was sich bei den jeweiligen Angriffsarten nochmal unterscheidet, ist der Grad der Transparenz: wie gehe ich also genau vor? Das heißt, wenn wir in enger Absprache mit dem Kunden agieren, wenn wir umfängliche Informationen besitzen, dann wird entsprechend mehr Licht ins Dunkel gebracht: dann sprechen wir von einem White Box Pentest. Je weniger Informationen uns zur Verfügung gestellt werden, desto mehr tappen wir im sprichwörtlichen Dunkel und desto dunkler wird denn auch die Farbe der Beschreibung des jeweiligen Pentests. Bei einem Black Box Pentest hat man also im besten Fall lediglich den Firmennamen und die URL, darüber hinaus allerdings keine Infos.

Was man im Übrigen auch noch ab und zu begegnet, ist die Mischung aus Red Team und Blue Team, ein sogenannter Purple Pentest; auch Purple Security genannt. Es gibt also durchaus den Versuch, neue Farben einzustreuen, die mit neuen Herangehensweisen korrespondieren. Im Grunde sind wir aber meist als Red Team unterwegs – und da am Liebsten in einem informationstechnischen Graubereich.

 

Wie sieht denn so eine durchschnittliche Auftragsbeschreibung aus? Gibt es da nur eine unbestimmte Anfrage nach dem Motto: „Hackt uns mal“, oder werden da spezifischere Informationen geteilt?

Sascha Zinke: Das Entscheidende ist ja, ein umfassendes Vorgespräch zu führen und herauszufinden, was eigentlich das Ziel ist. Also, worüber möchte man eine Aussage treffen? Es ist ja sehr gut möglich zu sagen, "also mich interessiert unsere gesamte Unternehmenssicherheit." Aber ich kann natürlich auch Teilaspekte der IT-Security einer Prüfung unterziehen. Wenn ich z.B. ein neues Produkt oder einen respektiven Service online habe, dann kann ich mein Hauptaugenmerk auch darauf legen. Die alles entscheidende Frage ist ja, worüber möchte ich eine Aussage treffen? Entsprechend der jeweiligen Antwort ändert sich neben dem Kontext auch unsere jeweilige Vorgehensweise. Das alles gilt es in einem umfassenden Vorgespräch zu berücksichtigen. Es bleibt natürlich immer auch verbunden mit einer abwägenden Kostenfrage: es geht schließlich darum, einen Kompromiss zu finden zwischen der aufgewendeten Zeit, dem entsprechend eingesetzten Budget und den sicherheitsrelevanten Ergebnissen eines Pentests.

 

Nun ist die Technik ja nur die eine Seite der Medaille einer kohärenten Sicherheitsstrategie, das soziale Wesen Mensch ist ein weiterer Faktor, den es zu berücksichtigen gilt. Wie trägt das Pentesting diesem Umstand Rechnung?

Sascha Zinke: Auch diesbezüglich ist die wichtigste Frage wieder einmal: was möchte ich am Ende wissen? Ich glaube uns ist allen klar, dass Menschen verführbar und einigermaßen leicht zu täuschen sind. Das ist für sich genommen noch keine Erkenntnis. Die spannende Frage ist dann, ob und wie die technischen Systeme darauf vorbereitet sind. Das heißt, unser Ziel ist, auf der einen Seite herauszubekommen, ob die technologischen Sicherheitsmechanismen so ausgeklügelt sind, dass, wenn etwas passiert, der angerichtete Schaden minimal bleibt. Auf der anderen Seite ist es natürlich auch spannend, zu sehen, wie geschult die jeweiligen Mitarbeitenden sind. Da kann man beispielsweise Phishing-Angriffe simulieren, um die Arbeitsroutinen zu testen. Am Ende geht es aber niemals darum, Mitarbeitende zu denunzieren, sondern vielmehr darum, die technischen Komponenten so anzupassen, dass sie sicheres arbeiten ermöglichen. Ein solches Social Engineering, also das Ausnutzen menschlicher Schwachstellen, ist vor allem Teil von groß angelegten Red Teaming Kampagnen.

 

Vielen Dank für deine Zeit und die erhellenden Antworten auf meine Fragen.

Anlass für die ausgiebige Beschäftigung mit Sicherheitsaspekten der IT-Welt ist ein von Assecor geplantes Online-Seminar zum Thema. Am 22.03. um 14 Uhr werden Cyber-Security und Domain-Sicherheit im Fokus stehen. Melden auch Sie sich an!

Photo by sebastiaan stam on Unsplash
Teilen
LinkedIn Logo
LinkedIn Logo
LinkedIn Logo
Assecor Kontakt - IT Dienstleister aus Berlin
Assecor Kontakt - IT Dienstleister aus Berlin
Assecor Linkedin - IT Unternehmen aus Berlin