Wer braucht Pentesting?

Im Prinzip sind Penetrationstests für fast jedes Unternehmen sinnvoll, denn Penetrationstests sind eine gute Maßnahme um festzustellen, ob und wo Schwachstellen in den eigenen Netzwerken oder Produkten vorhanden sind. Diese Fragestellung ist grundsätzlich für alle Unternehmen relevant, entsprechende schützenswerte Daten hat heute jedes Unternehmen, egal ob Finanzdaten, Know-How, strategische Planungen, personenbezogene Daten oder auch Kundendaten. Geraten solche Daten in die Hände eines Angreifers und damit auch zum Beispiel an die Öffentlichkeit oder auch die Konkurrenz, so ist der entstandene Schaden oft hoch. Gute Penetrationstests decken durch ihre praxisnahe Vorgehensweise entsprechend nicht nur Schwachstellen auf, sondern geben gleich auch passende Lösungsvorschläge, sodass viele Probleme zeitnah beseitigt werden können.

Wo und wann ist Pentesting besonders wichtig?

Je kleiner ein Unternehmen ist, umso schwerer ist es, einen entstandenen Schaden zu kompensieren. Wird einem kleinem Unternehmen beispielsweise der Konstruktionsplan für ein neues, innovatives Produkt gestohlen und kommt ein Mitbewerber mit der Idee so früher auf den Markt, kann dies schnell das Aus des gesamten Unternehmens bedeuten. Umgekehrt sind größere Unternehmen heute so abhängig von Ihrer IT, dass bei einem Ausfall oder auch der Manipulation der Daten schnell der gesamte Betrieb stillsteht. Hierbei ist es völlig egal, um welche Art von Unternehmen es sich handelt: Der Onlineshop, der Bestellungen nicht mehr den Kunden zuordnen kann ist genauso betroffen wie ein produzierender Betrieb, dessen Just-In-Time-Lieferkette nicht mehr rechtzeitig funktioniert.

Es ist also schwer zu sagen, für wen Penetrationstests besonders wichtig sind. Dies spiegelt sich auch in unserer sehr heterogenen Kundenstruktur wieder: Wir arbeiten weltweit für alle Arten von Unternehmen, angefangen bei kleinen Firmen hin zu großen, weltweit agierenden Konzernen. Auch sind unsere Kunden über alle Branchen verteilt. Das oft zitierte Mantra "Penetrationstests gibt es nur in High-Tech-Unternehmen oder im Hochsicherheitsbereich" ist falsch. Jede Großbäckerei hat heute ein massives Problem, wenn für einen Tag sämtliche Produkte versalzen sind, weil ein Angreifer die Rezepturen manipulieren konnte.

Sollte man bei der Anbieterauswahl eher auf ein IT- Beratungsunternehmen mit einer breiten Dientsleistungs- und Produktpalette setzen oder doch lieber auf einen spezialisierten Anbieter bzw.sollten Pentests eher von Teams durchgeführt werden oder einzelnen Testern?

Der Penetrationstest muss in kurzer Zeit gerade die Schwachstellen aufdecken, die tatsächlich auch in der Praxis von Angreifern gefunden und ausgenutzt werden können. Während die Penetrationstester hierfür nur einen kurzen Testzeitraum zur Verfügung haben, haben die Administratoren des Unternehmens vorher jahrelang alles dafür getan, dass solche Schwachstellen gar nicht existieren. Aus dieser Situation folgt, dass Spezialisten notwendig sind, um sinnvolle Ergebnisse zu erzielen.

Mitarbeiter, die das ganze Jahr über nichts anderes machen als Penetrationstests durchzuführen, sind hierbei natürlich effizienter als Mitarbeiter, die dies nur alle paar Wochen einmal übernehmen. Aber die Spezialisierung ist nicht nur eine Frage der Effizienz, sondern auch der Effektivität: Kommt ein Penetrationstester im Rahmen des Penetrationstests nicht im richtigen Moment auf die richtige Idee, so bleiben eventuell kritische Schwachstellen unentdeckt. Um dieses Risiko weiter zu minimieren, arbeiten unsere Penetrationstester zusätzlich immer in entsprechenden Teams zusammen, denn nur durch die Teams kann die Effektivität des Penetrationstest sichergestellt werden. Zusätzlich rotieren wir die einzelnen Teams immer wieder, sodass nicht immer genau dieselben Personen zusammenarbeiten. Auch dies führt zu einer Effizienz- und Effektivitätssteigerung. Unsere Erfahrung zeigt, dass ein gutes Team wesentlich effizienter arbeitet, als ein einzelner Penetrationstester, selbst wenn dieser die mehrfache Zeit zur Verfügung hat.

Bei der Auswahl des passenden Dienstleisters wird oft auch übersehen, dass Penetrationstests eine ganz andere Sichtweise erfordern, als eine IT-Security-Beratung, die oft eher defensiv orientiert ist. Insofern sind IT-Security-Dienstleister nicht unbedingt gute Penetrationstester, auch wenn diese sich wesentlich mehr im IT-Security-Umfeld bewegen als zum Beispiel ein klassisches IT-Beratungsunternehmen.

Ein letzter Punkt spricht schließlich ebenfalls deutlich für die Auswahl eines Spezialisten für Penetrationstests: Die Objektivität. Wenn ein Anbieter neben Penetrationstests noch andere Dienstleistungen anbietet, müssen die Ergebnisse des Penetrationstest hinterfragt werden: Ist eine aufgedeckte Schwachstelle wirklich so kritisch wie berichtet oder hofft der Anbieter eventuell auf ein Folgegeschäft zum Beispiel im Bereich von Schulungen? Der Extremfall, von dem ich in diesem Zusammenhang gehört habe, war ein Dienstleister, der Penetrationstests kostenlos anbot, um anschließend genau sein Produkt verkaufen zu können.  Leider war in diesem Fall für den Kunden nicht nur der Penetrationstest umsonst, sondern auch die Ergebnisse praktisch wertlos.

Welche organisatorischen, rechtlichen und technischen Voraussetzungen sind für die Durchführung von Pentests erforderlich?

Eigentlich unterscheidet sich ein Penetrationstest nicht wesentlich von anderen IT-Dienstleistungen. Natürlich ist der Test im Rahmen eines entsprechenden Vertrags geregelt, aber ein solcher Vertrag ist nicht schwieriger, als ein anderer IT-Dienstleistungsvertrag auch. Auch die anderen Voraussetzungen, seien sie technischer oder organisatorischer Art, sind meistens wesentlich einfacher, als im ersten Moment zu vermuten wäre. Normalerweise sollte ein Penetrationstest nicht unbedingt an Weihnachten durchgeführt werden, wenn jeder Bereitschaftseinsatz schnell teuer wird, aber umgekehrt gilt auch: Ein Penetrationstester verhält sich ähnlich wie ein echter Angreifer, und für den werden ja auch keine besonderen technischen Voraussetzungen geschaffen. Natürlich benötigt ein Test eines internen Netzwerks einen entsprechenden Zugriff auf dieses Netzwerk, zum Beispiel per VPN oder auch vor Ort in Form eines bereitgestellten Büros, aber solche Voraussetzungen sind leicht zu schaffen. Ganz allgemein gilt, ein gutes Pentesting-Unternehmen wird potentielle Kunden gerne vor Vertragsabschluss entsprechend beraten. Im Rahmen solcher - normalerweise kostenloser - Gespräche stellt sich häufig heraus, dass für die meisten Spezialfälle, die ein Kunde sieht, bereits gute und gangbare Lösungen existieren. So tauchen in der letzten Zeit immer mehr Fragestellungen aus dem Bereich der Compliance auf, die vor Testbeginn entsprechend geklärt werden müssen.

Welche Argumente lassen sich für die Begründung eines Pentests heranziehen?

Grundsätzlich gilt: Nur wer getestet hat, ob etwas funktioniert oder nicht, kann auch wirklich sicher sein. Oft gefährden kleine aber leicht zu findende Fehler die Unternehmenssicherheit enorm. Hier gilt, ein Penetrationstest deckt solche Fehler auf und leistet somit einen direkten Beitrag zur Absicherung des Unternehmens.

Auch im rechtlichen Bereich finden sich Begründungen für die Durchführung eines Penetrationstest. Grob gesagt gilt: Bei entsprechender Fahrlässigkeit besteht auch eine Haftung für die begangenen Fehler. Dies kann bei der Geschäftsführung bis hin zur Haftung mit dem Privatvermögen gehen. Ein Penetrationstest dient dazu, den "Ernstfall zu proben", und kann so zu einer rechtlichen Absicherung beitragen.

Welche Arten von Systemen kann man testen?

Wir haben Penetrationstests von völlig unterschiedlichen Systemen durchgeführt. Da im Prinzip heute überall IT-System verbaut werden, ist schnell jedes System sicherheitsrelevant und sollte, je nach Einsatzzweck, dann auch getestet werden: Angefangen natürlich von klassischen Unternehmensnetzwerken, über Online-Shops und andere Online-Dienste, Telefon- und Videokonferenzsystemen, bis hin zu Geräten, bei denen man klassicherweise nicht unbedingt an Penetrationstests denkt, zum Beispiel Alarmanlagen, verschiedene Arten von Automaten oder auch mobilen Applikationen für Smartphones.

In welche Phasen kann ein Pentest gegliedert und strukturiert durchgeführt werden?

Zunächst wird bei jedem Penetrationstest zusammen mit dem Kunden ein Vorgespräch durchgeführt. Hier werden im Rahmen einer Bedrohungsanalyse typische Gefährdungen besprochen und überlegt, welche wie und in welchem Umfang im Rahmen von Penetrationstests getestet werden sollten. Nach diesem Gespräch stehen Umfang und Ziele des Penetrationstests fest und einer Beauftragung steht normalerweise nichts mehr im Weg.

Der eigentliche Penetrationstest ist von Kreativität geprägt. Wir werden dafür bezahlt, in relativ kurzer Zeit auf gerade die Ideen zu möglichen Schwachstellen zu kommen, die im Unternehmen selber nicht aufgedeckt wurden. Aus diesem Grund ist eine zu starre Vorgehensweise nicht sinnvoll. Ganz allgemein kann man aber die Phasen Reconnaissance, Enumeration, Exploitation und Documentation unterscheiden. Im Rahmen der Reconnaissance werden Informationen über mögliche Schwachstellen gesammelt, ohne direkt mit den Zielsystemen zu kommunizieren. Während der Enumeration geschieht dies ebenfalls, allerdings mit direkter Kommunikation mit den Zielsystemen. Der klassische Portscan ist zum Beispiel ein Mittel dieser Phase. Ergebnisse aus beiden Phasen werden genutzt, um in der nächsten Phase tatsächlich Systeme angreifen zu können. Vor einem entsprechenden Angriff wird überprüft, welches Risiko für den Betrieb des betroffenen Systems durch den Angriff ausgeht. Sehr häufig testen wir Produktivsysteme und hier ist natürlich wichtig, das Risiko insbesondere eines Ausfalls möglichst zu minimieren. Schließlich werden die Ergebnisse im Rahmen eines Berichts festgehalten, welches die letzte Phase darstellt.

Alle dieser Phasen werden mehrfach durchgeführt, so entsteht auch die Dokumentation direkt während des Penetrationstest und zwar durch die Penetrationstester selbst. Dies ist wichtig, denn nur so ist sichergestellt, dass Unklarheiten, die erst während der Dokumentation auftreten, auch beseitigt werden können.

Nach dem eigentlich Penetrationstest stellen unsere Penetrationstester die Ergebnisse dem Kunden persönlich vor. Hierbei liegt der Schwerpunkt auf der Präsentation der Ergebnisse. Dies bedeutet keine Powerpoint-Folien, sondern eine Live-Demonstration aller Schwachstellen. Zusätzlich können alle Ergebnisse, Risikoeinstufungen und auch Lösungsvorschläge direkt mit den Penetrationstestern diskutiert werden. Es zeigt sich, dass mehr als 50 Prozent des Wertes des Penetrationstest normalerweise erst durch diese Abschlusspräsentation geschaffen wird, denn erst durch die Präsentation werden Kenntnisse und Fähigkeiten von den Penetrationstestern zum Kunden transferiert. Oft sind die beteiligten Administratoren nach einer solchen Präsentation in der Lage, verschiedene Schwachstellen in Zukunft selber zu identifizieren und so zu vermeiden.

Welche Faktoren beeinflussen die Effizienz und Vollständigkeit von Pentests?

Zunächst einmal die Professionalität. Wenn ein Unternehmen ausschließlich Penetrationstests durchführt, führt dies ganz zwangsweise zu eine entsprechenden Effizienz.

Zusätzlich führen wir Penetrationstest grundsätzlich im Team von mehreren Penetrationstestern durch. Gute Penetrationstests erfordern professionelle Penetrationstester mit viel Erfahrung und entsprechender Kreativität. Ziel eines Penetrationstests ist es schließlich nicht, einen bekannten Exploit gegen eine bekannte verwundbare Software größtenteils automatisch ablaufen zu lassen, sondern eher, eine Lücke überhaupt erst zu entdecken, die bis dahin unbekannt war. Die meisten Anwendungen in Unternehmen sind heute speziell für diese Unternehmen geschrieben, was bedeutet, es sind normalerweise sowieso keine bekannten Exploits nutzbar. Zwar kann kein Penetrationstest wirklich vollständig sein, jeder zusätzliche investierte Testtag wird auch neue Schwachstellen aufdecken können, aber ein Team von guten professionellen Penetrationstestern ist somit der beste Garant für einen effizienten und möglichst vollständigen Penetrationstests.

Wie lassen sich umfangreiche Pentests effizient durchführen sowie umfangreiche Ergebnisse effizient verwalten und auswerten?

Gerade umfangreiche Penetrationstests erfordern ein hohes Maß an Professionalität und Erfahrung bei den beteiligten Penetrationstestern. RedTeam Pentesting nutzt verschiedene größtenteils individuelle Software, um effizient zu arbeiten, aber insbesondere auch die Ergebnisse effizient und gleichzeitig ausführlich zu dokumentieren. Da unsere Berichte zu einem sehr großen Teil individuell für den jeweiligen Kunden von den Penetrationstestern geschrieben werden und nicht einfach die Ausgabe von Tools sind, ist eine effiziente Dokumentation ein sehr wichtiger Bestandteil eines guten Penetrationstest. Da wir gleichzeitig im Team arbeiten, muss sichergestellt werden, dass mehrere Personen unabhängig voneinander gleichzeitig an den gleichen Dokumenten arbeiten können, ohne dass sich Arbeiten überschneiden oder gegenseitig behindern. Dies stellen wir durch die Nutzung verschiedener Versionskontrollsysteme sowie eines angepassten Textsatzsystems sicher. So können sich unsere Mitarbeiter auf den Inhalt der Texte konzentrieren, während Layout und der Textsatz automatisch erstellt werden. Ein so erstellter Testbericht führt dazu, dass die Ergebnisse didaktisch gut transportiert und von den Kunden entsprechend verstanden werden. Ein solches Verständnis der Ergebnisse ist wichtig für die effektive Umsetzung der Lösungen im Anschluss an den Penetrationstest.

Wie grenzen sich Pentests von anderen technischen Audit-Ansätzen ab?

Wir definieren Audits so, dass Audits anhand von mehr oder weniger umfangreichen Checklisten überprüfen, ob sich ein System regelgerecht verhält. Penetrationstests gehen gerade nicht anhand von typischen Checklisten vor, sondern testen solche Schwachstellen, die nicht auf Checklisten aufgeführt sind. Natürlich gibt es hierbei eine gewisse Überschneidung mit Checklisten: Im Bereich der Webapplikationen kann sicherlich zum Beispiel die OWASP Top 10 als Basiswissen auch für Penetrationstests herangezogen werden. Problematisch bei Audits ist, dass die Checklisten niemals vollständig sein werden, aber der grundsätzliche Ansatz bei Audits lautet, die Checkliste abzuarbeiten. Dies führt dazu, dass je nach Audit der notwendige Auditierungszeitraum relativ lang ist. Beispielsweise ist alleine der aktuelle BSI Grundschutzkatalog bereits über 2000 Seiten lang. So kann ein Penetrationstests in der gleichen Zeit völlig andere, aber vielleicht zielführendere Ansätze verfolgen. Gleichzeitig ist ein Penetrationstest aber nur schwer vergleichbar, denn Ergebnisse eines Penetrationstests hängen stark vom gewählten Dienstleister ab. Hingegen können Auditierungen mit einem vergleichbaren Zertifikat enden. So können Auditierungen Penetrationstests nicht ersetzen. Teilweise schreiben diese deshalb sogar einen Penetrationstests vor, wie zum Beispiel im Bereich des PCI/DSS.

Gerade wenn schnelle und praxisrelevante Ergebnisse gefragt sind, ist der Penetrationstest dem Audit meistens vorzuziehen.

Welche negativen Auswirkungen können Pentests haben?

Bei der Wahl des falschen Dienstleisters können im schlimmsten Fall Daten direkt durch den Penetrationstest abhanden kommen. Es gibt beispielsweise Dienstleister, die mit Freelancern arbeiten, die Penetrationstests ihrerseits nach Indien outsourcen oder auch Dienstleister, die sich je nach Auftragslage Pentester bei anderen Firmen ausleihen. Ohne das ein solches Verhalten per se zu einem Informationsabfluss führt, erhöht es doch das Risiko für den Auftraggeber. Hier kann sich jeder Auftraggeber selbstständig schützen, indem er seinen Dienstleister sorgfältig auswählt. Während des Penetrationstest kann nicht ausgeschlossen werden, dass theoretisch Systeme ausfallen. Dies kann aber auch ohne Penetrationstest nicht ausgeschlossen werden. In der Praxis haben wir in dem mehr als halben Jahrzehnt in dem wir Penetrationstests anbieten noch nie einen Fall gehabt, wo ein ernsthafter Schaden entstanden ist, der Kunden dazu bewogen hätte, den Penetrationstest nicht durchzuführen, wenn dies vorher bekannt gewesen wäre. Wir stellen dies durch eine sehr sorgfältige Planung und Durchführung der Tests sicher.  Abhängig von den Risiken kann so vorab beschlossen werden, bestimmte Angriffe nur gegen Testsysteme durchzuführen, oder auch im Extremfall ganz vom Test auszuschließen. Ein weiterer Aspekt, der bei falscher Planung von Penetrationstests auftreten kann, ist, dass Mitarbeiter sich kontrolliert fühlen und so das Betriebsklima geschädigt wird. Dies lässt sich durch eine gute Planung aber leicht vermeiden.

Wo liegen die Unterschiede zwischen automatisierten/toolbasierten Scans und manuellen Penetrationstests bzw. wie sind die Ergebnisse von Tool-gestützten Tests zu bewerten?

Ein automatisierter Penetrationstest widerspricht sich schon im Begriff. Penetrationstests sollen gerade die Schwachstellen aufdecken, die in der Praxis die Sicherheit des getesteten Unternehmens gefährden. Dies sind erfahrungsgemäß sehr häufig die individuellen Schwachstellen, die so nur in diesem Unternehmen vorkommen. Solche Schwachstellen können aber automatisiert nicht aufgedeckt werden. Wenn Kunden unser Vorgehen begleiten, sind sie häufig überrascht, wie wenige Tools wir in der Praxis verwenden. Natürlich werden auch wir 65000 Ports nicht per Hand durchprobieren, aber für viele andere Zwecke werden die notwendigen Skripte meistens schnell per Hand geschrieben, wenn sie benötigt werden.

Wie haben sich die Einsatzgebiete von Pentesting im Laufe der Jahre verändert?

Penetrationstest bieten ein ganzheitliches Bild auf die IT-Sicherheit. Hierzu gehören auch verschiedene Aspekte, die im ersten Moment vielleicht nicht in diesen Bereich einsortiert würden. So spielt die physische Sicherheit in letzter Zeit durchaus immer wieder eine Rolle. Ansonsten gehen Penetrationstests mit der Zeit: Durch die Entwicklung und den Einsatz von mobilen Geräten innerhalb der Firmen-IT stehen auch diese Produkte stärker im Fokus von Penetrationstests. Gleiches gilt für Video- und Telefonkonferenzsysteme, gerade im Rahmen des Umbaus auf VoIP-Systeme.

Nehmen wir an, ein Unternehmen steht vor der Wahl. Was macht Sie zum Favoriten?

RedTeam Pentesting ist auf die Durchführung von Penetrationstests spezialisiert. Dadurch dass unsere Mitarbeiter durchgängig Penetrationstests durchführen, sind wir entsprechend leistungsstark und effektiv. Gleichzeitig brauchen unsere Kunden keine Gedanken darauf zu verschwenden, ob Ergebnisse eventuell gefärbt sind, denn wir verkaufen grundsätzlich kein Consulting oder andere Dienstleistungen, auch nicht nach einem Pentest. RedTeam Pentesting arbeitet nur mit festangestellten Mitarbeitern, wir beschäftigen keine Freelancer und alle unsere Mitarbeiter sind öffentlich bekannt. Durch diese und viele weitere Maßnahmen stellen wir sicher, dass unsere Kunden höchstmöglichen Schutz genießen. Viele unserer Kunden haben bereits Erfahrungen mit anderen Dienstleistern im Bereich von Penetrationstests. Gerade diese Kunden bestätigen uns in unserer Arbeitsweise und der Qualität unserer Ergebnisse. Viele davon führen regelmäßig Penetrationstests in großem Umfang mit uns durch.

Jens Liebchen, Geschäftsführer

www.redteam-pentesting.de/