+43 699 / 18199463
office@itexperst.at

IT-Penetrationstests – Ein praktischer Leitfaden des BSI

Dies ist eine Zusammenfassung von „Ein Praxis-Leitfaden für IS-Penetrationstests“, das vom BSI für die Planung von IT-Penetrationstests herausgegeben wurde. Der BSI-Leitfaden soll dem Leser mit allem Wissenswerten rund um das wichtige Thema IT-Sicherheits-Penetrationstests (hier IS-Penetrationstests) helfen.

Inhalt

BSI - Ein Praxis-Leitfaden für IS-Penetrationstests/IT-Penetrationstests

BSI: “Ein Praxis-Leitfaden für IS-Penetrationstests”. Hilfe für die Durchführung von IT-Penetrationstests (hier IS-Penetrationstests). Download am Ende des Artikels.

Bösartige Angriffe auf IT-Systeme finden tatsächlich statt und selbst unattraktive Ziele sind heute interessant für Angreifer. Verlust von Daten und Know-how sowie der Imageschaden bei einem erfolgreichen Angriff können schwerwiegenden Einfluss auf den wirtschaftlichen Erfolg eines Unternehmens haben. Daher sollten besonders bei vernetzten IT-Systemen neben den gängigen Absicherungsmaßnahmen auch IT-Sicherheitstests/IT-Penetrationstests durchgeführt werden.

Verschiedene zeit- und kostensparende Vorgehensweisen bei IT-Penetrationstests werden im Leitfaden aufgezeigt. Das BSI beschreibt die Vorgehensweise und erklärt, auf was der Leser bei einem IS-Penetrationstest achten soll, damit er sich schon vorab mit den allgemein praktizierten Abläufen vertraut machen kann.

IT-Penetrationstests ersetzen jedoch nicht die Qualitätssicherung von IT-Anwendungen oder Systemen. Es geht vielmehr darum, dass völlig unabhängige Prüfer, ähnlich wie Angreifer, als unbeteiligte außenstehende Angriffe entwickeln. Das IT-Sicherheitsmanagement muss aber durch die interne Qualitätssicherung oder das IT-Personal erfolgen. Reproduzierbare Testverfahren müssen verwendet werden, die nach jeder System- oder Anwendungsänderung die Sicherheit erneut prüfen. Die im Penetrationstest gefundenen Schwachstellen können auch für alle zukünftigen Prüfungen aufgenommen werden.

IT-Penetrationstest – ein Überblick der Aufgaben nach BSI

IT-Penetrationstests sind erprobte Vorgehensweisen, um das Angriffspotenzial auf ein IT-Netz, ein IT-System oder eine Anwendung auszuloten und die Erfolgsaussichten eines vorsätzlich durchgeführten Angriffs auf ein Netzwerk oder ein IT-System einzuschätzen. Endziel ist es, aus den Testergebnissen zusätzliche Sicherheitsmaßnahmen abzuleiten und die Wirksamkeit bereits umgesetzter Sicherheitsmaßnahmen zu prüfen. Alle installierten IT-Anwendungen (wie Mailserver) und das Betriebssystem, die Datenbanken usw. werden überprüft. Ansatzpunkte bei einem IT-Penetrationstest sind u. a.:

  • Router, Gateways, Switches
  • Firewall, Intrusion Detection System, Paketfilter, Loadbalancer, Virenscanner usw.
  • Webserver, Datenbankserver, Fileserver, Speichersysteme usw.
  • Telekommunikationsanlagen
  • Webanwendungen wie Internetauftritt, Webshop
  • Clients
  • Drahtlose Netze wie WLAN und Bluetooth
  • Gebäudesteuerungen, Zutrittskontrollmechanismen

Arten von Penetrationstests – nach BSI

IT-Penetrationstests werden in Blackbox-Penetrationstests und Whitebox-Penetrationstests aufgeteilt. Der Blackbox-Pentest simuliert den Angriff eines fremden Dritten, der nur wenige Infos über sein Angriffsziel hat. Beim Whitebox-Penetrationstest liegen umfangreiche Infos über das Angriffsziel vor, wie beispielsweise Infos über interne Netzwerk IP-Adressen, eingesetzte Soft- und Hardware usw. Whitebox-Pentests werden eher empfohlen. Blackbox-Penetrationstests können Schwachstellen übersehen, da nicht alle Informationen vorliegen. Die Gefahr besteht auch, dass ein Blackbox-Penetrationstest Angriffe von innen nicht berücksichtigt.

IT-Penetrationstests können tief oder oberflächlicher durchgeführt werden. Destruktive Tests, die das System beschädigen, sollen vermieden werden. Technische Sicherheitsaudits können vorhandene Schwachstellen stichprobenartig nachweisen. Sicherheitsrelevante Regelwerke und Konfigurationen werden untersucht und Rückschlüsse auf Schwachstellen anhand der Versions- und Patch-Stände gezogen. Systemgefährdungen können des Weiteren durch einen automatisierten Schwachstellenscanner aufgezeigt werden. Die Angriffsstärke eines IT-Penetrationstests sollte moderat sein, sodass Schwachstellen nachgewiesen, aber nur ausgenutzt werden, wenn es unvermeidbar ist und alle Exploits zuvor überprüft wurden.

Ein IT-Penetrationstest sollte auf jede neue Gegebenheit flexibel angepasst werden. IT-Penetrationstests umfassen keine Elemente des Social Engineerings. Wenn doch ein Social Engineering durchgeführt wird, ist es empfehlenswert, die Mitarbeiter vorher für solche Angriffsmethoden zu sensibilisieren.

Unterschiede zu anderen Testmethoden

Eine IT-Revision soll die Informationssicherheit verbessern. Aus dem Revisionsbericht können Handlungen gesetzt werden, um Fehlentwicklungen in der IT zu vermeiden, die Wirtschaftlichkeit von Sicherheitsmaßnahmen zu kontrollieren und Sicherheitsprozesse zu optimieren. Es können IT-Grundschutz und die Umsetzung von Sicherheitsmaßnahmen überprüft werden. Ein IT-Penetrationstest versucht dagegen die vorhandenen Sicherheitsmaßnahmen zu umgehen.

Ein Code-Review untersucht Quellcode von Software auf Fehler und Schwachstellen als Teil der Qualitätssicherung und findet damit gängige Sicherheitslücken. IT-Penetrationstests provozieren hier jedoch unerwartetes Verhalten, das Schwachstellen offenlegt.

Ein „Webcheck“ prüft den Sicherheitsstand eines Internetauftritts durch automatisierte Methoden und sollte Teil des IT-Penetrationstests sein.

Prüfer und ihre Qualifikationen

Nur fachlich qualifizierte, vertrauenswürdige, externe Personen sollten IT-Penetrationstests durchführen und als Prüfstelle zertifiziert sein. Zertifikate als Nachweise über das Fachwissen in verschiedenen Bereichen sind hierbei wichtig, zum Beispiel Systemadministration, Netzwerkprotokolle, Programmiersprachen, IT-Sicherheitsprodukte, Anwendungssysteme, Netzkomponenten. Abgesehen von den fachlichen Qualifikationen sind absolute Verschwiegenheit, Unabhängigkeit und die Neutralität der Prüfer sehr wichtig. Anhand von Referenzen können diesbezügliche Rückschlüsse gezogen werden.

Aufwand eines IT-Penetrationstests – nach BSI

IT-Penetrationstests können unterschiedlich umfangreich sein. Kosten und Zeit sind die Kernfaktoren. Ein wichtiges Kriterium ist daher der Sicherheitsgewinn im Verhältnis zum Aufwand. Denkbar sind auch IT-Kurzrevisionen, die stichprobenartig die Basissicherheit überprüfen. Ist erst einmal festgelegt, was genau geprüft wird, sollte der Umfang der Prüfung definiert werden. Dazu sind auch die Prüftiefe, der Prüfort, der Prüfzeitraum und die Prüfbedingungen wichtig.

Prüftiefe der Penetrationstests – nach BSI

Ein technisches Sicherheitsaudit prüft nur oberflächlich auf mögliche Schwachstellen. Entscheidet man sich bei einem Penetrationstest für einen nicht invasiven Schwachstellenscan, hat man schon eine tiefere Stufe als das Audit erreicht. Noch tiefer wird der Pentest bei einem invasiven Schwachstellenscan, bei dem die Lücken mit zusätzlichen Exploits geprüft werden.

Prüfort und -bedingungen der Penetrationstests

IT-Systeme können via Internet (externer Penetrationstest), über eine Fernwartung oder vor Ort (interner Penetrationstest) getestet werden. Außer bei reinen Webanwendungen, die stets über das Internet getestet werden, empfiehlt es sich, auch einen internen IT-Penetrationstest vor Ort durchzuführen.

Die Prüfbedingungen sind genau zu planen. Ein Arbeitsplatz für den Prüfer gehört auch dazu. Verwendet er einen persönlichen Laptop, müssen nötige Freigaben erfolgen und beispielsweise Prüfgeräte und -software für das Netzwerk zugelassen werden.

Prüfzeitraum des Penetrationstests – nach BSI

Wichtig ist, einen Zeitraum zu bestimmen, wann die Prüfung stattfindet (während des regulären Betriebs oder außerhalb der Arbeitszeiten). Im letzten Fall könnte allerdings der notwendige Datenverkehr für den internen IT-Penetrationstest fehlen.

Die Festlegung des Prüfzeitraums hilft schließlich bei der Planung und Vorbereitung des IT-Penetrationstests. Hierzu gehört auch genügend Zeit, in der sich der Prüfer mit der jeweiligen Technik vertraut machen und den abschließenden Bericht erstellen kann.

So läuft ein IT-Penetrationstest ab

Ein IT-Penetrationstest unterteilt sich meist in verschiedene Phasen, deren Reihenfolge aber nicht eingehalten werden muss. Manche Phasen können wiederholt oder zeitgleich durchgeführt werden.

In der ersten Phase verschafft sich der Penetrationstester einen Überblick und hinterfragt Auffälligkeiten. Dazu gehören auch erste praktische Tests.

Die zweite Phase testet das System durch Scans oder durch andere Vorgehensweisen auf Schnittstellen, offene Ports, Aktualität der Patches und Software, rechtmäßige Authentisierung etc.

In der dritten Phase wird auf die Ergebnisse aus Phase 2 zurückgegriffen. Bekannte Schwachstellen werden getestet, Schwachstellenscanner kommen zum Zug und Exploits werden angewandt.

Falls gewünscht werden in der vierten Phase mit Hilfe von Exploits alle Schwachstellen ausgenutzt.

Das Abschlussgespräch findet in einem vorbestimmten Personenkreis statt. Kritisches wird zuerst besprochen, alle weiteren Schwachstellen werden im abschließenden Bericht zusammengestellt.

Der Abschlussbericht eines IT-Penetrationstests ist ein hochvertrauliches Dokument. Es listet alle Schwachstellen nach Wichtigkeit auf und unterbreitet Lösungsvorschläge.

Zusammenfassung von „Ein Praxis-Leitfaden für IS-Penetrationstests“ vom BSI

Der BSI Leitfaden für Penetrationstests ist geeignet, planenden Personen die wichtigsten Begriffe zu erläutern und einen guten Einblick in den Ablauf eines Penetrationstests zu geben. Auf 35 Seiten wird das Thema inhaltlich gut aufbereitet. Das Zielpublikum sind hauptsächlich Verantwortliche in Behörden, die einen Penetrationstest einsetzen wollen. Jedoch können auch andere Personen den einen oder anderen Aspekt in der Planung aufgreifen.

Derzeit wird der Leitfaden in der Version 1.2 herausgegeben.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen