Am Beginn des Pentesting steht die gemeinsame Testplanung. Das beauftragende Unternehmen bespricht mit dem Dienstleister die Ziele und die zur Zielerreichung angewendeten Strategien.
Die einzelnen Dienstleister unterscheiden sich im Aufbau ihrer Pentests. Als allgemeinen Planungsrahmen gibt es Teststandards wie den „Penetration Testing Execution Standard“ (PTES) oder den BSI-Leitfaden „IT-Sicherheits-Penetrationstest“. Das BSI untergliedert das Pentesting in fünf aufeinander aufbauende Phasen:
Phase 1: Spezifikation und Vorbereitung
Phase 2: Passiver Penetrationstest
Phase 3: Feinplanung und Risikoanalyse
Phase 4: Aktive Eindringversuche
Phase 5: Abschlussanalyse
Phase 1: Zielvereinbarung und Spezifikation
In Vorbereitungsgesprächen stimmen Kunde und Anbieter Ziele und Verfahren des Pentests ab. Welche Strukturen sollen getestet werden? Sind stichprobenartige Tests gewünscht oder soll Arbeitsplatz für Arbeitsplatz überprüft werden? Gibt es Produktionssysteme, die aus Sicherheitsgründen ausgenommen werden?
Weitere Fragen zur Vorbereitung: Welche gesetzlichen oder branchenspezifischen Vorgaben und Sicherheitsstandards gelten für das zu untersuchende Unternehmen? Solche branchenspezifischen Sicherheitsstandards werden beispielsweise definiert durch:
ISO/IEC 27001 und ISO/IEC 27019 unter anderem für Unternehmen der Energiewirtschaft
Payment Card Industry Data Security Standard (PCI DSS)
BSI TR-03161 für Anforderungen an Anwendungen im Gesundheitswesen und den Health Insurance Portability and Accountability Act (HIPAA)
Vorschriften zur IT-Security der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)
Auch das Aggressivitätslevel der Tests wird besprochen. Sollen die Tests hauptsächlich passiv ablaufen und lediglich vorhandene Lücken ausnutzen? Dürfen die Tester:innen gezielt Schadsoftware im Unternehmen installieren und Daten herunterladen, sofern sie Angriffspunkte finden? Soll aktiv ins Unternehmen eingedrungen werden? Dürfen die Tester:innen Spionage-Hardware wie Keylogger, Minikameras oder „Rogue Access Points” einsetzen?
Phase 2: Passiver Penetrationstest
In Phase 2 werden Informationen über die zu testenden Strukturen gesammelt. Außerdem wird der organisatorische Ablauf des Pentests definiert.
Ein Unternehmen mit Saisongeschäft wird seine Pentests vielleicht in Zeiten mit geringem Geschäftsaufkommen legen. Oder es möchte einen Pentest bewusst unter höchster Last fahren. Denn dann ist das Risiko größer, dass Mitarbeitende und Unternehmens-IT Sicherheitsprozeduren ausfallen lassen oder Updates verschieben und so zeitweilige Sicherheitslücken entstehen. Auch Angriffe, die die Überlastung von Systemen ausnutzen, sind dann aussagekräftiger.
Phase 3: Feinplanung und Risikoanalyse
Die Sicherheitsexpert:innen des Pentest-Dienstleisters bewerten die gesammelten Informationen und erstellen eine Risikoanalyse.
Sollen die Expert:innen vor allem Risiken identifizieren, die den Geschäftsbetrieb oder Unternehmenswerte gefährden? Dann können sie nachrangige Systeme, die in keiner Verbindung zu vitalen Strukturen stehen, in dieser Phase von den Tests ausschließen.
Phase 4: Aktive Eindringversuche
In dieser Phase erfolgen die eigentlichen Eindringversuche in die zuvor ausgewählten Systeme. Für jeden Test werden andere Herangehensweisen gewählt. Zum Schutz laufender Produktionssysteme kann es geboten sein, während der Tests erkannte Lücken beispielsweise durch entsprechende Updates und Patches schließt. Systemsicherheit geht hierbei vor Testerfolg.
Per Hackingattacke erste Schwachstellen erkennen
Hacker:innen haben einen Software-Werkzeugkasten, um in fremde Netze einzudringen. Den gleichen Baukasten nutzen auch Sicherheitsexpert:innen:
Mit Denial-of-Service-Attacken (DoS) überlasten die Expert:innen die Unternehmenswebseite mit einer Vielzahl von Aufrufen in ganz kurzer Zeit so stark, dass die Seite nicht mehr erreichbar ist. Ähnliche Attacken fahren sie auch gegen das interne Netzwerk oder einzelne Hardware-Komponenten.
Im Rahmen sogenannter Code-Reviews testen die Expert:innen alle im Unternehmen verwendeten Programme. Ein Beispiel: Anwendungen, Web-Oberflächen oder Makros, die intern genutzt werden, sollten keine Passwörter oder Personendaten im Klartext übertragen.
Mit Sniffer-Programmen („Netzwerk-Schnüfflern”) lesen die Sicherheitsexpert:innen unverschlüsselte Kommunikation im Unternehmensnetzwerk mit.
Per Portscanning analysieren die Expert:innen Datenkanäle (Ports) im Internet-Protokoll (TCP/IP).
Mittels Session Hijacking, IP-Spoofing und Man-in-the-Middle-Angriffen kapern sie probeweise Internetverbindungen oder täuschen Mitarbeitende des Unternehmens darüber, mit wem sie im Internet kommunizieren. Die Tester infiltrieren über das Internet gezielt Webanwendungen und Datenbanken des Unternehmens mit Schadcode, um Zugriff auf diese Systeme zu erlangen.
Getestet werden nicht nur die IT-Strukturen des Unternehmens selbst, sondern auch die Produkte des Unternehmens, soweit diese digitale Inhalte haben oder beispielsweise eingebettete Steuerungen vorhanden sind.
Im ersten Schritt spüren die Sicherheitsexpert:innen nur die Einfallstore für Attacken auf. In einem zweiten Schritt schleusen sie Malware (Spyware, Ransomware) ein. Oft wird dieser zweite Schritt ausgelassen, weil die Sicherheitslücke im ersten Schritt bereits hinreichend erwiesen ist – und die Pentests keine Einfallstore für echte Hacker:innen schaffen sollen.
Ein Werkzeug von Hacker:innen sind sogenannte Exploits. Das sind im Darknet verfügbare Codes, die Schwächen verbreiteter Programme wie Webbrowser oder Bürosoftware ausnutzen. Auch hier klären die Expert:innen vorher ab, ob solche Exploits tatsächlich zu Testzwecken installiert beziehungsweise verwendet werden sollen.
Simulierte APTs für mehr Einblicke in Schwachstellen
Einige Hackingattacken sind bereits in Sekunden ausgeführt: etwa Kryptowährung stehlen, Firmenkonten leeren oder Ransomware einspielen. Andere Hackingattacken dauern hingegen Monate oder Jahre:
Unternehmensrechner für Botnets kapern Schläfer-Malware einspielen, die erst zu einem festgesetzten Datum oder auf eine Aktivierung von außen hin aktiv wird
Den internen Mailverkehr mitlesen
Solche langfristigen Attacken werden als „Advanced Persistent Threats” (kurz: APTs)) bezeichnet, was mit „fortgeschrittene, andauernde Bedrohung” übersetzt werden kann. Bestandteil von Pentests ist die Suche nach solchen Bedrohungen, die möglicherweise schon lange in den Tiefen des Unternehmensnetzwerks schlummern. Ausländische Nachrichtendienste, die für ihre heimische Industrie Wirtschaftsspionage betreiben oder gezielt deutsche Regierungsbehörden ausspionieren, können ebenfalls hinter solchen APT-Attacken stecken.
Phase 5: Abschlussanalyse
Nach dem Ende aller Einzeltests erfolgt die Abschlussanalyse. Der Auftraggeber erhält einen Bericht, in dem der Pentest-Anbieter alle entdeckten Lücken aufführt. Auch Gefährdungen werden hier genannt.
Ein Pentest ist immer ein Test des ganzen Unternehmens, bestehend aus den dort tätigen Menschen und der genutzten Hard- und Software. Die Bereiche mit dem geringsten Sicherheitslevel bestimmen dabei die Verwundbarkeit des Gesamtsystems. Ein Pentest ist außerdem immer nur eine Momentaufnahme. Sie sollten ihn daher in regelmäßigen Abständen wiederholen.
