Phase 2: Passiver Penetrationstest
In der Phase des passiven Penetrationstests werden alle bereits im Vorfeld erreichbaren Informationen über die zu testenden Strukturen gesammelt. Außerdem wird der organisatorische Ablauf des Pentests in einem groben Rahmen definiert.
Umfangreiche Penetrationstests in großen Organisationen können sich durchaus über mehrere Wochen hinziehen. Daher muss bereits an dieser Stelle entschieden werden, welche Systeme wann getestet werden, inwieweit das Unternehmen für die Dauer der Tests Ersatzsysteme braucht und welche Tests überhaupt zwingend im laufenden Betrieb stattfinden sollten.
Ein Unternehmen mit Saisongeschäft wird seine Pentests vielleicht in Zeiten mit geringem Geschäftsaufkommen legen. Oder es möchte einen Pentest bewusst unter höchster Last fahren. Denn dann ist auch das Risiko größer, dass Mitarbeitende und Unternehmens-IT Sicherheitsprozeduren ausfallen lassen oder Updates verschieben und so temporäre Sicherheitslücken entstehen. Auch Angriffe, die die Überlastung von Systemen ausnutzen, sind dann aussagekräftiger. Um derartige Risiken aufzuspüren, wird das Unternehmen seine Testung also möglicherweise gezielt in die passende Saison legen.
Phase 3: Feinplanung und Risikoanalyse
Die Sicherheitsexpert:innen des Pentest-Dienstleisters bewerten die in Phase 2 gesammelten Informationen und erstellen auf dieser Grundlage eine Risikoanalyse. Mit Blick auf die in Phase 1 definierten Zielvorgaben planen sie im Detail ein möglichst wirtschaftliches und effizientes Vorgehen für die einzelnen Tests.
Sollen die Expert:innen vor allem Risiken identifizieren, die den Geschäftsbetrieb oder Unternehmenswerte gefährden? Dann können sie nachrangige Systeme, die in keiner Verbindung zu vitalen Strukturen stehen, in dieser Phase von den Tests ausschließen.
Ein solches unwichtiges System im Sinne der Pentests wäre beispielsweise im Einzelhandel ein Point-of-Sale-Informationsterminal, das keinen Internetzugang hat, keine Kundendaten oder andere sensible Informationen speichert und auch nicht mit weiteren Systemen des Unternehmens verbunden ist.
Phase 4: Praktische Eindringversuche
In dieser Phase erfolgen die eigentlichen Eindringversuche in die zuvor ausgewählten Systeme. Die Tests laufen mehrstufig ab. Für jeden Test werden andere Herangehensweisen gewählt. Zum Schutz laufender Produktionssysteme kann es geboten sein, während der Tests erkannte Lücken beispielsweise durch entsprechende Updates und Patches schließt. Systemsicherheit geht hierbei vor Testerfolg.
Mit einmaligem Zugriff per Hackingattacke erste Schwachstellen erkennen
Hacker:innen verfügen über einen reichhaltigen Software-Werkzeugkasten für das Eindringen in fremde Netze. Den selben Baukasten kennen und nutzen auch Sicherheitsexpert:innen, um Hackingattacken nachzustellen:
Mit Denial-of-Service-Attacken (DoS) überlasten die Expert:innen die Unternehmenswebseite mit einer Vielzahl von Aufrufen in ganz kurzer Zeit so stark, dass die Seite nicht mehr erreichbar ist. Ähnliche Attacken fahren sie auch gegen das interne Netzwerk oder einzelne Hardware-Komponenten. Das kann etwa der VPN-Tunnel sein, über den sich Mitarbeitende von unterwegs einzuwählen. Bei diesen Tests geht es nicht darum, Daten mit Hackingmethoden auszuspionieren. Ziel ist es vielmehr, die Robustheit des Unternehmensnetzes zu testen.
Im Rahmen sogenannter Code-Reviews testen die Expert:innen alle im Unternehmen verwendeten Programme unter Sicherheitsgesichtspunkten. Ein Beispiel: Anwendungen, Web-Oberflächen oder Makros, die intern genutzt werden, sollten beispielsweise keine Passwörter oder Personendaten im Klartext übertragen. Denn die Gefahr ist groß, dass dieselben Anmeldedaten, die für ein internes Schulungs-Tool oder ein internes Fußball-Tippspiel verwendet werden, von denselben Mitarbeitenden auch für ihren Zugang zum Mailkonto oder zur Firmen-Cloud genutzt werden. Schon hätten Hacker:innen damit Zugriff auf das Firmen-Netz. Aber auch Daten von Kund:innen dürfen in Deutschland nicht unverschlüsselt weiterverarbeitet und gespeichert werden, weil dies gegen die DSGVO verstößt.
Mit Sniffer-Programmen („Netzwerk-Schnüfflern”) lesen manche Kriminelle die Kommunikation im Firmennetz mit. Die Sicherheitsexpert:innen stellen auch dieses Szenario nach, sofern das zu testende Unternehmen solche aggressiven Tests genehmigt hat.
Per Portscanning analysieren die Expert:innen genau wie reale Hacker:innen die einzelnen Datenkanäle (Ports) der Kommunikation über das Internet-Protokoll (TCP/IP) näher, um Informationen über die verwendete Software zu sammeln und möglicherweise ungeschützte Ports für direkte Angriffe zu finden.
Mittels Session Hijacking, IP-Spoofing und Man-in-the-Middle-Angriffen kapern echte Kriminelle bestehende Internetverbindungen oder täuschen Mitarbeitende des Unternehmens darüber, mit wem sie im Internet kommunizieren. Expert:innen simulieren auch diese Attacken und probieren aus, ob sie damit Erfolg haben. Hacker:innen infiltireren über das Internet gezielt Webanwendungen und Datenbanken des Unternehmens mit Schadcode, um unerlaubt Zugriff auf diese Systeme zu erlangen. Beispiele hierfür sind Format-String- und Buffer-Overflow-Attacken oder SQL-Injections. Mittels Software simulieren die Pentest-Expert:innen auch diese Angriffe und finden so Lücken.
Getestet werden nicht nur die IT-Strukturen des Unternehmens selbst, sondern auch die Produkte des Unternehmens, soweit diese digitale Inhalte oder beispielsweise eingebettete Steuerungen haben. Für solche Tests können auch Digital Twins dieser Produkte genutzt werden.
Im ersten Schritt spüren die Sicherheitsexpert:innen mit diesen Werkzeugen aus der Praxis echter Hacker:innen nur die Einfallstore für Attacken auf. Erst In einem zweiten Schritt schleusen sie zu Testzwecken entsprechende Malware (Spyware, Ransomware) ein. Oft wird dieser zweite Schritt aber ausgelassen, weil die Sicherheitslücke im ersten Schritt bereits hinreichend erwiesen ist und durch die Pentests keine Einfallstore für echte Hacker:innen geschaffen werden sollen.
Ein verbreitetes Werkzeug von Hacker:innen sind sogenannte Exploits. Das sind im Internet oder Darknet verfügbare Codes, die Schwächen verbreiteter Programme wie Webbrowser oder Büro-Software ausnutzen. Auch hier klären die Expert:innen vorher ab, ob solche Exploits tatsächlich zu Testzwecken installiert werden sollen. Denn viele dieser Exploits sind noch gar nicht vollständig erforscht und könnten beispielsweise unbekannten Schadcode enthalten.
Das BSI warnt in seinem Pentest-Leitfaden: „Ist der Exploit unsicher programmiert, so kann er Schaden an der IT-Anwendung anrichten. Im einfachsten Fall kann ein Absturz die Folge sein, es können aber auch Speicherbereiche überschrieben werden, die für das Funktionieren der IT-Anwendung oder des gesamten IT-Systems erforderlich sind und damit die IT-Anwendung oder das gesamte IT-System unbrauchbar machen. Hier muss genau abgewogen werden, ob ein Exploit eingesetzt wird.“
Simulierte APTs für mehr Einblicke in Schwachstellen
Einige Hackingattacken benötigen nur wenige Sekunden für ihre Umsetzung: Dazu zählen der Diebstahl von Kryptowährung, das Leeren von Firmenkonten oder das Einspielen von Ransomware . Andere Hackingattacken dauern hingegen Monate oder Jahre. Dazu gehören:
Das Kapern von Unternehmens-Rechnern für Botnets Das Einspielen von Schläfer-Malware, die erst zu einem festgesetzten Datum oder auf eine Aktivierung von außen hin ihre schädliche Arbeit aufnimmt
Das dauerhafte Mitlesen des internen Mailverkehrs
Das permanente Abschöpfen von Management-, Finanz- oder Produkt- und Forschungsdaten eines Unternehmens
Solche langfristigen Attacken werden auch als „Advanced Persistent Threats” (kurz: APT)) bezeichnet, was mit „fortgeschrittene, andauernde Bedrohung” übersetzt werden kann.
Integraler Bestandteil von Pentests ist die Suche nach solchen Bedrohungen, die möglicherweise schon lange in den Tiefen des Unternehmensnetzwerks schlummern. Gefährliche Schnüffel-Software kann sich beispielsweise in Freeware verstecken, die Mitarbeitende mit lokalen Administrationsrechten auf ihren Systemen installiert haben. Aber auch digitale Steuerungen sowie programmierbare Sensoren und Aktoren, die mit dem Netzwerk direkt oder indirekt verbunden sind, werden auf Lücken und möglichen Schadcode gecheckt. Auch ausländische Nachrichtendienste, die für ihre heimische Industrie Wirtschaftsspionage betreiben oder gezielt deutsche Regierungsbehörden ausspionieren, können hinter solchen APT-Attacken stecken. Pentest-Dienstleister kennen die in der Fachliteratur und Veröffentlichungen von Sicherheitsbehörden dokumentierten Fälle von APT-Attacken und suchen daher gezielt nach Datenspuren solcher Angriffe.