Sicherheitslücken in IT-Systemen erkennen So funktionieren Pentests

Anbieter zum Thema

secunet Security Networks AG

ALE Deutschland GmbH

Aagon GmbH

2022 waren 72 Prozent der DACH-Unternehmen von Ransomware-Angriffen betroffen – das zeigt die aktuelle IDC-Studie „Cybersecurity in DACH 2022“ im Auftrag von Secunet. Eine Möglichkeit, Sicherheitslücken aufzudecken, sind Penetrationstests, kurz Pentests genannt.

Ob Phishingmail, Malware oder Verschlüsselungen: Die Methoden von Angreifern sind vielfältig. Dabei steigt nicht nur die Anzahl, sondern auch die Raffinesse von Cyberattacken. Immer komplexer werdende IT-Landschaften stellen Unternehmen und ihre entsprechenden Fachabteilungen vor zahlreiche Herausforderungen.

Der Blick in die Praxis zeigt: Administratoren fehlen oftmals Zeit und Geld, um das Kernproblem der IT-Sicherheit zu lösen: Die Verteidiger müssen alle Sicherheitslücken schließen. Einem Angreifer reicht häufig eine einzelne nicht behobene Lücke. Und die kann dann weitreichende Auswirkungen haben. Pentest können hier Abhilfe schaffen.

Gefühlte vs. tatsächliche Sicherheit

Im Rahmen eines Pentests werden verwundbare Stellen im Netzwerk bewusst gesucht. Auf diese Weise kann zuverlässig festgestellt werden, wie viele Schwachstellen vorliegen – und wie schnell auf eventuelle Sicherheitslücken reagiert werden sollte. Das Bewusstsein um den Wert eines solchen Tests unterscheidet sich je nach Unternehmen. In vielen Fällen deckt sich die gefühlte Sicherheitslage nicht mit der tatsächlichen Situation. Pentester sind Experten darin, genau hinzusehen und Schwachstellen zu finden, die auf den ersten Blick verborgen bleiben. Oft sind es genau die Dinge, die die Auftraggeber vorher selbstbewusst als unproblematisch bezeichnet haben, die einer kritischen Prüfung nicht standhalten. Ein ausgiebiger Pentest kann zudem dazu dienen, im Management Aufmerksamkeit für das Thema IT-Sicherheit zu schaffen und den Status quo zuverlässig darzustellen. Dies ist der notwendige erste Schritt, um Risiken zu reduzieren.

Der Faktor Mensch

Das Internet bleibt einer der größten Risikofaktoren für IT-Systeme. Malware und andere Schadprogramme konnten bereits aufgrund unzureichend sicherer Firewalls ihren Weg in die Systeme finden. Mit zunehmendem Verständnis dieser Bedrohung mussten Angreifer jedoch umdenken und sich neue Ideen einfallen lassen. So sind heutzutage Phishingmails, die den Benutzer dazu bringen, Fehler zu machen, ein deutlich attraktiverer Angriffsweg. Ebenso wie der Einsatz von Hardware, beispielsweise bewusst platzierte USB-Sticks, die Viren direkt ins System übertragen.

Diese Angriffsmethoden nutzen die Schwachstelle Mensch aus – ein großer Unsicherheitsfaktor, denn dieser verfügt in den meisten Fällen über weitreichende Berechtigungen, die die meisten internen Dokumente und Ressourcen zugänglich machen. Oftmals fehlt auch das Wissen um gängige Sicherheitspraktiken. So kann es vorkommen, dass ein herumliegender USB-Stick benutzt oder Laptops unversperrt offengelassen werden. Auf diese Weise werden verwundbare Stellen im System zugänglich – darunter auch fehlende Patches, schwache Passwörter, vernetzte, weniger gehärtete Maschinen oder Sicherheitslücken in der IT- und der OT-Supply-Chain.

Worauf es beim Pentest ankommt

Bei Secunet geht jedem Pentest das sogenannte Scoping voraus, bei dem eine Absprache darüber getroffen wird, welche Systeme untersucht werden sollen. Dabei wird ein offenes Gespräch mit den Unternehmensverantwortlichen geführt, bei dem potenzielle Problemstellen erfragt und so oftmals bereits existente Probleme klar werden. Prüfen können die Pentester dabei im weitesten Sinne alles, was Strom braucht, um zu funktionieren. Dabei ist es nicht wichtig, ob es die IT oder die OT betrifft: Von der klassischen Büro-IT über Webadressen und mobile Apps bis hin zum Social Engineering, bei dem auch die Rolle des Menschen untersucht wird. Auch Zusatzfunktionen von Programmen oder Websites, die den Arbeitsalltag erleichtern sollen, können leicht zu einem Sicherheitsrisiko werden. Gerade bei der zunehmenden Vernetzung zwischen IT- und OT-Systemen spielen Analysen in der Operational IT eine immer wichtigere Rolle. OT-Systeme sind häufig nicht oder nur in sehr aufwendigen Prozessen patchbar, was diese Geräte besonders anfällig gegenüber Angreifern macht.

Von der Momentaufnahme zur Lösung

Im Zweifelsfall gilt in der IT-Sicherheit das Motto: „Was muss, das darf – was nicht muss, das darf auch nicht.“ Denn ein Pentest ist immer nur eine Momentaufnahme. Die Systemadministratoren sollten deshalb in die Schwachstellenanalyse einbezogen werden. Auch bei knappem Budget lassen sich so offene Sicherheitslücken und Risiken klar aufzeigen. Doch eine Diagnose ist noch keine Lösung: Systeme bedürfen regelmäßiger Wartung und Schwachstellen sollten gewissenhaft und nachhaltig beseitigt werden. Pentests legen den Grundstein für eine zuverlässige IT-Sicherheit.

Über die Autoren

Jannik Pewny und Dirk Reimers arbeiten beide bei Secunet Security Networks.

Dieser Beitrag stammt von unserem Schwesterportal Industry of Things.

(ID:49623773)