Was sind Penetrationstests?

Penetrationstester sind Sicherheitsexperten, die sich mit der Kunst des ethischen Hackens auskennen. Dabei werden Hacking-Tools und -Techniken eingesetzt, um Sicherheitslücken zu schließen, anstatt Schaden anzurichten. Unternehmen beauftragen Pentester damit, simulierte Angriffe auf ihre Apps, ihre Netzwerke und auf andere Assets durchzuführen. Durch die Inszenierung falscher Angriffe helfen Pentester Sicherheitsteams dabei, kritische Sicherheitslücken aufzudecken und den allgemeinen Sicherheitsstatus zu verbessern.

Die Begriffe „ethisches Hacken“ und „Penetrationstest“ werden zwar manchmal synonym verwendet, doch es gibt einen Unterschied. Ethisches Hacken ist ein weiter gefasster Bereich der Cybersicherheit, der den Einsatz jeglicher Hacking-Kenntnisse zur Verbesserung der Netzwerksicherheit mit einschließt. Penetrationstests sind nur eine von vielen Methoden, die ethische Hacker anwenden. Ethische Hacker können auch Malware-Analysen, Risikobewertungen und andere Services anbieten.

Es gibt drei Hauptgründe, warum Unternehmen Pentests durchführen.

Pentests sind umfassender als reine Schwachstellenanalysen. Sowohl Penetrationstests als auch Schwachstellenanalysen helfen den Sicherheitsteams, Schwachstellen in Apps, Geräten und Netzwerken zu erkennen. Diese Methoden verfolgen jeweils geringfügig unterschiedliche Zwecke, sodass viele Unternehmen beide einsetzen, anstatt sich nur auf die eine oder die andere zu verlassen.

Bei Schwachstellenanalysen handelt es sich in der Regel um die wiederholte Durchführung automatisierter Scans, die ein System nach bekannten Schwachstellen durchsuchen und diese zur Überprüfung kennzeichnen. Sicherheitsteams verwenden Schwachstellenanalysen, um rasch nach allgemeinen Sicherheitslücken zu suchen.

Penetrationstests gehen noch einen Schritt weiter. Wenn Pentester Schwachstellen finden, nutzen sie diese in simulierten Angriffen aus, die das Verhalten von böswilligen Hackern imitieren. Auf diese Weise verschafft sich das Sicherheitsteam ein umfassendes Verständnis darüber, wie echte Hacker Schwachstellen ausnutzen könnten, um sich Zugriff auf sensible Daten zu verschaffen oder den Betrieb zu unterbrechen. Anstatt zu erraten, was Hacker möglicherweise tun könnten, kann sich das Sicherheitsteam dieses Wissen zunutze machen, um Netzwerksicherheitskontrollen für reale Cyberbedrohungen zu entwickeln.

Da Pentester sowohl automatisierte als auch manuelle Verfahren einsetzen, decken sie bekannte und nicht bekannte Schwachstellen auf. Und weil Pentester die von ihnen aufgespürten Schwachstellen aktiv ausnutzen, ist die Wahrscheinlichkeit, dass sie falsch-positive Ergebnisse liefern, geringer, denn wenn sie einen Mangel ausnutzen können, können das auch Cyberkriminelle. Da Penetrationstests in der Regel von externen Sicherheitsexperten als Service bereitgestellt werden, die sich den Systemen aus Perspektive eines Hackers nähern, decken Penetrationstests häufig Sicherheitslücken auf, die internen Sicherheitsteams gegebenenfalls entgehen.

Experten für Cybersicherheit empfehlen die Durchführung von Penetrationstests. Viele Experten für Cybersicherheit und Behörden empfehlen Penetrationstests als proaktive Sicherheitsmaßnahme. So forderte die U.S. Regierung im Jahr 2021 Unternehmen dringend auf, zur Abwehr zunehmender Ransomware-Angriffe Penetrationstests einzusetzen.

Die Durchführung von Penetrationstests unterstützt die Einhaltung gesetzlicher Vorschriften. Datensicherheitsvorschriften wie etwa der Health Insurance Portability and Accountability Act (HIPAA) und die Datenschutz-Grundverordnung (DSGVO) schreiben bestimmte Sicherheitsmaßnahmen vor. Penetrationstests können Unternehmen dabei helfen, die Einhaltung dieser Vorschriften nachzuweisen, indem sie sicherstellen, dass ihre Sicherheitsmaßnahmen wie vorgesehen funktionieren.

Andere Vorschriften schreiben Pentests ausdrücklich vor. Der Payment Card Industry Data Security Standard (PCI-DSS), der für Unternehmen gilt, die Kreditkarten verarbeiten, fordert ausdrücklich die regelmäßige „Durchführung externer und interner Penetrationstests“.

Penetrationstests können auch die Einhaltung freiwilliger Informationssicherheitsstandards wie ISO/IEC 27001 unterstützen.

Bei allen Penetrationstests handelt es sich um einen simulierten Angriff auf die Computersysteme eines Unternehmens. Verschiedene Arten von Penetrationstests zielen jedoch auf unterschiedliche Arten von Unternehmensressourcen ab.

Penetrationstests für Anwendungen suchen in Anwendungen und zugehörigen Systemen, einschließlich Webanwendungen und Websites, mobilen und IoT-Anwendungen, Cloud-Apps und Anwendungsprogrammierschnittstellen (APIs), nach Schwachstellen.

Pentester beginnen häufig mit der Suche nach Sicherheitslücken, die in den Top 10 des Open Anwendung Security Project (OWASP) aufgeführt sind. Bei den OWASP Top 10 handelt es sich um eine Liste der kritischsten Sicherheitslücken in Webanwendungen. Die Liste wird regelmäßig aktualisiert, um die sich verändernde Cybersicherheitslandschaft widerzuspiegeln, aber zu den häufigsten Schwachstellen gehören Injektionen mit bösartigem Code, Fehlkonfigurationen und Authentifizierungsfehler. Über die OWASP Top 10 hinaus suchen Penetrationstests für Anwendungen auch nach weniger verbreiteten Sicherheitslücken und Schwachstellen, die für die jeweilige Anwendung spezifisch sein können.

Penetrationstests für Netzwerke greifen das gesamte Computernetzwerk eines Unternehmens an. Es gibt zwei Hauptarten von Penetrationstests für Netzwerke: externe Tests und interne Tests.

Bei externen Tests ahmen Pentester das Verhalten externer Hacker nach, um Sicherheitsprobleme in Assets mit Internetverbindung wie Servern, Routern, Websites und Computern von Mitarbeitern aufzuspüren. Sie werden als „externe Tests“ bezeichnet, weil die Pentester versuchen, sich von außen Zugriff auf das Netzwerk zu verschaffen.

Bei internen Tests imitieren Pentester das Verhalten von böswilligen Insidern oder Hackern mit gestohlenen Berechtigungsnachweisen. Ziel ist es, Schwachstellen aufzudecken, die eine Person von innerhalb des Netzwerks ausnutzen könnte – beispielsweise durch den Missbrauch von Zugriffsrechten, um sensible Daten zu stehlen.

Diese Sicherheitstests suchen nach Schwachstellen in Geräten, die mit dem Netzwerk verbunden sind, z. B. Laptops, mobile und IoT-Geräte sowie Betriebstechnologie (Operational Technology, OT).

Pentester suchen möglicherweise nach Softwarefehlern, z. B. nach einer Schwachstelle im Betriebssystem, über die Hacker die Möglichkeit erhalten, sich per Remote-Zugriff Zugang zu einem Endgerät zu verschaffen. Sie können auch nach physischen Schwachstellen suchen, z. B. nach einem unzureichend abgesicherten Rechenzentrum, in das Akteure mit böswilligen Absichten eindringen könnten. Das Testteam untersucht gegebenenfalls auch, wie Hacker von einem manipulierten Gerät in andere Bereiche des Netzes vordringen könnten.

Pentests für Beschäftigte überprüfen, wie es um die Cybersicherheitshygiene der Belegschaft bestellt ist und suchen in diesem Bereich nach Schwachstellen. Oder anders ausgedrückt: Diese Sicherheitstests untersuchen, wie anfällig ein Unternehmen gegenüber Angriffen durch Social Engineering ist.

Pentester, die bei ihren Testaktivitäten die Belegschaft ins Visier nehmen, verwenden Taktiken wie Phishing, Vishing (Voice-Phishing) und Smishing (SMS-Phishing), um Mitarbeiter zur Preisgabe vertraulicher Informationen zu verleiten. Pentests für die Belegschaft können auch die Analyse der physischen Sicherheit von Räumlichkeiten einbeziehen. So zum Beispiel könnten Pentester versuchen, sich als Lieferanten getarnt in ein Gebäude einzuschleichen. Diese als „Tailgating“ bezeichnete Methode wird häufig von Kriminellen in der realen Welt eingesetzt.

Bevor ein Pentest beginnt, legen das Testteam und das Unternehmen gemeinsam den Testumfang fest. Der Umfang gibt an, welche Systeme getestet werden, zu welchem Zeitpunkt die Tests stattfinden und welche Methoden die Pentester anwenden können. Der Umfang bestimmt ebenfalls, wie viele Informationen den Pentestern im Vorfeld zur Verfügung stehen:

• Bei einem Black-Box-Test haben Pentester keinerlei Informationen über das Zielsystem. Sie müssen sich auf ihre eigenen Nachforschungen verlassen, um einen Angriffsplan zu entwickeln, wie es ein echter Hacker tun würde.

• Bei einem White-Box-Test ist das Zielsystem für die Pentester komplett transparent. Das Unternehmen legt Details wie Netzwerkdiagramme, Quellcode, Anmeldedaten und vieles mehr offen.

• Bei einem Gray-Box-Test erhalten Pentester einige Informationen, aber nicht viele. Beispielsweise kann das Unternehmen IP-Bereiche für Netzwerkgeräte freigeben, aber die Pentester müssen diese IP-Bereiche selbst auf Schwachstellen untersuchen.

Nachdem der Umfang festgelegt wurde, beginnt die Prüfung. Pentester können verschiedene Methoden für das Pentesting anwenden. Zu den gängigsten Verfahren gehören die Richtlinien für Anwendungssicherheitstests von OWASP, der Penetrationsprüfung Execution Standard (PTES) und die Leitlinie SP 800-115 des National Institute of Standards and Technology (NIST).

Unabhängig davon, welche Methodik ein Testteam letztendlich verwendet, folgt der Prozess in der Regel denselben allgemeinen Schritten.

Das Testteam sammelt Informationen über das Zielsystem. Pentester verwenden je nach Ziel unterschiedliche Methoden für die Informationsbeschaffung. Handelt es sich bei dem Ziel beispielsweise um eine App, könnten Pentester den Quellcode dieser Anwendung eingehend untersuchen. Handelt es sich bei dem Ziel hingegen um ein gesamtes Netzwerk, verwenden Pentester gegebenenfalls eine Analysefunktion für Pakete, um die Bewegungen des Datenverkehrs im Netzwerk zu untersuchen.

Pentester greifen häufig auch auf Informationen aus öffentlich zugänglichen Quellen zurück – auf so genannte Open Source Intelligence (OSINT). Durch das Lesen von öffentlich zugänglicher Dokumentation, Nachrichtenartikeln und sogar Beiträgen in Social-Media- und GitHub-Konten von Mitarbeitern können Pentester wertvolle Informationen über ihre Ziele zusammentragen.

Die Pentester nutzen das in der Phase der Informationsbeschaffung gewonnene Wissen, um Schwachstellen im System zu identifizieren, die ausgenutzt werden können. Pentester könnten beispielsweise einen Port-Scanner wie Nmap verwenden, um nach offenen Ports zu suchen, an die sie dann Malware senden können. Für einen Social-Engineering-Penetrationstest könnte das Testteam eine gefälschte Story oder einen „Vorwand“ erfinden, die bzw. den es dann in einer Phishing-E-Mail anwendet, um die Zugangsdaten von Mitarbeitern zu stehlen.

Im Rahmen dieses Schritts prüfen die Pentester gegebenenfalls, wie Sicherheitsfunktionen reagieren, wenn man versucht, in das System einzudringen. Sie könnten zum Beispiel Datenverkehr mit hohem Risikopotenzial an die Firewall des Unternehmens senden, um zu sehen, was passiert. Pentester nutzen die gewonnenen Erkenntnisse, um im weiteren Verlauf des Tests nicht entdeckt zu werden.

Das Testteam beginnt mit dem eigentlichen Angriff. Je nach Zielsystem, den gefundenen Schwachstellen und dem Umfang des Tests können die Pentester eine Vielzahl von Angriffen ausprobieren. Hier sind einige der am häufigsten getesteten Angriffe:

• – SQL-Injektionen: Pen-Tester geben bösartigen Code in Eingabefelder ein, um eine Webseite oder App zur Preisgabe sensibler Daten zu bringen.
  
  

• Cross-Site-Scripting: Pen-Tester versuchen, schädlichen Code in die Website eines Unternehmens einzuschleusen.
  
  

• – Denial-of-Service-Angriffe: Pen-Tester versuchen, Server, Apps und andere Netzwerkressourcen durch Überflutung mit Datenverkehr offline zu nehmen.
  
  

• Social Engineering: Pentester verwenden Phishing, Köder, Vortäuschung von Tatsachen oder andere Taktiken, um Mitarbeiter zur Gefährdung der Netzwerksicherheit zu verleiten.
  
  

• Brute-Force-Angriffe: Pentester versuchen, sich Zugang zu einem System zu verschaffen, indem sie Skripte ausführen, die so lange potenzielle Kennwörter generieren und testen, bis eines funktioniert.
  
  

• Man-in-the-Middle-Angriffe: Pentester fangen den Datenverkehr zwischen zwei Geräten oder Benutzern ab, um sensible Informationen zu stehlen oder Malware einzuschleusen.

Sobald Pentester eine Schwachstelle ausgenutzt haben, um im System Fuß zu fassen, versuchen sie, das System weiter zu erkunden oder ihren Zugriff auszuweiten. Diese Phase wird manchmal als „Schwachstellenverkettung“ bezeichnet, weil sich die Pentester von einer Schwachstelle zur nächsten begeben, um immer tiefer in das Netzwerk vorzudringen. Sie könnten zum Beispiel zunächst unbemerkt einen Keylogger auf dem Computer eines Mitarbeiters installieren. Mit diesem Keylogger können sie sich Zugriff auf die Anmeldedaten des Mitarbeiters verschaffen. Mithilfe dieser aufgezeichneten Anmeldedaten können sie dann auf eine Datenbank mit sensiblen Inhalten zugreifen.

In dieser Phase besteht das Ziel des Pentesters darin, den erlangten Zugriff weiter aufrechtzuerhalten und seine Berechtigungen auszuweiten, dabei aber die Sicherheitsmaßnahmen zu umgehen. Pentester unternehmen all diese Schritte, um sogenannte Advanced Persistent Threats (APTs) – hochentwickelte, langlebige Bedrohungen – nachzuahmen, die über Wochen, Monate oder gar Jahre in einem System im Verborgenen lauern können, bevor sie entdeckt werden.

Am Ende des simulierten Angriffs beseitigen die Pentester alle Spuren, die sie gegebenenfalls hinterlassen haben, wie beispielsweise Backdoor-Trojaner, die von ihnen eingeschleust wurden, oder Konfigurationen, an denen sie Änderungen vorgenommen haben. Auf diese Weise können echte Hacker nicht die Exploits von Pentestern nutzen, um selbst in das Netzwerk einzudringen.

Anschließend erstellen die Pentester einen Bericht über den durchgeführten Angriff. In diesem Bericht werden in der Regel die gefundenen Schwachstellen, die verwendeten Exploits, die Art und Weise, wie die Sicherheitsfunktionen umgangen wurden, sowie ihre Aktionen innerhalb des Systems beschrieben. Der Bericht kann auch spezifische Empfehlungen zur Beseitigung bzw. Korrektur der Schwachstellen enthalten. Das unternehmensinterne Sicherheitsteam kann diese Informationen nutzen, um die Abwehrmaßnahmen gegen reale Angriffe zu verschärfen.

Pentester verwenden eine Reihe von Tools, um Informationen zu beschaffen, Schwachstellen aufzuspüren und wichtige Teile im Prozess eines Penetrationstests zu automatisieren. Zu den gängigsten Tools gehören unter anderem:

Spezialisierte Betriebssysteme: Die meisten Pentester verwenden Betriebssysteme, die für Penetrationstests und ethisches Hacken entwickelt wurden. Am beliebtesten ist Kali Linux, eine Open-Source-Linux-Distribution, in der Tools für Penetrationstests wie Nmap, Wireshark und Metasploit vorinstalliert sind.

Tools zum Knacken von Zugangsdaten: Diese Programme können Kennwörter identifizieren, indem sie Verschlüsselungen knacken oder Brute-Force-Angriffe starten. Dabei werden Bots oder Skripte eingesetzt, um automatisch potenzielle Kennwörter zu generieren und zu testen, bis eines funktioniert. Beispiele hierfür sind Medusa, Hyrda, Hashcat und John the Ripper.

Port-Scanner: Mit Port-Scannern können Pentester Geräte über Remote-Zugriff auf offene und verfügbare Ports testen, die sie verwenden können, um in ein Netz einzudringen. Nmap ist der am häufigsten verwendete Port-Scanner, aber auch Masscan und ZMap sind weit verbreitet.

Schwachstellen-Scanner: Tools zum Durchsuchen auf Schwachstellen durchkämmen Systeme auf der Suche nach bekannten Schwachstellen und ermöglichen Pentestern, potenzielle Zugangswege zu einem Ziel zügig ausfindig zu machen. Beispiele für solche Scanner sind Nessus, Core Impact und Netsparker.

Scanner für Schwachstellen im Web bilden eine Untergruppe der Schwachstellen-Scanner und dienen der Schwachstellenanalyse von Webanwendungen und Websites. Beispiele hierfür sind Burp Suite und Zed Attack Proxy (ZAP) von OWASP.

Analysefunktionen für Pakete: Analysefunktionen für Pakete, die auch als „Packet Sniffer“ bezeichnet werden, ermöglichen Pentestern, den Netzverkehr zu analysieren, indem sie Pakete erfassen und untersuchen. Pentester können herausfinden, woher der Datenverkehr stammt, wohin er führt und – in einigen Fällen – auch, welche Daten er enthält. Wireshark und tcpdump gehören zu den gängigsten Analysefunktionen für Pakete.

Metasploit: Metasploit ist ein Framework für Penetrationstests mit einer Vielzahl von Funktionen. Am wichtigsten ist jedoch, dass Pentester mit Metasploit in die Lage versetzt werden, Cyberangriffe zu automatisieren. Metasploit verfügt über eine integrierte Bibliothek mit vorab geschriebenen Exploit-Codes und Nutzlasten. Pentester können einen Exploit auswählen, ihm eine Nutzlast zuweisen, die er an das Zielsystem schickt, und Metasploit den Rest überlassen.