Penetrationstests & Vulnerability Assessments, Schwachstellenanalysen & IT-Risiko Management
Angreifer bedienen sich bereits bekannter Sicherheitslücken, um in Systeme und Netze einzudringen und dann ihre Position weiter auszubauen.
Dies kann schon im Vorfeld unterbunden werden, wenn man sich - neben dem Ergreifen geeigneter Abwehrmaßnahmen und einem hinreichenden Security Design - selbst ein Bild der vorhandenen exponierten Systeme und ihrer Gefährdung macht. Dazu werden die Systeme mit speziellen Scannern und manuellen und hybriden Angriffsmethoden im Rahmen eines Penetrationstests untersucht. Die Tests erfolgen dabei zum Großteil in Bezug auf die Anfälligkeit auf bekannte Sicherheitslücken und in der Erweiterung auf unbekannte oder systematische Sicherheitslücken. Diese werden in einem Report mit Hinweisen auf den Schweregrad und Lösungsansätzen für ihre Behebung dokumentiert.
Führt man diese Untersuchungen in regelmäßigen Abständen durch, so steht damit ein bewährtes Mittel zur Verfügung, um Gefährdungen frühzeitig zu erkennen und Maßnahmen daraus abzuleiten.
Umfang eines Penetrationstests
Unter einem Penetrationstest und einer sich auf diesen Begriff beziehenden Schwachstellenanalyse versteht man im technischen Sinne:
Einen kontrollierten Einbruchsversuch in Computersysteme und Netzwerke
- zum Teil zur Simulation eines Angriffs durch Hacker, Cracker, Cyberkriminelle, Insider etc.
- durch Einsatz von ähnlichen oder gleichen Techniken und entsprechenden Vorgehensweisen
- zur Erkennung und als Analysebasis von Schwachstellen
- zur präventiven Erkennung von Schwachstellen, bevor diese von Dritten ausgenutzt werden können
- mit einer strukturierten Vorgehensweise
- im Ergebnis als stichprobenartige Momentaufnahme
- in der Tendenz als empirische Überprüfung der Wirksamkeit oder des Status von IT-Sicherheit
Ziele und Nutzen eines Penetrationstests
Penetrationstests werden im Regelfall regelmäßig im Rahmen eines Informations-Sicherheits-Management-Prozesses (ISMS –Informations-Sicherheits-Management-System) durchgeführt. Das ISMS ist Teil des Unternehmens-Risiko.Managements und dient letztlich als Steuerungsinstrument für das IT-Risiko Management einer Organisation (IT-Risikomanagement => Informationssicherheit; technische Umsetzung und Maßnahmen => IT-Sicherheit). Die Penetrationstests bedienen dabei keinen Selbstzweck in der IT-Security, sondern sind in der Regel Teil eines umfassenden Sicherheitsaudits bzw. von Sicherheitsanalysen. Die Ergebnisse (Reports) dienen der unmittelbaren Verbesserung der IT-Sicherheit durch nachfolgende Maßnahmen, aber insbesondere auch der Steuerung von Risikomanagementmaßnahmen und in der Folge von Investitionen in IT-Sicherheit an verantwortlicher Stelle im Unternehmen.
Die Penetrationstests und deren Reports sind eine empirische Statusüberprüfung der IT-Sicherheit. Im Rahmen vorstehender Ausführung liefern sie einen “Messwert” zur IT-Sicherheit, welcher ggf. gegen entsprechende Anforderungen und Regeln geprüft werden kann. Ein Penetrationstest bedient dabei ein oder mehrere “Controls”, welche gegen die “Control Objectives” (Kontrollziele) geprüft werden können. Letztlich soll eine Aussage über die Eignung und Wirksamkeit von getroffenen Sicherheitsmaßnahmen in einer Momentaufnahme getroffen werden.
Die Ziele, welche mit der Durchführung von Penetrationstests verfolgt werden, lassen sich somit wie folgt zusammenfassen:
- die Erhöhung der Sicherheit auf organisatorischer Ebene
- die Erhöhung der Sicherheit auf technischer Ebene
- das Aufdecken von (technischen) Schwachstellen
- die Untersuchung der IT-Sicherheit und Bestätigung durch einen oder mehrere externe Dritte
Leistungen der LSE
Die LSE steht für hochqualifizierte, durch umfassendes Security- und Softwareentwicklungs-Know-how gestütze Leistungen im Umfeld der Sicherheits- und Schwachstellenanalysen, Vulnerability Assessments, Code Audits sowie Penetrationstests. Dabei bietet die LSE die Penetrationstests im Bereich Webapplikationen, Softwareapplikationen, Betriebssysteme, Netzwerke und VoIP (Voice over IP) an. Die LSE hat langjährige Erfahrungen in Penetrationstests in verschiedenen Kundenumfeldern, wie Groß- oder Landesbanken, Onlinebanken, Industrie, Öffentlicher Dienst, Forschung, Industrie usw.
Der besondere Mehrwert der LSE besteht neben dem Einsatz von verschiedenen Scannern insbesondere darin, grundsätzlich manuelle Verifikationen sowie hybride und manuelle Angriffe durchzuführen. So werden durch die manuelle Verifikation von aufgezeigten Sicherheitslücken sogenannte False Positives minimiert und unnötige, kostenintensive Maßnahmen vermieden. Durch das Softwareentwicklungs-Know-how der LSE sind große Testtiefen erreichbar. Ein ausführlicher Bericht mit Executive Summary und detailliertem technischen Teil verarbeitet dabei die Ergebnisse und bereitet diese durch entsprechende Einstufung auf, welche das Bedrohungspotential aufzeigen.
