Penetrationstests für Datenschutz-Berater – Ein Einstieg

Compliance -Regeln erfordern regelmäßige Tests in einigen Branchen

Von unserem Gastautor Erik van Buggenhout, Instructor beim SANS Institute für SEC 560 & 542 und Security Consultant bei NVISO

[datensicherheit.de, 12.12.2016] Mit Penetration Testing oder auch Pen Testing ist das Eindringen in IT-Systeme zur Erkundung und Verzeichnung von Schwachstellen gemeint. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auf seiner Homepage einen Praxis-Leitfaden: IT-Sicherheits-Penetrationstest zusammengestellt und bietet diesen als PDF zum Download an. [1] Folgende Begriffsbestimmung wird hier gewählt: „Ein IT-Sicherheits-Penetrationstest ist ein erprobtes und geeignetes Vorgehen, um das Angriffspotenzial auf ein IT-Netz, ein einzelnes IT-System oder eine (Web-)Anwendung festzustellen.“ [2] Einige Branchen wie Banken und Versicherungen sind aus Compliance-Gründen dazu gezwungen regelmäßige Penetration Tests als Teilbereich eines IT-Sicherheitsaudits durchzuführen. Allerdings werden auch in anderen Branchen die IT-Systeme und Anwendungen von Unternehmen von Zeit zu Zeit auf Schwachstellen hin untersucht, um diese vor Angriffen zu schützen.

Üblicherweise werden die folgenden Punkte für einen Penetration Test betrachtet:

• Router, Switches, Gateways
• Sicherheitsgateways wie Firewalls, Paketfilter, Intrusion Detection Systeme, Virenscanner oder Loadbalancer
• Server, z.B. Datenbankserver, Webserver, Fileserver, Speichersysteme
• Telefonanlagen und verwandte Systeme
• Webanwendungen und Webshops
• Clients
• Drahtlose Netzwerke wie WLAN

In einigen Fällen können das auch Infrastruktureinrichtungen wie Zutrittskontrollsysteme oder Gebäudesteuerungen sein.

Whitebox- oder Blackbox-Tests?

Penetrationstests werden auf zwei verschiedene Arten durchgeführt, als Blackbox-Test oder als Whitebox-Test. Bei ersterem geht der Penetration Tester wie ein externer Angreifer vor und verfügt vor dem Test über keinerlei Information über die zu testenden Systeme und Anwendungen. Bei einem Whitebox-Test werden dagegen umfangreiche Informationen über die zu testende Umgebung bereitgestellt.

Voraussetzungen für die Prüfung

Während eines typischen Penetrationstests werden zunächst Angriffe simuliert, um Schwachstellen zu identifizieren und so herauszufinden, wie diese als Einfallstor in die Anwendung genutzt werden können. Bevor jedoch der Test durchgeführt werden kann, müssen die Prüftiefe, der Prüfort, die Prüfbedingungen und natürlich auch der Prüfzeitraum festgelegt werden.

Externe oder Interne Penetrationtester?

Unternehmen verlassen sich oft auf externe Spezialisten und sind der Meinung, dass sie dafür keine eigenen Ressourcen aufbauen müssen. Für die Anwerbung von externen Beratern für Penetrationstests und Security Assessments gibt es viele gute Gründe (z.B. Compliance-Anforderungen, die eine dritte Instanz vorsehen), aber es wäre durchaus empfehlenswert, auch intern zumindest ein grundlegendes Verständnis dafür zu entwickeln, wie Penetrationstests durchgeführt werden und wie ein Tester vorgeht.

Erstens spricht für diese These, dass interne Sicherheitsverantwortliche und die entsprechenden Fachabteilungen ihre eigenen Anwendungen und Systeme viel besser kennen als externe Penetrationstester. Sie sind eher in der Lage die Auswirkungen von möglichen Schwachstellen in der Anwendung oder im System effizient zu bewerten. Darüber hinaus wissen sie auch am besten, wie sich ihre Anwendung verhalten sollte, das heißt, sie können abnormales Verhalten viel besser von normalem unterscheiden.

Zweitens werden Verantwortliche, wenn sie die Penetrationstests selbst durchführen, besser verstehen, wie Angreifer ihre Anwendungen aushebeln können und welche Ansatzpunkte sie dafür wo suchen. Das wird sie in die Lage versetzen, zukünftig Anwendungen und Systeme in ihren Unternehmen besser zu schützen.

Drittens ist es mit einem intern durchgeführten Penetrationstest viel einfacher, die gefundenen Schwachstellen selbst zu schließen. Natürlich können externe Berater viele gute Tipps und Hinweise geben, interne Spezialisten werden aber viel besser darauf zugeschnittene Empfehlungen für ihre spezifische Applikation machen können.

Das BSI empfiehlt, dass Penetrationstests von externen Spezialisten durchgeführt werden sollten, damit die Prüfung unabhängig vorgenommen und immer wieder neue Ideen und Blickwinkel in den Test eingebracht werden. [3]

Voraussetzungen für einen Penetration Tester

Welche Voraussetzungen muss ein Penetration Tester eigentlich mitbringen? Zunächst benötigt er die nötigen technischen Kenntnisse, vor allem der für die in Penetrationstests üblicherweise eingesetzten Tools wie Portscanner (zumeist Nmap), Schwachstellen-scanner (Nessus), Sniffer (Wireshark) und andere. Darüber hinaus sind aber auch nichtfachliche Voraussetzungen wichtig, wie strukturiertes Vorgehen, organisatorisches Talent, zielorientiertes Denken und Handeln, Überzeugungsfähigkeit, eine schnelle Auffassungsgabe, gesundes Urteilsvermögen, große analytische Fähigkeiten, das Arbeiten in einem Team mit vorher noch unbekannten Personen, hohe Belastbarkeit und besonders wichtig ein Talent für Diplomatie bei heiklen Ergebnissen.

Dokumentation und Bericht – meist wichtiger als der Test selbst

Während der Durchführung des Penetrationstests ist die Dokumentation der einzelnen Schritte und Ergebnisse das A und O. Hier trennt sich die Spreu vom Weizen, denn nur eine Fehlerfreie Dokumentation der gefundenen Schwachstellen hilft bei deren Behebung, so dass im Anschluss die geprüften Systeme und Anwendungen auch wirklich gehärtet werden können. Der vollständige Bericht muss danach dem Auftraggeber vorgestellt werden, hier ist auf Fingerspitzengefühl zu achten, denn zumeist ist den Prüfern nicht bekannt, wer die Systeme und Anwendungen aufgesetzt und programmiert hat.

Fazit

Penetrationstests sind für die Feststellung von Schwachstellen und Sicherheitslücken unabdingbar und sollten regelmäßig durchgeführt werden, um Systeme und Anwendungen zu härten. Für solche Prüfungen sollten Spezialisten angeworben werden, die sich hauptberuflich mit der Thematik beschäftigen und sich kontinuierlich weiterbilden. Dennoch kann es nicht schaden, sich auch als Datenschutz-Berater mit der Thematik auseinanderzusetzen, um nachvollziehen zu können, wie die Penetrationtester vorgehen. Hierzu können auch Weiterbildungsmöglichkeiten4 genutzt werden, um sein eigenes Wissen in technischen Schulungen zu erweitern. Darüber hinaus boomt der Markt mit der Zunahme von Sicherheitsvorfällen und regulatorischen Vorgaben seitens des Gesetzgebers, so dass ein Umstieg nicht nur lukrativ, sondern auch beruflich interessant sein könnte.

Weitere Informationen zum Thema:

[1] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Sicherheitsberatung/Pentest_Webcheck/Leitfaden_Penetrationstest.html aufgerufen am 22.11.2016.

[2] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Sicherheitsberatung/Pentest_Webcheck/Leitfaden_Penetrationstest.pdf?__blob=publicationFile&v=10 aufgerufen am 22.11.2016 Seite 5.

[3] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Sicherheitsberatung/Pentest_Webcheck/Leitfaden_Penetrationstest.pdf?__blob=publicationFile&v=10 aufgerufen am 22.11.2016 Seite 7.

SANS Institute
Eine Übersicht über die beim SANS Institute angebotenen Kurse

https://www.sans.org/reading-room/whitepapers/analyst/penetration-testing-assessing-security-attackers-34635 aufgerufen am 22.11.2016