Von unserem Gastautor Erik van Buggenhout, Instructor beim SANS Institute für SEC 560 & 542 und Security Consultant bei NVISO

[datensicherheit.de, 12.12.2016] Mit Penetration Testing oder auch Pen Testing ist das Eindringen in IT-Systeme zur Erkundung und Verzeichnung von Schwachstellen gemeint. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auf seiner Homepage einen Praxis-Leitfaden: IT-Sicherheits-Penetrationstest zusammengestellt und bietet diesen als PDF zum Download an. [1] Folgende Begriffsbestimmung wird hier gewählt: „Ein IT-Sicherheits-Penetrationstest ist ein erprobtes und geeignetes Vorgehen, um das Angriffspotenzial auf ein IT-Netz, ein einzelnes IT-System oder eine (Web-)Anwendung festzustellen.“ [2] Einige Branchen wie Banken und Versicherungen sind aus Compliance-Gründen dazu gezwungen regelmäßige Penetration Tests als Teilbereich eines IT-Sicherheitsaudits durchzuführen. Allerdings werden auch in anderen Branchen die IT-Systeme und Anwendungen von Unternehmen von Zeit zu Zeit auf Schwachstellen hin untersucht, um diese vor Angriffen zu schützen.

Üblicherweise werden die folgenden Punkte für einen Penetration Test betrachtet:

• Router, Switches, Gateways
• Sicherheitsgateways wie Firewalls, Paketfilter, Intrusion Detection Systeme, Virenscanner oder Loadbalancer
• Server, z.B. Datenbankserver, Webserver, Fileserver, Speichersysteme
• Telefonanlagen und verwandte Systeme
• Webanwendungen und Webshops
• Clients
• Drahtlose Netzwerke wie WLAN

In einigen Fällen können das auch Infrastruktureinrichtungen wie Zutrittskontrollsysteme oder Gebäudesteuerungen sein.

Whitebox- oder Blackbox-Tests?

Penetrationstests werden auf zwei verschiedene Arten durchgeführt, als Blackbox-Test oder als Whitebox-Test. Bei ersterem geht der Penetration Tester wie ein externer Angreifer vor und verfügt vor dem Test über keinerlei Information über die zu testenden Systeme und Anwendungen. Bei einem Whitebox-Test werden dagegen umfangreiche Informationen über die zu testende Umgebung bereitgestellt.

Voraussetzungen für die Prüfung

Während eines typischen Penetrationstests werden zunächst Angriffe simuliert, um Schwachstellen zu identifizieren und so herauszufinden, wie diese als Einfallstor in die Anwendung genutzt werden können. Bevor jedoch der Test durchgeführt werden kann, müssen die Prüftiefe, der Prüfort, die Prüfbedingungen und natürlich auch der Prüfzeitraum festgelegt werden.

Externe oder Interne Penetrationtester?

Unternehmen verlassen sich oft auf externe Spezialisten und sind der Meinung, dass sie dafür keine eigenen Ressourcen aufbauen müssen. Für die Anwerbung von externen Beratern für Penetrationstests und Security Assessments gibt es viele gute Gründe (z.B. Compliance-Anforderungen, die eine dritte Instanz vorsehen), aber es wäre durchaus empfehlenswert, auch intern zumindest ein grundlegendes Verständnis dafür zu entwickeln, wie Penetrationstests durchgeführt werden und wie ein Tester vorgeht.

Erstens spricht für diese These, dass interne Sicherheitsverantwortliche und die entsprechenden Fachabteilungen ihre eigenen Anwendungen und Systeme viel besser kennen als externe Penetrationstester. Sie sind eher in der Lage die Auswirkungen von möglichen Schwachstellen in der Anwendung oder im System effizient zu bewerten. Darüber hinaus wissen sie auch am besten, wie sich ihre Anwendung verhalten sollte, das heißt, sie können abnormales Verhalten viel besser von normalem unterscheiden.

Zweitens werden Verantwortliche, wenn sie die Penetrationstests selbst durchführen, besser verstehen, wie Angreifer ihre Anwendungen aushebeln können und welche Ansatzpunkte sie dafür wo suchen. Das wird sie in die Lage versetzen, zukünftig Anwendungen und Systeme in ihren Unternehmen besser zu schützen.

Drittens ist es mit einem intern durchgeführten Penetrationstest viel einfacher, die gefundenen Schwachstellen selbst zu schließen. Natürlich können externe Berater viele gute Tipps und Hinweise geben, interne Spezialisten werden aber viel besser darauf zugeschnittene Empfehlungen für ihre spezifische Applikation machen können.

Das BSI empfiehlt, dass Penetrationstests von externen Spezialisten durchgeführt werden sollten, damit die Prüfung unabhängig vorgenommen und immer wieder neue Ideen und Blickwinkel in den Test eingebracht werden. [3]

Voraussetzungen für einen Penetration Tester

Welche Voraussetzungen muss ein Penetration Tester eigentlich mitbringen? Zunächst benötigt er die nötigen technischen Kenntnisse, vor allem der für die in Penetrationstests üblicherweise eingesetzten Tools wie Portscanner (zumeist Nmap), Schwachstellen-scanner (Nessus), Sniffer (Wireshark) und andere. Darüber hinaus sind aber auch nichtfachliche Voraussetzungen wichtig, wie strukturiertes Vorgehen, organisatorisches Talent, zielorientiertes Denken und Handeln, Überzeugungsfähigkeit, eine schnelle Auffassungsgabe, gesundes Urteilsvermögen, große analytische Fähigkeiten, das Arbeiten in einem Team mit vorher noch unbekannten Personen, hohe Belastbarkeit und besonders wichtig ein Talent für Diplomatie bei heiklen Ergebnissen.

Dokumentation und Bericht – meist wichtiger als der Test selbst

Während der Durchführung des Penetrationstests ist die Dokumentation der einzelnen Schritte und Ergebnisse das A und O. Hier trennt sich die Spreu vom Weizen, denn nur eine Fehlerfreie Dokumentation der gefundenen Schwachstellen hilft bei deren Behebung, so dass im Anschluss die geprüften Systeme und Anwendungen auch wirklich gehärtet werden können. Der vollständige Bericht muss danach dem Auftraggeber vorgestellt werden, hier ist auf Fingerspitzengefühl zu achten, denn zumeist ist den Prüfern nicht bekannt, wer die Systeme und Anwendungen aufgesetzt und programmiert hat.

Fazit

Penetrationstests sind für die Feststellung von Schwachstellen und Sicherheitslücken unabdingbar und sollten regelmäßig durchgeführt werden, um Systeme und Anwendungen zu härten. Für solche Prüfungen sollten Spezialisten angeworben werden, die sich hauptberuflich mit der Thematik beschäftigen und sich kontinuierlich weiterbilden. Dennoch kann es nicht schaden, sich auch als Datenschutz-Berater mit der Thematik auseinanderzusetzen, um nachvollziehen zu können, wie die Penetrationtester vorgehen. Hierzu können auch Weiterbildungsmöglichkeiten4 genutzt werden, um sein eigenes Wissen in technischen Schulungen zu erweitern. Darüber hinaus boomt der Markt mit der Zunahme von Sicherheitsvorfällen und regulatorischen Vorgaben seitens des Gesetzgebers, so dass ein Umstieg nicht nur lukrativ, sondern auch beruflich interessant sein könnte.

Weitere Informationen zum Thema:

[1] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Sicherheitsberatung/Pentest_Webcheck/Leitfaden_Penetrationstest.html aufgerufen am 22.11.2016.

[2] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Sicherheitsberatung/Pentest_Webcheck/Leitfaden_Penetrationstest.pdf?__blob=publicationFile&v=10 aufgerufen am 22.11.2016 Seite 5.

[3] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Sicherheitsberatung/Pentest_Webcheck/Leitfaden_Penetrationstest.pdf?__blob=publicationFile&v=10 aufgerufen am 22.11.2016 Seite 7.

SANS Institute
Eine Übersicht über die beim SANS Institute angebotenen Kurse

https://www.sans.org/reading-room/whitepapers/analyst/penetration-testing-assessing-security-attackers-34635 aufgerufen am 22.11.2016

Carsten J. Pinnow im Gespräch mit James Lyne, Trainer beim SANS Institut und Manuel Schönthaler, Direktor Deutschland des SANS Instituts

[datensicherheit.de, 07.08.2014] Die Sicherheit von Websites ist diversen Gefährdungen ausgesetzt, so z.B. ist durch DDoS-Attacken (Distributed Denial of Service) mit steigender Tendenz die Verfügbarkeit bedroht. Carsten J. Pinnow, Herausgeber von datensicherheit.de (C.J.P.) sprach über das Berufsbild des Penetration Testers mit James Lyne (J.L.), Trainer beim SANS Institut und Manuel Schönthaler (M.S.), Direktor Deutschland des SANS Instituts.

C.J.P.: Was ist unter dem Begriff „Penetration Testing“ zu verstehen?

M.S: Per Definition bezeichnet Penetration Testing einen Sicherheitstest für Netzwerke und Webseiten. Dies meint, dass ein Sicherheitsexperte in alle Bestandteile der zu prüfenden Anwendungen und Netzwerke mit allen ihm zur Verfügung stehenden Mitteln einzudringen versucht. Der Experte wird in diesem Fall zum Guten, zum sogenannten White-Hat Hacker.

C.J.P.: Wie entwickelt sich die Zahl der Hacker-Angriffe auf Websites?

© SANS Institut

Manuel Schönthaler, Direktor Deutschland des SANS Instituts

M.S: Im letzten Jahr haben Hacker-Angriffe auf diverse Institutionen und große Unternehmen weltweit für Aufsehen gesorgt. Zahlreiche Sicherheitsvorfälle wurden bekannt, die Dunkelziffer, so vermuten viele Spezialisten, ist allerdings noch wesentlich höher, denn nicht alle Unternehmen melden Angriffe und einige wissen noch nicht einmal, dass sie überhaupt gehackt wurden. Nur eines ist sicher, der Markt für IT-Sicherheit und Informationssicherheit brummt, so auch das Thema berufliche Weiterbildung.

C.J.P.: Berufliche Weiterbildung ist ein gutes Stichwort. Wie sieht es mit dem Berufsbild des „Penetration Testers“ und der Ausbildung dazu aus?

M.S: Es ist ein noch relativ junger, aber bereits etablierter Berufszweig, der von der zunehmenden Nachfrage nach IT-Sicherheit profitiert, ist das Penetration Testing. Diese Spezialisten, Pen Tester genannt, werden in der Regel dann gerufen, wenn ein Sicherheitsvorfall passiert ist und die zuvor getroffenen Sicherheitsmaßnahmen überprüft werden sollen. In den meisten Fällen werden sie dank ihres Expertenwissens schnell fündig und müssen nicht lange nach den betroffenen Schwachstellen suchen. Doch wie wird man eigentlich ein Penetration Tester und welche Möglichkeiten gibt es für Quereinsteiger sich dazu aus- oder weiterbilden zu lassen?

C.J.P.: Welches Vorwissen ist zur Ausübung des Berufes notwendig? Wird z.B. ein erfolgreiches absolviertes Studium der Informatik vorausgesetzt?

M.S: Ein Studium der Informatik mit entsprechenden Schwerpunkten ist für eine spätere Karriere als Penetration Tester nicht zwingend erforderlich. Es gibt genügend herausragende Penetration Tester, die lediglich eine Ausbildung als Fachinformatiker absolviert haben. Gleichwohl haben viele Informatik mit dem Schwerpunkt Informationssicherheit studiert. In der IT gibt es immer mehr Spezialisierungen, so ändert sich nicht nur der spätere Arbeitsplatz, sondern auch das Studium und die Ausbildung. Die Universitäten sind zwar immer mehr bestrebt, diesem Expertentum Rechnung zu tragen und spezielle Kurse anzubieten, allerdings gibt es noch keine dezidierten Studiengänge wie z.B. im Bereich Computer-Forensik.

J.L.: Grundsätzlich ist die Ausbildung sehr unterschiedlich. Es kommt viel auf die eigenen Interessen und auf den späteren Beruf an. Nicht alle Experten, die sich in unseren Kursen schulen lassen, haben auch tagtäglich mit Pen Testing zu tun. Manche wollen einfach nur reinschnuppern und einige Grundlagen erlernen. Was jedoch die meisten miteinander verbindet, ist die Neugier darauf in ein System einzudringen und sich im Wettstreit miteinander zu messen.

C.J.P: Also gute Aussichten für interessierte „Nerds“?

M.S.: Dass sich ein Studium mit gewissen Schwerpunkten und der Besuch von entsprechenden Veranstaltungen lohnen könnte, belegt nicht nur ein Blick auf aktuelle Stellenausschreibungen, sondern auch die Auslastung von spezialisierten Firmen. Unternehmen haben inzwischen verstanden, dass es nicht mehr ausreicht, sich einfach nur eine Firewall anzuschaffen und darauf zu vertrauen, dass diese alle Angriffe abfängt. Nur wer die Angreifer versteht und Angriffe auch selbst simulieren kann, kann auch einen wirksamen Schutz um sensible Daten herum aufbauen. Im großen Markt der Informationssicherheit ist Pen Testing sicherlich einer der Teilbereiche, der viel Wachstumspotenzial besitzt. Ein interessanter Aspekt hierbei ist, dass entgegen dem allgemeinen Trend in der IT, das Know How an Dienstleister auszulagern, in diesem Bereich immer mehr Wissen in den Unternehmen aufgebaut wird.

J.L.: Derzeit beobachten wir, dass immer mehr unserer Kursteilnehmer von Unternehmen kommen, die zunächst eher keine großen IT-Abteilungen vermuten lassen. Dies bestärkt uns in unserer Annahme, dass gerade im Bereich Penetration Testing eher Wissen in den Unternehmen aufgebaut werden soll. Warum dies so ist, können wir nur vermuten. Sicherlich gibt es dafür viele Gründe, denn der Stundensatz eines Penetration Testers ist nicht gerade gering. Die Gewissheit eigene Kapazitäten geschaffen zu haben und auszubauen, bestärkt viele Unternehmen außerdem darin, selbstbewusster mit Hacker-Angriffen umgehen zu können.

C.J.P: Ist es nicht gerade auch wichtig Expertise im eigenen Unternehmen zu haben?

M.S.: In der nahen Zukunft wird im Bereich Pen Testing mehr und mehr in den Aufbau eigener Teams innerhalb von Unternehmen investiert werden, Talent Management lautet hier das Stichwort. Wünschenswert wäre aus Sicherheitsaspekten außerdem die Einbindung dieser Teams in die Softwareentwicklung, um Schwachstellen schon dort frühzeitig zu erkennen und zu beheben.

C.J.P.: Gerade im Sicherheitsbereich gibt es rasante Entwicklungen. Wie können sich Interessierte gezielt fortbilden?

M.S.: In den letzten Jahren haben sich die Möglichkeiten der gezielten Weiterbildung im Bereich Pen Testing deutlich verbessert. Noch vor einigen Jahren waren viele Spezialisten dazu gezwungen, sich selbst privat fortzubilden. Anbieter haben inzwischen das Potenzial erkannt. Die wenigsten Teilnehmer zahlen die Kursgebühren selbst. In den meisten Fällen kommen Unternehmen dafür auf, bei denen die Experten arbeiten. Trotzdem bleibt vieles inklusive zahlreicher Grundlagen vor allem Learning by Doing und Training on the Job. Ein Grundverständnis für das generelle Vorgehen von Hackern ist elementar. Das Vorgehen von Angreifern lässt sich am besten nachvollziehen, wenn der Hack selbst durchgeführt wurde. Die meisten gebuchten Kurse befinden sich deshalb auch eher auf gehobenem Niveau.
Das Geschäft ist unglaublich schnelllebig, so dass die Kurse ständig aktualisiert werden müssen. Tools, die im letzten Jahr noch weitläufig benutzt wurden, erhalten ständige Updates und dementsprechend ändert sich auch deren Nutzung. Die Teilnehmer bringen in der Regel bereits Grundwissen mit, viele hacken aus Leidenschaft und sind dementsprechend motiviert, so viel Wissen wie möglich mitzunehmen.

J.L.: Die Trainings sind in der Regel hands on, es soll so viel wie möglich selbst probiert werden, um im Berufsalltag möglichst alle in der Fortbildung erlernten Fähigkeiten einsetzen zu können. Aus Büchern zu lernen, ist sicherlich zum Einstieg sinnvoll, doch sollte dann relativ schnell die Umsetzung in der Praxis erfolgen, um sich selbst zu testen.

C.J.P: Was macht einen „guten“ Hacker (in doppeltem Sinn) aus?

M.S.: Gute Penetration Tester sind zugleich auch gute Hacker, dies liegt in der Natur der Sache. Wie in vielen Fachbereichen lässt es sich aber nicht vermeiden, dass dieses Wissen nur für den Schutz von Unternehmensdaten verwendet wird. Nicht zuletzt deshalb wählen Unternehmen ihr Personal auch unter diesem Gesichtspunkt aus. Wie Google aus seinen Hackern richtige Rockstars macht, zeigt ein Porträt von Project Zero der Zeitschrift Wired.1 Hier werden aus Hackern, die vielleicht sogar eine graue also halblegale, halbillegale Vergangenheit haben, nun aber für Google arbeiten, wahre Berühmtheiten, die für ein positiveres Image ihres Arbeitgebers sorgen sollen.

Weitere Informationen zum Thema:

datensicherheit.de, 22.07.2014
Prolexic Global DDoS Attack Report: Akamai veröffentlicht Bericht für das zweite Quartal 2014

datensicherheit.de, 21.05.2014
SANS Institut veranstaltet Pen Test Berlin 2014

[datensicherheit.de, 21.05.2014] Vom 16. bis 21. Juni lädt das SANS Institut erneut nach Berlin, um im Radisson Blue Hotel die zweite Auflage des europäischen Pen Testing Events (Pen Test Berlin 2014)  auszurichten. Die international renommierten Trainer des Instituts bieten den weit über 100 erwarteten Teilnehmern fünf spezielle Trainingskurse aus den Themenbereichen Penetration Testing und Ethical Hacking.

„Penetration Testing wird in Zeiten, in denen Cyber-Bedrohungen globale Auswirkungen haben und Hackerangriffe stets ausgefeilter werden, ein immer wichtigeres Genre. Nicht zuletzt die vor kurzem aufgedeckte OpenSSL Schwachstelle Heartbleed sorgt bis heute für eine große Nachfrage bei entsprechend qualifizierten IT-Spezialisten. Das hervorragende Feedback nicht nur aus dem letzten Jahr bestärkt uns, das Weiterbildungsangebot kontinuierlich auszubauen und damit dem steigenden Bedarf an erstklassig ausgebildeten Experten zu begegnen“, sagt Manuel Schönthaler, Direktor Deutschland beim SANS Institut.

Folgende Trainings können in Berlin besucht werden:

1. SEC760: Advanced Exploit Development for Penetration Testers
   Trainer: Stephen Sims (GSE)
2. SEC542: Web App Penetration Testing and Ethical Hacking
   Zertifizierung: GIAC Web App Penetration Tester (GWAPT)
   Trainer: Pieter Danhieux (GSE)
3. SEC560: Network Penetration Testing and Ethical Hacking
   Zertifizierung: GIAC Penetration Tester (GPEN)
   Trainer: James Lyne (Sophos Technology Strategist)
4. SEC573: Python for Penetration Testers
   Trainer: Tim Medin (Counter Hacker)
5. SEC575: Mobile Device Security and Ethical Hacking
   Zertifizierung: GIAC Mobile Device Security Analyst (GMOB)
   Trainer: Raul Siles (GSE)

Abgerundet werden die Praxiskurse durch das begehrte NetWars Turnier, an dem sich die Teilnehmer virtuell miteinander messen können. An zwei aufeinanderfolgenden Abenden können die erlernten Praxisinhalte im Anschluss an die Trainings unmittelbar spielerisch vertieft werden.

Teilnehmer, die weitere SANS-Kurse in Europa wie die Veranstaltung in London vom 14. bis 21. Juli oder das Event in Tallin (Estland) vom 1. bis 5. September besuchen wollen, profitieren von ermäßigten Gebühren. Zu den Highlights zählen neben den Kursen auch die bei den Besuchern beliebten @Night-Gespräche, die Lunch & Learn Präsentationen während des Essens sowie die vielen weiteren Möglichkeiten zum Netzwerken.

Weitere Informationen zum Thema:

SANS Insitut
Registrierung für die Veranstaltung und Informationen

SANS Institut
Pentest Berlin 2014