Penetrationstest (Informatik)

Penetrationstest, kurz Pentest(ing)(Informatik), ist der fachsprachliche Ausdruck für einen umfassenden Sicherheitstest einzelner Rechner, Netzwerke oder Anwendungen jeglicher Größe. Ein Penetrationstest prüft die Sicherheit von Systembestandteilen und Anwendungen eines Netzwerks oder Softwaresystems mit Mitteln und Methoden, die tauglich sind, um unautorisiert in das System einzudringen (Penetration). Penetrationstests können Sicherheitslücken aufdecken, aber nicht ausschließen. Werkzeuge bilden bei Penetrationstests Angriffsmuster nach, die sich aus zahlreichen bekannten Angriffsmethoden ableiten lassen.

Die Art der Sicherheitstests orientiert sich am Gefahrenpotential eines gefährdeten Systems, Netzwerks oder einer Anwendung, das heißt, dass beispielsweise ein Webserver eine höhere Gefahrenpriorität als eine einfache Textverarbeitung hat. Entsprechend zahlreich sind die Hilfswerkzeuge für Penetrationstests und entsprechend sollten derart umfassende Sicherheitstests lediglich erfahrene Sicherheitsforscher oder Systemadministratoren durchführen, die wissen, was sie machen, welche Ereignisse sie damit verursachen und welche Ergebnisse sie damit erzielen möchten.

Der Begriff Penetrationstest wird gelegentlich auch fälschlich für einen automatischen Vulnerability Scan (vulnerability engl. und fachsprachlich für Schwachstelle) verwendet. Während dieser weitgehend automatisch abläuft, bedarf es bei einem echten Penetrationstest manueller Vorbereitung in Form von Sichtung des Prüflings, Planung der Testverfahren und Ziele, Auswahl der notwendigen Werkzeuge und schließlich der Durchführung. Der Security Scan wiederum unterscheidet sich vom Schwachstellenscan durch die manuelle Verifikation der Testergebnisse. Die Verwendung der jeweiligen Begriffe erfolgt im semi-professionellen Bereich jedoch oft uneinheitlich, während in der professionellen Welt der Sicherheitsforscher und Fachunternehmen Standards zur Durchführung von Penetrationstests akzeptiert und weltweit anerkannt werden.

Der Penetrationstest wird oft als empirischer Teil einer allgemeineren Sicherheitsanalyse durchgeführt.

Ziele eines Penetrationstests sind:

  • die Identifikation von Schwachstellen
  • das Aufdecken potentieller Fehler, die sich bei der (fehlerhaften) Bedienung ergeben können
  • die Erhöhung der Sicherheit auf technischer und organisatorischer Ebene und
  • die Bestätigung der IT-Sicherheit durch einen externen Dritten.

Durch die ständige Änderung der Bedrohungsbilder und sicherheitsrelevanten Faktoren in der Informationstechnik ist ein Penetrationstest allerdings eher als Momentaufnahme zu begreifen. Im Extremfall kann ein System unmittelbar nach dem Beheben der durch den Test aufgedeckten Schwachstellen durch eine neue Sicherheitslücke wieder verwundbar sein. Allerdings deckt ein Test in der Regel auch die Ursachen auf, welche zu den festgestellten Problemen führen (z. B. Personalmangel). Jedoch ist die Behebung der Ursachen in der Regel Sache des Betreibers der getesteten Systeme und Anwendungen. Die Behebungsmaßnahmen reichen von besserer Betreuung der Systeme und Anwendungen bis zur Abschaltung.

Arten von Penetrationstests

[Bearbeiten | Quelltext bearbeiten]

Black-Box-Pentest

[Bearbeiten | Quelltext bearbeiten]

Bei dieser Durchführungsart erhält der Pentester im Vorfeld keine Informationen über das Prüfobjekt.[1] Die Informationsbeschaffung ist Teil des Auftrages, was einem echten Cyberangriff sehr nahe kommt.

White-Box-Pentest

[Bearbeiten | Quelltext bearbeiten]

Hierbei handelt es sich um eine sehr gründliche und damit auch teure Art des Penetrationstests.[2] Der Auftraggeber versorgt dabei den Auftragnehmer mit umfassenden Informationen über das Prüfobjekt. Dazu können gehören: Quellcode, Domains, IP-Adressen, Angaben zu den Architekturen, Benutzeraccounts.

Grey-Box-Pentest

[Bearbeiten | Quelltext bearbeiten]

Der Grey-Box-Pentest ist die Kombination aus Black-Box und White-Box-Pentest.[3] Hierbei wird der Pentester mit grundlegenden Informationen wie bspw. IPs, Domains, Benutzeraccounts versorgt. Dies beschleunigt den Test, da der Pentester diese Informationen nicht mühsam recherchieren muss. In der Praxis ist dies die wahrscheinlich gängigste Form des Penetrationstests, weil er in vielen Fällen für die Auftraggeber die beste Balance aus Gründlichkeit und Kosten bietet.

Assume Breach ist ein neues Modell im Bereich Penetrationstests bei dem davon ausgegangen wird, dass der Angreifer bereits innerhalb des Unternehmens ist bzw. einen bestimmten Zugang erlangt hat.[4] Der Penetrationstester versucht von dieser Position aus ein bestimmtes definiertes Ziel zu erreichen ohne dabei aufzufallen. Hierbei wird die interne IT-Sicherheit eines Unternehmens für den Ernstfall vorbereitet. Assume Breach-Angriffsszenarien sind in der Regel ähnlich realitätsnah, wie Red Teaming, bieten hierbei aber einen signifikanten Kostenvorteil. Assume Breach ist vergleichbar mit Red Teaming, es werden die gleichen Methoden verwendet - wenn diese in das besprochene Angriffsszenario reinpassen.

Typische Angriffsszenarien gehen von unzufriedenen Mitarbeitern, kompromitierten externen/internen Portalen oder geleakten Zugangsdaten relevanter Personen aus.

Red Team Assessment

[Bearbeiten | Quelltext bearbeiten]

Bei diesem Ansatz wird getestet, wie eine Organisation auf einen echten Angriff reagieren würde. Es handelt sich um eine simulierte Attacke aus der Perspektive eines realen Angreifers. Die Aufgabe wird von einem internen oder externen Red Team übernommen. Dabei kommen verschiedene Methoden und Techniken, wie Social Engineering, physische Sicherheitstests, Netzwerksniffing und Anwendungs-Penetrationstests zum Einsatz, um Schwachstellen zu identifizieren und die Reaktionsfähigkeit der Organisation auf echte Angriffe zu bewerten und zu verbessern. Dies ist ein sehr ressourcenintensives Vorgehen und umfasst mehrere Phasen, wie Informationsbeschaffung, Angriffsdurchführung/Exploits, seitliche Bewegung im Netzwerk, Exfiltration von Daten und abschließendes Reporting.

Oft wird das Red Team Engagement von einem sogenannten 'Blue Team' auf der Seite der angegriffenen Organisation begleitet, um zu untersuchen, wie gut diese auf reale Angriffe vorbereitet ist.

Social-Engineering-Penetrationstest

[Bearbeiten | Quelltext bearbeiten]

Da potentielle Angreifer die Rechner und Datenbanken von Unternehmen nicht ausschließlich von außen über das Netzwerk angreifen, sondern auch versuchen, durch Social Engineering über die Mitarbeiter an Informationen und Zugänge zu kommen, gibt es spezielle Penetrationstests, die sich mit diesem Thema beschäftigen. Diese Tests sind darauf ausgelegt, in Unternehmen Schwachstellen zu finden und im Nachgang durch Schulungen und Aufklärungen ernsthafte Angriffe zu erschweren.

Testaufbau und Durchführung

[Bearbeiten | Quelltext bearbeiten]

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Klassifikationsschema entwickelt, anhand dessen sich ein Test beschreiben lässt. Im Wesentlichen werden sechs verschiedene Kriterien betrachtet:

  • Informationsbasis
  • Aggressivität
  • Umfang
  • Vorgehensweise
  • Technik
  • Ausgangspunkt

Anhand dieser Kriterien wird zusammen mit dem Kunden ein individueller Test zusammengestellt. In der Praxis werden meist mehrstufige Tests durchgeführt, bei denen mehrere Kriterien nacheinander zur Anwendung kommen. Beispielsweise wird zuerst ein Blackbox-Test und danach ein Whitebox-Test durchgeführt. Im Test selbst werden einzelne Testmodule ausgeführt. Bei den Testmodulen werden I- und E-Module unterschieden. I-Module bezeichnen Testschritte, die zur reinen Informationsbeschaffung dienen, E-Module bezeichnen aktive Eindringversuche. Einem E-Modul geht meist ein entsprechendes I-Modul voraus.

Gefundene Schwachstellen werden durch die Pentester nach Kritikalität bewertet. Dafür wird das Common Vulnerability Scoring System (CVSS) verwendet, welches den Schwachstellen anhand von zahlreichen Faktoren einen Wert zwischen 0 - 10 zuordnet.

Penetrationstests werden von verschiedenen Rechtsquellen verlangt. Beispielsweise fordert § 2 Abs. 6 der IT-Sicherheitsverordnung Portalverbund, dass insbesondere IT-Komponenten, die über eine technische Schnittstelle unmittelbar mit dem Internet verbunden sind, erst einem Penetrationstest und einem Webcheck nach den Vorgaben des BSI zu unterziehen seien. Nach § 7 Abs. 3 der Digitale Gesundheitsanwendungen-Verordnung kann das Bundesinstitut für Arzneimittel und Medizinprodukte zum Nachweis der Erfüllung der Anforderungen an die Informationssicherheit die Vorlage von Berichten über die Durchführung von Penetrationstests verlangen. Dabei berufen sich die Basisanforderungen[5] auf das vom BSI empfohlene Durchführungskonzept für Penetrationstests.[6]

Artikel 2 des Übereinkommens über Computerkriminalität verlangt von ihren Unterzeichnern, „den unbefugten Zugang zu einem Computersystem“ als Straftat zu umschreiben. Entsprechende strafrechtliche Regelungen finden sich in Deutschland, Österreich und der Schweiz (sowie anderen Ländern). Eine Befugnis zu Penetrationstests kann sich z. B. durch gesetzliche Regelung oder durch vertragliche Vereinbarung zwischen der zu testenden und der den Test durchführenden Organisation ergeben. Zur Umsetzung des Übereinkommens hat der deutsche Gesetzgeber den unbefugten Zugang zu Daten als Ausspähen von Daten unter Strafe gestellt. Dieses Ausspähen ist ein Antragsdelikt, der Versuch bleibt straffrei.

Die beauftragende Organisation kann Penetrationstests nur für Objekte in Auftrag geben, die sich unter ihrer Hoheit befinden. Konkret heißt dies, dass eine Organisation ohne eigene Befugnis nicht Dritte beauftragen darf, fremde Netze zu penetrieren.

Prozessbeschreibung

[Bearbeiten | Quelltext bearbeiten]

Das BSI empfiehlt beim Durchführen eines Penetrationstests einen fünfstufigen Prozess. Die Vorbereitungsphase dient zur gemeinsamen Zielsetzung und dem Testaufbau mit dem Kunden. In der Informationsbeschaffungsphase versucht der Sicherheitsanalyst, möglichst viele Informationen über das zu testende System zu erhalten. Die gewonnenen Informationen werden anschließend einer Bewertung unterzogen. Erst danach werden aktive Eindringversuche unternommen. Anschließend werden die Ergebnisse gesammelt und in Form eines Berichts gebündelt. Dieser Bericht enthält auch Empfehlungen, wie mit eventuellen Sicherheitsproblemen umgegangen werden soll. Begleitend zu allen fünf Phasen ist eine akribische Dokumentation der einzelnen Arbeitsschritte notwendig.

Bei der Testdurchführung kann es zu Störungen des normalen IT-Betriebs kommen. Beispielsweise zielen DoS-Attacken darauf ab, den Zugriff auf einzelne Services, Rechner oder Netzsegmente zu unterbinden. Werden DoS-Attacken im Rahmen eines Moduls simuliert, sollte das außerhalb der Nutzungszeiten des Systems erfolgen.

Auch bei gewöhnlichen I- oder E-Modulen kann es unter Umständen zum Absturz einzelner Systeme kommen. In der Vorbereitungsphase muss auch eine Übereinkunft zwischen Auftraggeber und Kunden getroffen werden, wie mit den erhaltenen Erkenntnissen umgegangen wird. So könnten die Tester im Rahmen des Tests an unternehmenskritische Informationen gelangen. Nach Möglichkeit sollten Penetrationstests an Testumgebungen durchgeführt werden, die exakt wie die Live-Umgebungen konfiguriert sind, aber für den Betrieb der Organisation weniger kritisch sind.

Die Durchführung von Penetrationstests kann durch verschiedene Softwareprodukte unterstützt werden. Dazu zählen etwa Portscanner wie Nmap, Vulnerability Scanner wie Nessus, Sniffer wie Wireshark, Paketgeneratoren wie HPing 2/3 oder Mausezahn und Passwortcracker wie John the Ripper. Zudem stehen zunehmend mehr Werkzeuge zur Verfügung, die speziell für Sicherheitstests entwickelt wurden. Häufig stammen diese aufgrund der Überprüfbarkeit des Quellcodes aus dem Open-Source-Bereich und sind auf sehr spezielle Testbereiche zugeschnitten.

ARP0c ist beispielsweise ein Verbindungsinterceptor, der mit einem ARP-Spoofing- und Bridging-Modul arbeitet. ARP-Anfragen von beliebigen Quellen in einem Netzwerkverbund werden mit gefälschten ARP-Anfragen versehen, um den Host zu erreichen, der ARP0c-Pakete sendet. Pakete von diesem Host werden weitergeleitet zu einem internen Modul und die normale Adresse wird weitergeleitet mit dem Ziel, eine normale Netzverbindung aufrechtzuerhalten. Mit Hilfe des Tools ist entsprechend ein Man in the Middle-Monitoring möglich. Ziel des Einsatzes ist die Austestung von Firewall-Regeln, die auf einer Stateful-Packet-Inspection-Basis beruhen und ARP-Pakete mit fremden IP-Adressen verwerfen sollten.

Ein weiteres Beispiel eines solchen Spezialwerkzeugs ist Egressor. Egressor ist ein von MITRE entwickeltes freies Tool zur Überprüfung der Konfiguration von Internet-Punkt-zu-Punkt-Routern. Egressor hilft Unternehmen dabei, Router unempfindlich gegen Denial-of-Service-Attacken (DoS) zu konfigurieren. Das Egress-Filtersystem reduziert die Gefahr, ein Netzwerk zum Teil von verteilten Denial-of-Service-Attacken (DDoS) werden zu lassen.

Zunehmend häufiger werden auch umfassende Werkzeugsammlungen für Penetrationstests angeboten, die in der Regel von erfahrenen Sicherheitsfachkräften zusammengestellt wurden und auf Basis einer stabilen Linux-Distribution arbeiten, die als Live-CD angeboten wird. Der Vorteil solcher Penetrationstest-Distributionen besteht darin, sämtliche relevanten Werkzeuge unter einer gemeinsamen Oberfläche zur Verfügung zu haben. Zudem sind sie meist vorkonfiguriert und fertig zur Anwendung. Ein gutes Beispiel für solche Live-CDs ist die Kali-Linux-Distribution, die aus zwei unabhängigen Projekten verschmolzen wurde und aktuell das Maß aller Dinge darstellt, weil sie wirklich komplett ist und alle Werkzeuge beinhaltet, die für ausgedehnte Sicherheitstests benötigt werden.

Die zahlreichen Werkzeuge, die für Penetrationstests herangezogen werden können, lassen sich in folgende Kategorien einteilen:

  • Viele Werkzeuge überprüfen nur eine einzelne Schwachstelle.
  • Vulnerability Scanner überprüfen oft automatisiert eine Reihe von applikations- oder protokollbasierten Schwachstellen. Einige lassen sich durch eigene Skriptsprachen erweitern.
  • Einige Programme dienen ursprünglich oder zusätzlich zu ihrer Funktion in Penetrationstests auch dem allgemeinen Netzwerkmanagement, darunter z. B. einige Scanner und Sniffer.
  • Auch normale Programme, die beim Betriebssystem mitgeliefert werden, können einem Penetrationstester bei einer Untersuchung dienen.

Das BSI stellt eine Sammlung solcher Tools unter dem Namen BSI OSS Security Suite kostenlos zur Verfügung. Diese wird allerdings nicht mehr aktualisiert. Spezialisierte Linux Live-CDs wie PHLAK, Pentoo, S-t-d oder Kali Linux (ehem. BackTrack, davor Auditor-LiveCD und WHAX Linux) enthalten eine Vielzahl zweckdienlicher Werkzeuge. Weitere bekannte Tools für Penetrationstests sind Attack Tool Kit (ATK) oder Metasploit.

Qualität und Aussagekraft eines Penetrationstests lassen sich aber kaum an den eingesetzten Werkzeugen festmachen; sie sind in erster Linie von der Genauigkeit der getroffenen Annahmen („Szenario“) und der strukturierten Durchführung abhängig.

Holger Reibold: Hacking kompakt – Die Kunst des Penetration Testing – der Schnelleinstieg in die Welt der Hacker. Brain-Media.de, 2015, ISBN 978-3-95444-160-0, S. 170 (brain-media.de).

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. Penetration testing. Abgerufen am 8. April 2024 (englisch).
  2. Penetration testing. Abgerufen am 8. April 2024 (englisch).
  3. Was ist ein Pentest und wie wird er durchgeführt? | Yekta IT. Abgerufen am 8. April 2024.
  4. Was bedeutet Assume Breach? | Lexikon der IT-Sicherheit | DSecured. Abgerufen am 27. November 2024 (deutsch).
  5. Anlage 1 Fragebogen gemäß § 4 Absatz 6 der Digitalen Gesundheitsanwendungen-Verordnung, Themenfeld Datensicherheit Nr. 32a
  6. Bundesamt für Sicherheit in der Informationstechnik: Studie Durchführungskonzept für Penetrationstests (PDF; 1,2 MB)