Penetrationstest: So finden Sie die Schwachstellen in Ihrem Netzwerk
Wer für ein lokales Computernetzwerk verantwortlich ist, weiß um den großen Aufwand, der mit der Einrichtung und Pflege desselben verbunden ist. Es gilt, alle Komponenten derart zu konfigurieren, dass sie funktionsfähig und auf dem aktuellen Stand sind. Für alle Nutzergeräte müssen die gewünschte Software installiert und die passenden Zugriffsrechte definiert werden. Die wohl wichtigste Aufgabe besteht allerdings darin, das passende Sicherheitskonzept zu entwickeln, um das eigene Netzwerk vor schädlichen Attacken zu schützen. Je nach Netzwerkgröße und benötigtem Sicherheitsstandard kommen dafür ganz unterschiedliche Maßnahmen und Bausteine in Frage – von gewöhnlichen Software-Firewalls und Antivirenprogrammen über komplexere Hardware-Firewalls bis hin zu Lösungen mit zusätzlichen Komponenten wie Intrusion Detection und Intrusion Prevention Systemen.
Steht das Abwehrkonzept, müssen die Bemühungen aber noch lange nicht vorbei sein: Regelmäßige Sicherheitstests, um den Netzwerk-Schutz zu überprüfen, gehören in größeren Firmen und Behörden zur gängigen Praxis. Mit sogenannten Penetrationstests, kurz auch Pen-Tests, lässt sich z. B. das Angriffspotenzial des Netzwerks, einzelner teilnehmender Systeme oder gar einer einzelnen Anwendung feststellen. Auf der Basis der Testergebnisse kann man anschließend entsprechende Optimierungsmaßnahmen in die Wege leiten. Wie wird ein solcher Test genau durchgeführt und was bedeutet er für das bestehende Netzwerk?
Was ist ein Pen-Test?
In der Informationstechnik bezeichnet ein Penetrationstest den geplanten Angriff auf ein Netzwerk beliebiger Größe oder einzelne Rechner mit dem Ziel, die Schwachstellen des jeweiligen Testobjekts offenzulegen. Zu diesem Zweck werden mithilfe diverser Tools verschiedene Angriffsmuster nachgestellt, die bekannten Angriffsmethoden nachempfunden sind. Die typischen Komponenten, die einem Pen-Test unterzogen werden, sind:
- Netzwerk-Kopplungselemente wie Router, Switches oder Gateways
- Sicherheits-Gateways wie Firewalls, Paketfilter, Virenscanner, Load Balancer, IDS und IPS etc.
- Server wie Webserver, Datenbankserver, Fileserver etc.
- Telekommunikationsanlagen
- Jegliche Art von Webanwendungen
- Infrastruktureinrichtungen wie z. B. Zutrittskontrollmechanismen
- Involvierte drahtlose Netzwerke wie WLANs oder Bluetooth
Generell unterscheidet man zwischen Blackbox- und Whitebox-Tests: Bei ersteren stehen den Penetrationstestern lediglich die Adressinformationen des Zielnetzwerks bzw. -systems zur Verfügung. Bei letzteren besitzen die Tester umfangreiches Wissen über die zu testenden Systeme, etwa über die IP-Adressen und die eingesetzten Software- und Hardware-Komponenten. Darum decken Whitebox-Pen-Tests auch Angriffsszenarien ab, die von einem Blackbox-Test nicht berücksichtigt werden – z. B. die Attacke eines gut informierten Angreifers aus den eigenen Reihen.
Motivation und Voraussetzungen für einen Pen-Test
Prinzipiell steigt die Gefährdung Ihres Netzwerks für einen Angriff natürlich mit dem Wert Ihrer Daten. Behörden und Banken, die eine Vielzahl wertvoller persönlicher Kundeninformationen verwalten, stehen bei Kriminellen ebenso hoch im Kurs wie erfolgreiche Unternehmen, die wertvolles Know-how auf ihren Servern führen. Wenn Sie Daten bzw. Projekte geringerer Tragweite in Ihrem Netzwerk verwalten, sollten Sie sich allerdings keineswegs in Sicherheit wiegen – egal, ob Sie einen Webshop betreiben und Shop- oder Warenwirtschaftssysteme auf einem Server im Netzwerk laufen lassen, ein informatives Webprojekt mit einer Vielzahl an eingepflegten Beiträgen anbieten oder das Netzwerk einfach nur als Arbeitsplattform nutzen. Hier können Angreifer Ihnen ebenso Schaden zufügen und beispielsweise
- von Ihnen betreute Webprojekte oder Arbeitsumgebungen lahmlegen,
- in den Besitz wertvoller Passwörter der Netzwerknutzer gelangen,
- Malware einschleusen,
- Log-in-Daten von Kunden-Accounts stehlen
- oder Computersysteme Ihres Netzwerks zweckentfremden.
Abgesehen von den wirtschaftlichen Folgen ist oftmals auch ein Imageverlust nicht auszuschließen, insofern Kunden direkt betroffen sind oder der Angriff öffentlich bekannt wird.
Wenn Sie sich dafür entscheiden, einen Pen-Test für Ihr Netzwerk durchzuführen, sollten Sie allerdings nicht auf eigene Faust Angriffe gegen die eigenen Computersysteme und Anwendungen starten, sondern die Dienste eines Experten in Anspruch nehmen. Die Tests setzen nämlich fachliche Kompetenz auf dem Gebiet voraus: Penetrationstests können eine unterschiedliche Intensität besitzen und bei falscher Durchführung schnell zu Komplikationen oder ernsthaften Schäden führen. Es gilt daher den perfekten Grad zwischen notwendigem Angriffsweg und vermeidbarer Ausnutzung der jeweiligen Schwachstelle zu finden. Zudem verspricht ein externer Tester, der nicht an Konzeption, Aufbau und Verwaltung des Netzwerks beteiligt war bzw. ist, aufgrund seiner Unbefangenheit und eines anderen Blickwinkels die besten Testergebnisse.
Jegliche Art von Penetrationstest setzt voraus, dass Sie der Besitzer des getesteten Netzwerks sind bzw. über die entsprechende Berechtigung verfügen. Die Zusammenarbeit mit einem externen Tester bedarf daher unbedingt einer vertraglichen Regelung, in der Dauer und Intensität des Pen-Tests sowie Datenschutzmaßnahmen etc. festgehalten sind.
Pen-Test: Diese Tools kommen zum Einsatz
Die Vielfalt an Netzwerk-Angriffsformen sorgt dafür, dass auch Penetrationstestern eine ganze Reihe verschiedener Werkzeuge zur Verfügung stehen. Dazu zählen z. B. Port-Scanner, Schwachstellen-Scanner, Sniffer, Paket-Generatoren oder Passwort-Cracker. Viele Tools wurden explizit für Sicherheitstests in Netzwerken entwickelt und sind daher auf ganz spezifische Testbereiche zugeschnitten. Während der Großteil der Programme aus dem Open-Source-Sektor stammt, finden sich auch einige kommerzielle Sicherheitsanwendungen, die in der Regel besser dokumentiert und mit einem umfassenden Nutzer-Support verbunden sind. Diese Tatsache kann durchaus von Vorteil sein, da es aufgrund der klar definierten Einsatzszenarien und Möglichkeiten der einzelnen Tools sehr wichtig ist, dass der Tester die Funktionen der genutzten Werkzeuge beherrscht.
Es gibt mittlerweile umfangreiche Tool-Sammlungen für Penetrationstests, die von erfahrenen Sicherheitsfachleuten zusammengetragen wurden. Diese Kollektionen arbeiten häufig auf der Basis einer stabilen Linux-Distribution, die sich über ein externes Speichermedium wie eine DVD oder einen USB-Stick ausführen lässt. Der Vorteil einer solchen Pen-Test-Distribution ist, dass sie ihrerseits gehärtet ist, alle wichtigen Tools in einer Oberfläche vereint sowie vorkonfiguriert und startbereit zur Verfügung steht. Zu den beliebtesten Lösungen zählt die 2007 erstmals veröffentlichte Kali-Linux-Distribution.
Ablauf eines Penetrationstests
Um einen erfolgreichen Pen-Test durchzuführen, sollten Sie zunächst ein klares Konzept erstellen. Klären Sie, welche Komponenten es zu testen gilt, welchen Zeitrahmen ein einzelner Test bzw. die gesamte Überprüfung Ihres Netzwerks haben soll und ob Sie alle notwendigen Werkzeuge zur Verfügung haben. Diese Vorbereitungsphase ist umso wichtiger, wenn Sie einen externen Tester mit dem Sicherheits-Check beauftragen und dieser einen Whitebox-Test realisieren soll. In diesem Fall ist es notwendig, dass Sie alle Informationen über Ihr Netzwerk und die teilnehmenden Systeme kommunizieren und vorhandene Dokumentationen weiterreichen. Anders verhält es sich bei einem Blackbox-Test, für den Sie ausschließlich die Zieladresse der jeweiligen Testobjekte kundgeben.
Die eigentliche Testprozedur lässt sich vor allem in die folgenden vier Bereiche einteilen:
- Überprüfung des Netzwerkkonzepts: Bereits in der Vorbereitungsphase kann ein Penetrationstester Ungereimtheiten oder konkrete Schwachstellen in der Konzipierung des Netzwerks oder der einzelnen Komponenten feststellen. Sind beispielsweise verschiedene Anwendungen mit mehreren Rechtegruppen konfiguriert, können diese schnell für Komplikationen sorgen und ein Sicherheitsrisiko für das gesamte Netzwerk darstellen, selbst wenn dieses und die einzelnen gehosteten Programme ausreichend geschützt sind. Einige dieser Fälle lassen sich bereits im Vorgespräch klären, andere wiederum sind erst durch einen praktischen Test belegbar.
- Test der Härtungsmaßnahmen: Kernpunkt eines sicheren Firmennetzwerks ist, dass die involvierten Systeme bestmöglich gehärtet sind. Beim Penetrationstest geht es folgerichtig auch darum, die unternommenen Härtungsmaßnahmen zu überprüfen. Dabei geht es einerseits um installierte Software wie das Betriebssystem, Systemdienste oder Nutzer-Applikationen, die immer auf dem aktuellen Stand sein sollten. Sind aus Kompatibilitätsgründen mit anderen Anwendungen ältere Versionen in Gebrauch, sind alternative Schutzvorkehrungen erforderlich. Zusätzlich spielen auch die Zugangs- und Authentisierungsvoraussetzungen für die einzelnen Systeme und Programme eine große Rolle. Hier beschäftigt sich der Pen-Test mit Themen wie den Zugriffsrechten, der Passwortnutzung und -verschlüsselung sowie der Frage, ob unberechtigten Personen der Zugang entsprechend verwehrt ist. Eine weitere Aufgabe ist es, den Nutzen existenter Schnittstellen und offener Ports sowie definierter Regelwerke, beispielsweise einer Firewall, zu überprüfen.
- Suche nach bekannten Schwachstellen: Es dauert im Allgemeinen nicht lange, bis entdeckte Software-Sicherheitslücken bekannt werden, weshalb Penetrationstestern die Angriffspunkte der untersuchten Testobjekte in der Regel geläufig sind. Dank der Versions- und Patchstände, die sie bei ihren Recherchen über den Härtungsgrad der Netzwerkkomponenten festgestellt haben, wissen sie daher schnell, welche Anwendungen ein Sicherheitsrisiko darstellen. Sollen viele Systeme in kurzer Zeit untersucht werden, lohnt sich der Einsatz von Schwachstellen-Scannern, die allerdings nicht immer zu einem exakten Ergebnis führen.
- Gezielter Einsatz von Exploits: Gewissheit darüber, ob sich gefundene Schwachstellen tatsächlich auch ausnutzen lassen, erlangt der Tester nur, indem er selbst einen entsprechenden Exploit einsetzt. Bei einer solchen Befehlsfolge handelt es sich in der Regel um Skripte, die von verschiedenen Internetquellen bereitgestellt werden, allerdings nicht immer sicher programmiert sind. Führt man einen solchen unsicheren Exploit aus, besteht die Gefahr, dass die getestete Anwendung bzw. das System abstürzt und im schlimmsten Fall sogar wichtige Speicherbereiche überschrieben werden. Hier sollte der Penetrationstester also darauf bedacht sein, nur nachweislich ungefährliche Skripte aus seriösen Quellen einzusetzen oder auf das Testen der Sicherheitslücke zu verzichten.
Alle Schritte und Ergebnisse des Pen-Tests sollte der Tester schriftlich festhalten. Welchen Bereichen er sich dabei widmet, wird im Vorhinein geklärt. So besitzen Sie die optimale Grundlage, um die einzelnen Schritte nachzuvollziehen und die Situation im Anschluss zu bewerten. Üblicherweise erhalten Sie vom Tester auch genaue Einschätzungen darüber, welche entdeckten Sicherheitsmängel das größte Risiko für Ihr Netzwerk darstellen. Anhand solcher Prioritätslisten können Sie den Systemschutz Schritt für Schritt optimieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt alle zwei bis drei Jahre eine erneute Prüfung, die neu entdeckte Schwachstellen und Angriffsmethoden miteinbezieht.
Die Vor- und Nachteile der komplexen Sicherheitstests
Homogene Großrechnerstrukturen gehören der Vergangenheit an. Die heutigen dezentralen IT-Strukturen – zusätzlich durch die direkte Anbindung von Partnern und Kunden über das Internet verstärkt – sorgen täglich für neue Sicherheitslücken und Fehlfunktionen, die Software-Hersteller mal schneller, mal langsamer beheben. Für einige Programme wird der Support gar komplett eingestellt, weshalb man einzig mit einem Verzicht auf selbige auf der sicheren Seite ist. Firewalls und Antivirenscanner ermöglichen es zwar, viele Schwachstellen vor externen Angriffen schützen, doch neue Lücken können diesen Sachverhalt schnell ins Gegenteil umkehren. Auch Sicherheits-Scanner sind ein nützliches Werkzeug, für komplex vernetzte Systeme letztendlich aber nicht ausreichend.
Hier spielt ein Penetrationstest seine Stärken aus: Zum einen geht er bei der Überprüfung der Systeme wesentlich mehr ins Detail als ein gewöhnlicher Sicherheits-Check, zum anderen ist es die elementare Zielsetzung bei einem solchen Test, das Zusammenspiel der einzelnen Komponenten zu überprüfen. Zieht man einen externen Tester für den Pen-Test hinzu, gewinnt man außerdem eine zusätzliche Meinung und eine andere Sicht auf das zugrundeliegende Sicherheitskonzept. Professionelle Penetrationstester sind speziell geschult und gehen ähnlich vor, wie es auch ein Angreifer tun würde. Die Ergebnisse zeigen Ihnen oftmals Schwachstellen in Ihrem Netzwerk auf, die Sie ansonsten wahrscheinlich niemals entdeckt hätten.
Die Zusammenarbeit mit einem externen Tester ist allerdings auch mit einem gewissen Risiko verbunden. Sie müssen davon ausgehen, dass selbiger während der Ausführung Einsicht in Interna bekommt. Ferner besteht immer die Möglichkeit, dass der Penetrationstest Schäden verursacht, die Sie im Nachhinein nicht mehr beheben können – auch, wenn Sie den Test persönlich durchführen. Zudem haben die Pen-Tests gegenüber anderen Sicherheitsmaßnahmen, die rund um die Uhr im Hintergrund laufen, den Nachteil, dass sie lediglich eine Momentaufnahme Ihrer Netzwerksysteme liefern. Aus diesem Grund sollten Sie eine Sicherheitsstruktur, die auf Basis eines Penetrationstests optimiert wurde, niemals zum Anlass für den Verzicht auf gängige Abwehrmaßnahmen nehmen.
Im Übrigen zählt das sogenannte Social Engineering nicht zu den Risiken, die ein klassischer Penetrationstest überprüft. Viele Dienstleister bieten die Überprüfung dieser menschlichen Sicherheitslücken in Unternehmen inklusive spezieller Schulungen aber optional an. Weitere Informationen zu diesem Thema finden Sie im folgenden Ratgeber.