IT-Sicherheit und Penetrationstests Teil 1: Informationen sammeln und bewerten

Die Online-Kriminalität nimmt rasant zu und kriminelle Hacker stellen jedes Jahr neue Rekorde auf. Doch nicht nur die schiere Menge ist besorgniserregend, sondern insbesondere auch die Qualität der Angriffe auf IT-Systeme: Sie sind deutlich zielgerichteter und komplexer geworden. Um die eigenen Daten erfolgreich zu schützen, sind regelmäßige IT-Sicherheitsüberprüfungen unverzichtbar. In dieser Artikelreihe stellen wir Ihnen die Penetrationstests als Teil der Internet-Security-Beratung von //SEIBERT/MEDIA im Detail vor.

Dass die Gefahr eines digitalen Einbruchs allgegenwärtig und letztlich niemand davor gefeit ist, akzeptieren die meisten Unternehmen leider erst viel zu spät, nämlich dann, wenn der GAU bereits eingetreten ist. Das passiert inzwischen mit erschreckender Regelmäßigkeit: Kaum eine Woche vergeht ohne größere Security-Panne bei einem namhaften deutschen oder internationalen Unternehmen. Solche Vorfälle sind nicht nur lästig und kostenintensiv, sondern in vielen Fällen existenzbedrohend. Viel schwerer als der Verlust der Daten wiegt nämlich häufig der Vertrauensverlust seitens der Kunden.

Und ist man gar fahrlässig mit dem Thema Sicherheit umgegangen, kann das auch rechtliche Konsequenzen haben. Einen Überblick zu diesem Aspekt bietet der Artikel IT-Sicherheit: Warum Unternehmen Penetrationstests durchführen sollten (und eigentlich auch müssen).

Damit es gar nicht erst so weit kommt, sind Penetrationstests ein wichtiger Bestandteil der Security-Beratung von //SEIBERT/MEDIA/SYSTEMS. Doch was genau machen unsere Mitarbeiter mit Ihren Systemen und welche Garantien haben Sie, dass nichts schiefgeht?

Angebot, Vollmacht und Vertraulichkeitsvereinbarung

Am Anfang einer jeden Sicherheitsüberprüfung steht eine Feinabstimmung mit der Geschäftsleitung, dem technischen Personal und möglicherweise integrierten Drittdienstleistern wie z. B. Hosting-Anbietern. Ziel ist die Klärung der drei wichtigsten Faktoren:

  • Der Testgegenstand ist in der Regel ein Serversystem, das über seine IP-Adresse identifiziert wird oder eine Webseite mit der ihr eigenen URL.
  • Die Testabdeckung gibt an, welche Komponenten und Funktionen der Systeme bzw. Anwendungen untersucht werden sollen. Von der Überprüfung der Netzwerk-Infrastruktur bis hin zum Aufdecken von Lücken in der Webanwendung können individuelle Schwerpunkte gesetzt werden.
  • Die Testtiefe beschreibt – von niedrig bis höchste – in vier Stufen, wie viel Aufwand den einzelnen Untersuchungen zuteil werden soll. Je höher die Stufe, desto intensiver werden die Komponenten getestet und desto eher werden versteckte Fehler identifiziert.

Sind alle Fragen geklärt, werden die Ergebnisse in insgesamt drei Dokumenten festgehalten: Im Angebot werden die Testgegenstände, -abdeckungen und -tiefen detailliert aufgelistet. Eine Vertraulichkeitsvereinbarung verpflichtet beide Parteien zur Geheimhaltung aller erlangten Daten und Erkenntnisse. Und um den strengen rechtlichen Anforderungen an einen Penetrationstest gerecht zu werden, wird zusätzlich noch eine Vollmacht formuliert, in der die Rechte und Pflichten sowohl des Auftraggebers als auch des Auftragnehmers festgehalten werden. In diesem letzten und wichtigsten Dokument werden noch einmal Umfang, Zeitraum und Durchführung des Penetrationstests sowie Ansprechpartner beider Parteien für Notfälle festgeschrieben.

Öffentlich zugängliche Informationen sammeln

Ziel des Penetrationstests ist es, einen Hacker-Angriff möglichst realitätsnah zu simulieren, um so die Standfestigkeit der IT-Systeme bewerten zu können. Wie ein Krimineller, der es auf Ihre Informationen abgesehen hat, starten wir mit dem sog. Footprinting.

Dieses Lesen von Fußspuren bezeichnet im Umfeld der IT-Sicherheit die Informationsbeschaffung, die einem (professionellen) Angriff stets vorausgeht. Es erfolgt noch kein direkter Zugriff auf die Systeme und Anwendungen – stattdessen werden öffentlich zugängliche Daten gesammelt.

Typische Informationsquellen sind unter anderem:

  • Die Whois-Datenbank der zuständigen Regional Internet Registry
  • Die in den DNS-Servern hinterlegten Informationen
  • Frei verfügbare Webdienste wie etwa ServerSniff
  • Websites des Unternehmens, soziale Netzwerke und ähnliches

Keine der genannten Quellen wirkt für sich genommen sonderlich bedrohlich und viele öffentlich zugängliche Informationen sind sogar Pflichtangaben, die das Internet, wie wir es kennen, überhaupt erst möglich machen. Warum also sind solche Daten für die Bewertung der Sicherheit überhaupt von Bedeutung?

Die gesammelten Informationen aus- und bewerten

Am Anfang unserer Untersuchungen konzentrieren wir uns besonders intensiv auf den – oder besser die – DNS-Server, die für Ihr System bzw. Ihre Website zuständig sind. Wir wollen vor allem auf folgende Fragen eine Antwort liefern:

  • Gibt es mindestens zwei unabhängige DNS-Server? Lautet die Antwort “Nein”, besteht dringender Handlungsbedarf, um diesen Single Point of Failure auszumerzen. Andernfalls reicht ein einziger technischer Defekt bereits aus und alle Systeme wären von außen praktisch unerreichbar.
  • Ist der Server auf dem neuesten Stand oder verwundbar? Mithilfe spezieller Tools versuchen wir einerseits festzustellen, ob sich die Version des Servers ermitteln lässt und andererseits, ob es die aktuellste ist. Handelt es sich um eine alte Version mit Schwachstellen, besteht auch hier Handlungsbedarf.
  • Kann der komplette Zoneninhalt von jedermann ermittelt werden? Zwar sind redundante DNS-Server mit identischen Daten ein Muss, um Ausfallsicherheit zu gewährleisten, aber dennoch sollte nicht gleich jeder Interessierte einen kompletten Zonentransfer (AXFR) durchführen können.

Darüber hinaus betrachten wir auch eine Reihe kleinerer Details, die häufig vergessen werden und schnell Sicherheitsrisiken bilden. Zwei typische Risiken sind Subdomains und “Vertipper-Domains”:

  • Gibt es versteckte Subdomains, auf denen kritische Dienste laufen? Sind diese Dienste ausreichend geschützt oder besteht die “Sicherheit” allein darin, den Namen der Subdomain nicht öffentlich zu kommunizieren? Eine Taktik, die häufig als Security by Obscurity bezeichnet wird und enorm gefährlich ist.
  • Gibt es Domain-Namen, die dem Ihrer Webseite ähnlich sind, Ihnen aber nicht gehören? Solche “Vertipper-Domains” werden durch Typosquatter teils bewusst registriert, um die Kunden großer Unternehmen, die sich beim Eingeben des Namens geirrt haben, zu täuschen und um ihr Geld zu bringen.

Nachdem die initiale Informationsbeschaffung abgeschlossen ist und wir uns einen guten ersten Eindruck von Ihren Systemen machen konnten, gehen unsere Experten zur nächsten Phase des simulierten Angriffs über: Der Überprüfung des Serversystems mit den darauf laufenden Anwendungen.

Fazit und Ausblick auf Teil 2

Nochmals: IT-Sicherheit ist kein Produkt, das man erwerben kann und um das man sich dann nie wieder zu kümmern braucht. IT-Sicherheit ist ein fortlaufender Prozess und kann nur funktionieren, wenn alle Aspekte stets Beachtung finden.

Wer eine Firewall installiert, aber alle Daten auf einem einzigen zentralen Server ablegt, kann zwar verdächtige Datenpakete blockieren, wird aber bei einem Ausfall des Servers vollständig außer Gefecht gesetzt sein. Umgekehrt darf das Vorhandensein von Backup-Lösungen nicht zu Nachlässigkeit beim Umgang mit sensiblen Informationen verleiten.

Im zweiten Teil unserer Artikelreihe zu Penetrationstests von //SEIBERT/MEDIA zeigen wir auf, welche Gefahren ein schlecht konfiguriertes Serversystem in sich birgt und wie unsere Mitarbeiter mit einer Mischung aus White- und Black-Box-Hacking diesen Lücken im Rahmen eines Penetrationstests aufdecken.

Weiterführende Informationen

Haben Sie Fragen zum Thema IT-Sicherheit? Möchten Sie Risiken minimieren und Sicherheitslücken in Ihrem Unternehmen identifizieren und stopfen? Die erfahrenen IT-Experten von //SEIBERT/MEDIA/SYSTEMS beraten Sie gerne – bitte sprechen Sie uns unverbindlich an! Ausführliche Informationen finden Sie auch auf unserer speziellen Seite zum Thema Internet-Security-Beratung.

Der letztjährige Sicherheitsreport der IBM X-Force zu Trends und Risiken
Leitfaden zum Umgang mit dem Hackerparagrafen von dem BITKOM
BSI-Studie: "Durchführungskonzept für Penetrationstests"


Mehr über die Creative-Commons-Lizenz erfahren