Es ist an der Zeit, bei der Cybersicherheit in die Offensive zu gehen!

Da die Angriffsfläche immer größer wird und Unternehmen von Cyberangriffen geplagt werden, steigt zweifellos die Nachfrage nach Penetrationstests (auch bekannt als Pentesting und ethisches Hacking). Penetrationstests sind keine neue Vorgehensweise. Bereits 1967 kamen etwa 15.000 Sicherheitsexperten und andere Fachleute zu einer Konferenz zusammen, um zu erörtern, ob ein Eindringen in Kommunikationsleitungen möglich wäre.¹

Dies war gewissermaßen der Beginn des Penetrationstestverfahrens, bei dem Sicherheitsteams Angriffe auf ihre Infrastruktur durchführen, um Sicherheitslücken in Systemen, Netzwerken, Hardware, Software usw. zu finden. Obwohl sich die Methoden weiterentwickelt haben, besteht das Ziel weiterhin darin, Sicherheitslücken zu schließen und Sicherheitsvorkehrungen zu verbessern.

Unternehmen wissen, dass viele dieser Cyberangriffe oder Datenschutzverletzungen durch Angreifer bewerkstelligt werden, die eine oder mehrere bestehende Schwachstellen im System ausnutzen. Sie bemerken dies jedoch erst im Nachhinein, wenn ein Angriff bereits stattgefunden hat. Natürlich sind Penetrationstests ein guter proaktiver Ansatz, um Schwachstellen im System zu erkennen, bevor es zu einem Sicherheitsvorfall oder einer Datenverletzung kommt.
 

Datenschutzverletzungen sind mittlerweile alltäglich. So wurden 2023 bei etwa 2.800 Sicherheitsvorfällen mehr als 8 Milliarden Datensätze entwendet.² Datenschutzverletzungen können Unternehmen viel Geld kosten. Die durchschnittlichen Kosten einer Datenschutzverletzung lagen 2023 bei 4,45 Millionen US-Dollar.³ Können Datenschutzverletzungen durch offensive Sicherheitsansätze wie Penetration Testing vermieden werden? Die Antwort lautet ganz klar ja. 

Einige der häufigsten Gründe für Datenschutzverletzungen sind schwache und nicht funktionierende Authentifizierung, nicht gepatchte Software, falsch konfigurierte Dienste und Anwendungen, unsichere APIs usw. Mit Penetration Testing können diese Probleme im Voraus erkannt werden. Probleme wie unzureichende Authentifizierung und fehlerhafte Zugriffskontrolle mögen unbedeutend erscheinen, können aber katastrophale Schäden verursachen.
 

2019 war die First American Financial Corporation, ein US-amerikanisches Finanzdienstleistungsunternehmen, von einer Datenschutzverletzung betroffen, bei der etwa 885 Millionen sensible Dokumente offengelegt wurden.⁴ Diese Dokumente betrafen die Kontonummern von Kunden, Kontoauszüge, Hypothekenunterlagen usw. 

All diese Dokumente waren auf einer Seite der Website des Unternehmens gespeichert und für den Zugriff durch bestimmte Benutzer bestimmt. Allerdings konnte jeder, dem es gelang, den Link zu dieser Seite zu finden, an diese sensiblen Kundendaten gelangen. Dies ist ein einfacher Fall eines Authentifizierungsproblems, das ausgenutzt wurde. 2023 schloss das Unternehmen einen Vergleich in Höhe von 1 Million Dollar mit dem New York State Department of Financial Services (DFS).

Equifax, eine weiteres US-amerikanisches Kreditauskunftsbüro, erlitt 2017 aufgrund einer Sicherheitslücke in einem Webportal eine Datenpanne, die sie 1,4 Milliarden Dollar an Vergleichszahlungen kostete. mehr darüber.

Pentesting-Tools hätten die Sicherheitsschwachstellen frühzeitig aufdecken und die schädlichen Folgen verhindern können. 

Penetrationstests werden in der Regel schrittweise vom Sicherheitsteam durchgeführt, wie im Folgenden erläutert:

1. Planung und Erkundung: Das Ziel der Penetrationstests verstehen – welche Systeme müssen ins Visier genommen werden, welche Sicherheitswerkzeuge müssen verwendet werden usw.
2. Scannen: Systeme und Netzwerke zur Ermittlung von Schwachstellen scannen.
3. Zugang erlangen: Eine oder mehrere Schwachstellen ausnutzen, um in das System einzudringen.
4. Den Zugang aufrechterhalten: Versuchen, im System unentdeckt zu bleiben.
5. Analyse und Berichterstattung: Schwachstellen in den Systemen, wie sie ausgenutzt werden können und andere Details analysieren.

Abgesehen von der Identifizierung von Schwachstellen führen Unternehmen Penetrationstests aus verschiedenen anderen Gründen durch, z. B. um die Effektivität der vorhandenen Sicherheitskontrollen zu bewerten, um Compliance-Anforderungen zu erfüllen und um Cybersicherheitsrisiken zu handhaben und zu mindern. Dies schafft Vertrauen bei Anspruchsgruppen und Kunden. 

Penetrationstests sind etwas anderes als Schwachstellenanalysen. Die Schwachstellenanalyse dient lediglich dazu, Sicherheitslücken in den Systemen zu ermitteln, während Penetrationstests darauf abzielen, diese Schwachstellen auszunutzen und die Auswirkungen des Angriffs sowie die Wirksamkeit der Sicherheitskontrollen zu bestimmen.

Penetrationstests werden durchgeführt, um verschiedene Aspekte zu bewerten, z. B. Netzwerke, Webanwendungen, APIs, drahtlose Netzwerke, Social Engineering (zur Überprüfung von Schwachstellen im menschlichen Verhalten), physische Penetration, Red Team (Simulation eines vollwertigen Angriffs unter realen Bedingungen) usw. 

Diese Aspekte werden getestet, indem Angriffe sowohl von außerhalb als auch von innerhalb des Unternehmens gestartet werden. Je nachdem, welchen Zugang und welche Informationen der Penetrationstester erhält, gibt es drei Kategorien.

1. White-Box-Tests
   Diese Art von Tests wird durchgeführt, um Schwachstellen aus der Sicht eines Insiders zu ermitteln. Sie ermitteln, wie jede Person mit Zugang zu internen Systemen potenziell Schaden anrichten kann. Sie decken Schwachstellen wie Programmierfehler, unsichere Konfigurationen, die Struktur des internen Netzwerks usw. auf. 
2. Black-Box-Tests
   Diese Tests werden ähnlich wie ein echter Cyberangriff von außen aus der Sicht eines Angreifers durchgeführt, ohne dass der Tester Systemzugriff oder systembezogene Informationen erhält. Durch Black-Box-Tests können die Tester Schwachstellen im Zusammenhang mit Injection-Angriffen, DDoS, Webanwendungsproblemen, Serverfehlkonfigurationen, Authentifizierung und fehlerhafter Zugriffskontrolle usw. finden. 
   So ist zum Beispiel eine fehlerhafte Zugriffskontrolle kein ungewöhnliches Problem. 2021 berichtete das OWASP, dass 94 % der getesteten Anwendungen Probleme mit der Zugriffskontrolle aufwiesen.⁵ Bedingt durch eine fehlerhafte Zugriffskontrolle könnten Benutzer Informationen sehen, die sie nicht sehen sollen. Es gibt noch weitere Folgen, wie z. B. unbefugter Zugriff, Rechteausweitung, Datenlecks, Nichteinhaltung von Vorschriften und vieles mehr. 
   Im Fall der Datenpanne bei Equifax wurde eine Schwachstelle im Webportal ausgenutzt. Etwa 143 Millionen Menschen waren von dieser Datenpanne betroffen. Solche bestehenden Schwachstellen können durch Penetrationstests ermittelt werden. In diesem speziellen Fall können Black-Box-Tests sehr nützlich sein.
3. Grey-Box-Tests
   Bei dieser Art von Tests erhält der Tester einige Informationen über die Systeme. Mit diesem Teilwissen kann er versuchen, Schwachstellen nicht nur auf der Programmierebene, sondern auch auf der Funktionsebene zu finden – was einen Mittelweg zwischen White- und Black-Box-Tests darstellt. 

Allerdings gibt es bei manuellen Penetrationstests einige Herausforderungen.

1. Zeitaufwendig: Bewertungen der Sicherheitsvorkehrungen und gründliche manuelle Validierungen können mitunter mehrere Monate dauern.
2. Ressourcenintensiv: Unternehmen benötigen qualifizierte Fachleute, die richtigen Werkzeuge und ein Budget. 
3. Fehleranfällig: Manuelle Penetrationstests sind anfällig für Fehler, da Sicherheitsteams Schwachstellen übersehen können. Der manuelle Ansatz erzeugt auch viele falsch-positive und falsch-negative Ergebnisse.
4. Begrenzte Reichweite: Nicht alle Systeme oder Angriffsflächen werden abgedeckt, weil Tester nicht testen, was sie nicht wissen oder sehen, und daher manchmal nicht ausreichend gründliche Penetrationstests durchführen.
5. Uneinheitlich: Fachleute verwenden unterschiedliche Methoden, was zu Ergebnissen führt, die den Status quo der Schwachstellen und der Sicherheitsvorkehrungen nicht vollständig widerspiegeln.
6. Nicht skalierbar: Für Unternehmen, die mit modernen CI/CD-Strategien (Continuous Integration/Continuous Deployment) wachsen, lassen sich manuelle Penetrationstests mit begrenzten Ressourcen nur schwer skalieren.
7. Verfügbarkeit von Fachkompetenz: Aufgrund der Komplexität der Tests gibt es nicht viele hochqualifizierte Pen-Tester auf dem Markt, was zu einem Mangel an Fachkräften führt.
8. Kosten: Die meisten Unternehmen benötigen externe Fachleute und Werkzeuge, um umfassende Penetrationstests durchzuführen. Aufgrund des Fachkräftemangels sind die Preise für die benötigten Fachkräfte hoch, was das Ganze sehr kostspielig macht.

Diese Nachteile manueller Penetrationstests sind der Grund, weshalb Unternehmen sich für Automated Penetration Testing entscheiden. 
 

Außerdem wird eine Wiederholbarkeit ermöglicht, so dass Unternehmen routinemäßige Bewertungen durchführen können. Durch die Möglichkeit, kontinuierlich zu scannen und zu überwachen, können Unternehmen neue Schwachstellen, veraltete oder ungepatchte Anwendungen, Fehlkonfigurationen, schwache Authentifizierung, falsche Zugriffskontrollen usw. aufdecken. Diese können behoben werden, um minimale Unterbrechungen sowie Geschäftskontinuität zu gewährleisten. Unternehmen können außerdem durch detaillierte Analyse- und Berichtsfunktionen Einblicke gewinnen. Die Berichte erstellen auch ein Systemrisikoprofil, indem sie die Schwachstellen nach ihrem Schweregrad einstufen. 

Unternehmen können Automated Penetration Testing in großen Infrastrukturen einsetzen, ohne sich Gedanken über Skalierbarkeit und Abdeckung machen zu müssen. Dieser Testansatz ist zudem eine kostengünstige Alternative, da die Unternehmen nicht viel Zeit und Geld in die Einstellung qualifizierter Sicherheitstester investieren müssen. 

Automated Penetration Testing macht menschliches Eingreifen zwar nicht gänzlich überflüssig, aber der Aufwand ist geringer, so dass sich die Sicherheitsteams auf andere wichtige Aufgaben konzentrieren können. 

Reconnaissance: Automatisierte Tools sammeln Informationen über das Zielnetzwerk, Systeme, Anwendungen, Einstiegspunkte und Schwachstellen.

Scanning: Scanner werden systematisch eingesetzt, um die Zielumgebung auf offene Ports, Dienste und Schwachstellen zu untersuchen.

Enumeration: Automatisierte Tools berechnen Systemdetails, wie z. B. Benutzerkonten, Netzwerkfreigaben und Konfigurationen, um den Umfang potenzieller Angriffe weiter einzugrenzen.

Exploitation: Skripts werden eingesetzt, um Schwachstellen auszunutzen und unbefugten Zugriff zu erlangen, Befehle auszuführen und Systemressourcen zu manipulieren, wobei reale Angriffsszenarien nachgeahmt werden.

Post-Exploitation: Weitere Informationssammlung, Rechteausweitung und Aufrechterhaltung des Zugriffs auf kompromittierte Systeme.

Reporting: Erstellung detaillierter Berichte über die Ergebnisse des Automated Pentesting. Die Berichte nennen außerdem den Schweregrad, Empfehlungen für Abhilfemaßnahmen sowie eine Prioritätenliste.

Alle diese Phasen werden mithilfe automatisierter Tools realisiert. Diese Tools bieten einen Rahmen für das Entwickeln, Testen und Ausführen von Exploits gegen die Zielsysteme. Einige dieser Tools verfügen auch über eine umfangreiche Datenbank mit bekannten Schwachstellen, wodurch Automated Pentesting sehr effektiv wird. Sie können Schwachstellen im Zusammenhang mit SQL-Injections, Cross-Site-Scripting (XSS), Server-Fehlkonfigurationen usw. aufdecken.

Einige der beliebtesten Tools für Automated Penetration Testing auf dem Markt sind unter anderem RidgeBot, Metasploit, Nessus, OpenVas, Burp Suite, Armitage, Nmap, SQL Map und ZAP.

Unternehmen setzen zunehmend auf Automated Pentesting, um proaktiv Schwachstellen in ihren Systemen zu erkennen und die Risiken von Cyberangriffen und Datenschutzverletzungen zu minimieren. Sie wollen ihre Sicherheit verbessern, die Konformitätsrate erhöhen und ihre Daten durch offensive Sicherheitsstrategien schützen. Schäden wie finanzielle Verluste, Reputationsverluste und Regresspflichten können durch solche Sicherheitskonzepte vermieden werden.
 

Mit unserer Erfahrung und unserem Fachwissen können wir umfassende Penetrationstests für Netzwerke und Webanwendungen durchführen. Nach den Tests erstellen wir einen technischen Bericht und einen Executive Report mit unseren Empfehlungen, die Ihnen helfen, die nächsten Schritte zu priorisieren. Unsere Sicherheitsexperten sind Offensive Security Certified Professionals (OSCP) und halten sich an Best Practices der Branche sowie an gesetzliche Vorgaben. Außerdem folgen wir dem MITRE ATT&CK-Rahmen für Standardisierung, Mapping, Emulation von Bedrohungen, Risikobewertung und kontinuierliche Verbesserung.

Schaffen Sie mit uns Vertrauen in eine offensive Cybersicherheitsstrategie. Sprechen Sie mit uns, um mehr zu erfahren.

Für ausführliche Informationen laden Sie den Flyer herunter.

¹ The History Of Penetration Testing, 2019, Infosec Institute
² List Of Data Breaches, 2024, IT Governance
³ Cost Of Data Breach, 2023, IBM
⁴ Artikel First American Financial Data Leak, 2019, Forbes
⁵ Broken Access Control Report, 2021, OWASP