Consulting > Penetrationstests

Penetrationstests

Die Simulation von Hackerangriffen ist eine praktische Maßnahme zur Qualitätssicherung der externen Absicherung.

Wir können die ausgewählten Systeme oder Anwendungen einem gezielten (Schein-) Angriff (Penetrationstest oder kurz Pen-Test) unterziehen und so Insider- oder Outsider-Angriffe simulieren. Das Spektrum der Zielsystemtypen für so eine Untersuchung ist sehr breit und reicht von Betriebssystemen über Middelwarekomponenten wie Webservern, SAP-Plattformen, u.a. bis hin zur Applikationsebene und Spezialplattformen wie Telefonanlagen.

Vor der Ausführung definieren wir in Abstimmung mit dem Kunden Module aus einem weiten Spektrum von denkbaren Maßnahmen:

  • Von der einfachen nicht-invasiven Schwachstellenbeobachtung, über das Ausnutzen und Dokumentieren von Sicherheitslücken, bis hin zur Dokumentation des Erfolgsgrades der Eskalationspläne und Gegenmaßnahmen.

p³ bietet eine große Vielfalt von Varianten eines solchen Tests und orientiert sich dabei an der Klassifikation und den Vorgaben des BSI. In jedem Fall stimmen wir grundsätzlich die Rahmenbedingungen im Vorfeld genau ab:

  • Informationsbasis
  • Umfang
  • Vorgehensweise
  • Technik
  • Ausgangspunkt
  • Aggressivität
Vorgehen beim einem Penetrationstest

Je nach Bedarf wird ein individueller Test entwickelt, der aus den fünf Phasen Vorbereitung, Informationsbeschaffung, Bewertung, Eindringversuche und Reporting besteht. Dabei kann die Wahl der Parameter sehr unterschiedlich ausfallen.

Bei einem Black-Box Test beispielsweise erhalten wir im Vorfeld nur öffentlich verfügbare Informationen über das zu untersuchende System, so dass ein Ergebnis auch darin besteht, darzustellen, welche Informationen im Weiteren ungewollt über den Systemaufbau von außen ableitbar sind.

Im Gegensatz dazu wird bei einem White-Box Test die verfügbare Information offen gelegt und der Ergebnisreport beschäftigt sich nur mit auch für den Auftraggeber neuen Erkenntnissen.

Die einzelnen Kriterien wie Informationsbasis, Aggresivität, Umfang, Vorgehensweise, Techniken und Ausgangspunkt des Tests werden dabei mit dem Kunden abgestimmt.

Szenarien

Grundlage des Tests sollte ein abgestimmtes Szenario sein, dessen Gefahrenpotential analysiert wird. Natürlich sind auch Kombinationen einzelner Szenarien denkbar.

Als Basis einer strukturierten Analyse dient in jedem Fall die konkrete Beschreibung solcher Angriffsszenarien damit Wahrscheinlichkeit, Motivation, Skill, Informationsmöglichkeiten u.a. abgeschätzt werden können.

Auf dieser Basis ist sowohl eine punktgenaue, als auch eine wirtschaftlich realisierbare Analyse durchführbar. In der Folge kann die Priorität und Angemessenheit von Gegenmaßnahmen beurteilt werden.

Mögliche Simulations-Szenarien
  • Angriff auf den Internet-Auftritt eines Unternehmens mit den Ziel, Integrität, Vertraulichkeit oder Verfügbarkeit zu kompromittieren.
  • Externer Besucher verbindet seinen Laptop mit dem internen Netz des Unternehmens, z.B. durch Nutzung des Netzanschlusses eines Druckers, mit dem Ziel, sich interne Unternehmensinformationen wie Mitarbeiterlisten, Unternehmensstrategien, Projektinformationen, u.a. zu verschaffen.
  • Interner Mitarbeiter versucht, sich Zugang zu einer Anwendung zu verschaffen, in der er regulär keinen entsprechend berechtigten Account hat, beispielsweise um vertrauliche Daten einzusehen.
  • Interner Mitarbeiter versucht eine „Privilegieneskalation“ in einer Anwendung, d.h. er versucht Funktionen in der Anwendung auszuführen, die ihm berechtigterweise nicht zur Verfügung stehen.
  • Externer Angreifer versucht eine Anwendung mit externer Anbindung für seine Zwecke auszunutzen, z.B. Nutzung eines Mail-Interfaces für den Versand gefälschter Meldungen oder einer IP-Telefonanlage für das kostenlose Routing eigener Gespräche oder das Mitschneiden von interner Kommunikation.