Penetration Testing ist in aller Munde, jede IT-Firma bietet Penetration Tests an. Doch was ist eigentlich das Ziel eines Penetration Tests und was ist der Nutzen für den Kunden? In diesem Beitrag erklären wir, was ein Penetration Test ist und wann es wirklich dem Kunden einen direkten Nutzen bringt.
Risiko Management
Jedes Unternehmen betreibt ein Risiko Management und versucht alle unterschiedlichen Risiken mit verfügbaren Mitteln zu managen und nicht zuletzt zu reduzieren. Gemäss Definition gibt es vier verschiedene Arten mit Risiken umzugehen.
1. Bestehende Risiken umgehen (Risikovermeidung)
Dies bedeutet, dass auf risikobehaftete Aktivitäten verzichtet wird. Ein Beispiel hierzu wäre, eine Expansion in ein anderes Land unversucht zu lassen, um möglichen Risiken zu entgehen. Risikovermeidung im Bereich von Cyber-Kriminalität ist wohl einer der schlechtesten Ratgeber überhaupt. Insbesondere in Zeiten der digitalen Transformation von Unternehmen. Es lässt sich schlicht und einfach nicht umgehen.
2. Risiken werden an einen Dritten übertragen (Risikotransfer)
Risiken können an Dritte transferiert werden, sei dies in einem Outsourcing oder an eine Versicherung. Ein Cyber-Versicherungsabschluss ist heute weit verbreitet, jedoch wird Ihnen keine Versicherung die nicht-materiellen Kosten wie Kunden- und Lieferantenvertrauen, Reputation, Image, Marktwahrnehmung erstatten. Frage an Sie: Wie sicher sind Sie, dass in Ihrer Wohnung nie Feuer ausbrechen wird, auch wenn Sie eine Versicherung gegen Feuerschäden abgeschlossen haben?
3. Akzeptieren Sie das Risiko (Risikoakzeptanz)
Dem Unternehmen ist das Potenzial des Risikos und des möglichen Schadensausmasses bewusst und akzeptiert diese uneingeschränkt. Typischerweise sind Risiken, die akzeptiert werden, sehr gut einschätz- und berechenbar. Ein Beispiel ist das Parken im Parkverbot. Die Höhe der Busse ist definiert und das Risiko wird akzeptiert. Bei Cyber-Risiken-Themen wäre eine solche Methode mit fatalen Folgen behaftet und daher kein empfehlenswerter Weg der Risikobewältigung. Die Variablen, das Schadensausmass und die Eintretenswahrscheinlichkeit, können nur sehr schwer beziffert und messbar formuliert werden, ohne Anwendung quantifizierter Methoden.
4. Massnahmenorientiert (Risikominderung)
Aufgrund von vorliegenden Risikoanalysen werden priorisierte Massnahmen getroffen, um die Eintretenswahrscheinlichkeit oder das Schadensausmass einzudämmen. Solche Massnahmen werden in der Informationstechnologie Controls genannt. Im Bereich der Cyber-Sicherheit werden beispielsweise als Massnahmen Firewall-Systeme und Virenschutz Lösungen eingesetzt. Um die Wirksamkeit der umgesetzten Massnahmen (Controls) sicherzustellen, werden Audits in regelmässigen Abständen durchgeführt. Solche Audits sind beispielsweise Vulnerability Audits oder auch Penetration Test.
Der Penetration Test
Ein Penetration Test ist eine Methode, um die Wirksamkeit der getroffenen Massnahmen zu analysieren, die aus dem Risikomanagement stammenden Massnahmenkatalog getroffen werden. Vorausgehend eines sinnvollen Penetration Test findet vorzugsweise eine Schwachstellenanalyse mittels Vulnerability Audit statt.
Neben der Tatsache, dass viele den Unterschied zwischen Vulnerability Audit und Penetration Test nur bedingt verstehen, wird es schwer, die Vorgehensweise eines Hackers zu erläutern. Aus diesem Grund ergänzen wir unseren Artikel mit einer Vereinfachung der Definition.
Vulnerability Audit
Ein Vulnerability Audit wird für jede Art von «grundsätzlich» bekannten Schwachstellen durchgeführt. «Grundsätzlich» aus diesem Grund, da Unternehmen selbst bekannte, von Herstellern oder Sicherheitsforschern kommunizierte Schwachstellen bewusst oder unbewusst ignorieren. Auf jeden Fall handelt es sich bei einem Vulnerability Audit um alle marktbekannten Schwachstellen, die bei einem Audit erkannt werden und mit einfachen Mitteln, wie Updates und Patches behoben werden könnten. Technisch kann man ein Vulnerability Audit beispielhaft so erklären, als dass das Audit-Tool lediglich die Versionsnummern der Applikation mit der Schwachstellendatenbank vergleicht. Auf die Richtigkeit der durch die Applikation angezeigte Versionsnummer muss sich das Tool verlassen. Demzufolge kommt es in viele Fällen vor, dass die Tools unrichtige Schwachstellen als kritisch einstufen oder kritische Schwachstellen gar nicht erkennen. Eine fachkundige Nachbearbeitung sowie das «in Kontext für den Kunden setzen» der Schwachstellenanalyse ist wichtig und relevant, um dem Kunden auch den gewünschten Mehrwert zu geben.
Penetration Test
Ein Penetration Test ist ein weitgehend manueller oder teil-automatisierter Eingriff mit unterschiedlichen Methoden und Tools mit dem Ziel, die aus dem Vulnerability Audit gefunden Schwachstellen auszunutzen und neue, unbekannte, Schwachstellen zu finden. Ein qualitativ hochstehender Penetration Test kann aus den genannten Gründen einiges an Zeit in Anspruch nehmen. Technisch kann sich der Penetration Tester auf die Ausgabe der Versionsnummern aus dem Tool vielleicht verlassen, er wird jedoch aus seiner Erfahrung heraus sich auf die «lowest hanging fruits» konzentrieren. Schlussendlich agiert er wie ein Hacker und penetriert das System. Damit haben wir die Sicherheit, dass die Schwachstelle nicht nur per Versionsnummer «kritisch» ist, sonder auch effektiv ausgenutzt werden kann. Der Kunde hat dann direkt eine Massnahme, die er priorisiert umsetzen kann.
Vorsicht mit «coolen» Tools
Das Sprichwort «A fool with a tool is still a fool» kann im Cyber-Security Bereich weitreichende Folgen haben. Aktuell werden pro Tag im Durchschnitt 50 (!) neue Schwachstellen publiziert. Diese neuen Schwachstellen könnten durchaus Ihre Infrastruktur betreffen, oder auch erst Morgen, wenn die nächsten 50 publiziert wurden.
Erfahrungsgemäss treffen auch wir auf vorjährige «Penetration Tests», welche eigentlich Vulnerability Audits sind und der direkte Export aus dem Tool als Schlussbericht abgegeben wird. Der Kunde erhält einen 1000-seitigen Bericht, welchen er selbstverständlich nicht als korrigierende Massnahme einsetzen kann.
Hinzu kommt, dass viele Tools auch falsch angewandt werden. Ein immerwährendes Problem ist die Nutzung von nicht aktuellen Schwachstellen-Datenbanken. Wir ein Tool eingesetzt, welches standardmässig mit einer 90 Tage alten Datenbank genutzt wird, ist der Bericht nicht wirklich aussagekräftig, denn es fehlen 4’500 neue Schwachstellen der letzten 90 Tage.
Machen Sie sich als Auditor mit den Tools vertraut in einer kontrollierten Umgebung. Als Kunde dürfen Sie gerne nach der priorisierten Liste der Massnahmen fragen.
Warum bringt ein einzelner Penetration Test nichts?
Ein Penetration Test wird durchgeführt, wie oben beschrieben, um die korrekte Funktionalität der Risikomassnahme zu prüfen. Aus Compliance Sicht mag dies sinnvoll sein, einen solchen Test regelmässig, sprich einmal im Jahr, durchzuführen. Aber aus Sicht der Cyber-Risk-Managements und für den effektiven, nachhaltigen Schutz des Unternehmens, ist es durchaus sinnvoll, die Penetration Tests regelmässiger als nur einmal pro Jahr durch zu führen. Denn, wie oben beschrieben, gibt es pro Tag im Schnitt 50 neue Schwachstellen, es reicht nur eine davon, die kritisch für Ihre Infrastruktur ist – und diese Schwachstelle richtet sich mit Sicherheit nicht nach Ihrem Audit-Plan.
Eine hundertprozentige Sicherheit können wir nicht erreichen – aber wenn in regelmässigen Abständen jeweils die «lowest hanging fruits» entfernt werden, gehen wir zumindest in die richtige Richtung. Der Stand der Cybersicherheit ist immer noch vergleichbar mit der Geschichte der zwei Männer in der Wüste und dem Löwen: Man muss nicht vor dem Löwen davonrennen können, sondern nur schneller sein als der Andere. Es gibt genügend offene Scheunentore im Internet – seien Sie nicht eines davon!
Wir sind überzeugt – hack happens – die Frage ist nur wann!