29. Aug. 2022
Welches Security-Assessment sollten Unternehmen durchführen?
Von Stephan Reinert, Leichlingen
Reicht ein Schwachstellenscan oder muss es doch ein Penetrationstest sein? Insbesondere wenn ein Unternehmen noch nie ein technisches Security-Assessment (z. B. Penetrationstest) durchgeführt hat, gibt es viel Fehlinformationen zu der Thematik und einen Fokus auf die falschen oder nur einen kleinen Teil der Cyberrisiken.
Ein manueller Penetrationstest durch einen erfahrenen Tester, sollte je nach Kritikalität der Anwendung/des Netzwerks in jedem Fall regelmäßig erfolgen. Als Best-Practice empfiehlt es sich internet-exponierte Systeme und interne Systeme mit einer hohen Kritikalität (z. B. das Windows Active Directory oder Systeme, die Kundendaten verarbeiten) jährlich prüfen zu lassen. Interne Systeme mit einer mittleren bis geringen Kritikalität, können etwa alle drei Jahre geprüft werden. Nur dadurch kann die Wirksamkeit von Sicherheitsmechanismen und -prozessen anhand neuster Angriffstechniken evaluiert und Schwachstellen identifiziert werden.
Bei technischen Security-Assessments kann allgemein zwischen den drei folgenden Typen unterschieden werden:
- Schwachstellenscan: Hier prüft ein automatisiertes Tool, welche Version ein bestimmter Dienst anbietet und welche Version der Software am aktuellsten ist. Anhand des Gaps wird ermittelt, ob und welche Schwachstellen vorhanden sind. Ein automatisierter Schwachstellenscan erfordert immer manuelle Nacharbeit und sollte Bestandteil eines vollständigen Vulnerability-Management-Prozesses sein.
- Penetrationstest: Der klassische Penetrationstest (oder kurz Pentest) ist ein vollständig manuell durchgeführter Test gegen eine Webapplikation, ein Computersystem, ein internes Computernetzwerk etc.
- Das Red Team Engagement: Die Königsdisziplin, sowohl für die Tester als auch für das zu testende Unternehmen. Dabei wird eine vollständige Angreifer-Simulation durchgeführt, die als Ziel hat, von außen in ein Unternehmensnetzwerk vorzudringen und dort die höchstmöglichen Berechtigungen zu erlangen.
Weitere technische Assessments wie Code-Reviews von selbstentwickelten Webanwendungen oder Konfigurationsprüfungen von Systemen, sind je nach Anwendung und System ebenfalls sinnvoll.
Das Ziel sowie die Vorgehensweise sind je nach Security-Assessment unterschiedlich. Bei einem Red Team Engagement beispielsweise geht es nicht darum möglichst jede Schwachstelle zu finden, sondern viel mehr darum: Erkennt die interne IT den Angriff und werden die richtigen Gegenmaßnahmen getroffen, um diesen Angriff abzuwehren?
Wer lösungsorientiert tiefer ins Thema einsteigen möchte, kann am Seminar „Security Assessments - Motivation, Voraussetzungen, Planung und Vorgehensweise“ am 12. September 2022 teilnehmen.
Stephan Reinert ist als Security Resulter bei der @-yet GmbH mit den Schwerpunkten Planung und Durchführung von IT-Sicherheitsüberprüfungen und allgemeine Informationssicherheitsberatung tätig. Er verfügt über mehr als fünf Jahre Erfahrung als Berater und Auditor im Bereich Informationssicherheit/IT-Security und verfügt unter anderem über die Qualifikation „Offensive Security Certified Professional“ (OSCP).
