Mit <kes>+ lesen

Pentest 2020

2009 orakelte Brian Chess in der über den bevorstehenden Tod des Penetrationstests in seiner bekannten Form – Sebastian Schreiber widersprach und prognostizierte dem Totgesagten noch ein langes Leben. Nach elf Jahren schauen wir gemeinsam zurück und in die Zukunft – mit Seitenblicken auf künstliche Intelligenz und DevOps.

Lesezeit 9 Min.

Wer in der schnelllebigen IT auf Wandel setzt, hat normalerweise gute Chancen zu gewinnen – doch manches ist beständiger als man vielleicht denkt. Brian Chess, Mitbegründer und damaliger Chief Scientist von Fortify Software, hatte 2009 ausgerufen „Der Pentest ist tot – lang lebe der Pentest!“ [1]. Statt als selbstständiges Angebot sah er den Penetrationstest schon in Kürze nur noch als „spezielle Funktion eines umfassenderen Produkts – der eigenständige Pentest verschwindet und wird fortan Teil einer ganzheitlichen Sicherheitslösung“. Denn Chess erwartete, dass Unternehmen mehr Geld und Aufwand investieren würden, um von vornherein korrekteren Code zu entwickeln, wodurch das nachträgliche Testen auf Schwachstellen an Gewicht verlieren würde.

Sebastian Schreiber, Gründer und Geschäftsführer der SySS GmbH, setzte auf die Kontinuitätshypothese und bescheinigte dem „Patienten Pentest“ beste Gesundheit und ein unverändert hohes Marktwachstum. Die Entwicklung neuer Software richte sich „(immer noch) eher gegen ein Mehr an Sicherheit“, da der Markt bei steigender Komplexität weiterhin auf schnelle Entwicklung und viele Features setze. Verbesserungen der Code-Qualität würden nur möglich, wenn sich Entwickler und (externe!) Penetrationstester die Hand reichen. Qualitätssicherungsmethoden von außen ins Innere zu verlagern, sei hingegen nicht hilfreich.

Rückblick

Zum Beginn einer neuen Dekade hat die <kes> nun noch einmal mit den beiden Experten gesprochen und gefragt, wie sie die Entwicklungen der letzten elf Jahre im Hinblick auf Security im Allgemeinen und Pentests im Besonderen beurteilen. Chess zeigte sich in gewissem Maße enttäuscht, auch wenn es durchaus positive Entwicklungen gegeben habe: „Vor elf Jahren waren Penetrationstests für viele Organisationen gleichzeitig Anfang und Ende der Applikationssicherheit. Das hat sich ein ganzes Stück geändert: Mittlerweile ist es erheblich üblicher, dass Pentests nur noch ein Element eines größeren Application-Security-Ansatzes darstellen.“ Mehr Unternehmen verstünden heute, dass es um mehr geht als nur grundlegende Anforderungen zu erfüllen und zu auditieren – vielmehr müssten sie darauf hinarbeiten, sichere Software zu produzieren. Dennoch habe es wirklich große Veränderungen nur in stark regulierten Bereichen gegeben. „Ich hatte eine Zukunft vor Augen, in der Pentests erheblich stärker in Entwicklungsaktivitäten integriert sein würden – das ist zum Teil auch geschehen (vgl. etwa [2]), aber längst nicht in dem Maß, das ich erhofft hatte“, fasst Chess zusammen.

Tatsächlich sei wirklich gute Programmierung weiterhin so teuer, dass sich dies nur große Organisationen leisten können, unterstreicht Schreiber. Gleichzeitig habe der Siegeszug der Smartphones IT quasi in die Hosentaschen und das Leben aller Menschen gebracht: „Hauptspeicher, Rechenleistung, aber insbesondere Vernetzung sind enorm gewachsen. Internet und IT sind allgegenwärtig und durchziehen fast alle Aspekte von Berufsleben und Freizeit. Systeme, Netze und Services haben enorm an Komplexität gewonnen und sind eigentlich nicht mehr beherrschbar“, mahnt Schreiber. Schleichend seien auch die Abhängigkeit von IT sowie die Bedeutung von IT-Security gestiegen. Immerhin habe die Zusammenarbeit von Entwicklern und Pentestern in der Vergangenheit durchaus funktioniert. Der Markt für Penetrationstests ist seiner Einschätzung nach kontinuierlich weiter gewachsen: „IT-Sicherheitskonzepte haben hohe Priorität und selbstverständlich sind Penetrationstests ein wichtiger Baustein darin, denn keine andere Methode spürt Schwachstellen so wirkungsvoll und wirtschaftlich auf wie diese.“

Einblick

Pentests seien somit weiterhin essenziell, um ein Lagebild über den Zustand von Unternehmens-IT zu erstellen. Dabei kommen leider nach wie vor dieselben Schwachstellen ans Tageslicht wie ehedem: schlechte Software, fehlende Updates, mangelhafte Konfiguration, schwache Passwörter, unverschlüsselte Datenspeicher et cetera. Auf der abstrakten Ebene haben sich auch Penetrationstests selbst nicht verändert: Findige Pentest-Teams greifen Systeme an, identifizieren Schwachstellen und liefern dem Auftraggeber Empfehlungen zu ihrer Behebung.

„Betrachtet man allerdings die Details, so haben sich Penetrationstests stark weiterentwickelt“, sagt Schreiber: „Red-Teaming-Penetrationstests gewinnen an Bedeutung (bes. durch den neuen Tiber-Standard [3]), zur Bewertung von Schwachstellen wurden verschiedene Metriken entwickelt, es finden viele Embedded-Penetrationstests statt, Tests gegen Cloud-Systeme haben sich geändert und Penetrationstests gegen SAP-Systeme sind eine völlig neue Prüfungsgattung.“ Darüber hinaus erfordern Penetrationstests gegen agile Umgebungen spezifische Herangehensweisen.

„Jeder, der in einen Software-Lebenszyklus eingebunden ist, hat heute eine bessere Vorstellung von der Bedeutung der Sicherheit – doch zur gleichen Zeit hat der DevOps-Ansatz die Change-Rate erhöht und die Cloud sorgt für mehr Angriffsfläche“, gibt Chess zu bedenken: „Wir haben es nicht geschafft, irgendeine Verwundbarkeits-Kategorie auszumerzen, aber durch mobile Systeme und das Internet of Things sind neue Fronten entstanden, sodass es nun mehr Fallgruben als je zuvor gibt.“ Traditionelle Pentests hätten hier allerdings etwas an Bedeutung verloren: Schließlich sei es wenig hilfreich einige Male pro Jahr zu testen, wenn es mehr oder weniger jeden Tag neuen Code gibt. Als positiv sieht Chess den zunehmenden Einsatz von Bug-Bounty-Programmen an, die vielen Unternehmen einen besseren Zugang zu Security-Testern gegeben hätten.

Bezüglich der Kosten der Programmierung ist Chess enttäuscht, dass „wir keinen Weg gefunden haben, gute Sicherheit mit einem kleineren Budget zu erreichen.“ Große Unternehmen geben hier weiterhin viel mehr Geld aus und regulierte Branchen haben noch immer die Nase vorn – „wenn auch vielleicht mit weniger Abstand als früher“. Als gutes Beispiel nennt Chess den jüngsten Aufschrei angesichts von Sicherheitsproblemen im Videokonferenzdienst Zoom: „Das hat verdeutlicht, dass die Menschen heute gute Security von mehr als nur den Banken erwarten.“ Auch in den Lieferketten fordern große Unternehmen mehr Sicherheit ein, die somit auch bei kleineren Anbietern zum Thema werde: „Unglücklicherweise fehlen vielen dieser kleineren Lieferanten die Ressourcen oder Erfahrungen, um zu wissen, was zu tun ist. Daher hat all das bislang eher zu einem Risikotransfer von den Großen auf Kleinere geführt, aber die Sicherheit als solche kaum verbessert.“

In Bezug auf die Bedeutung und Möglichkeiten von Pentests gebe es ohnehin nur wenig Unterschiede zwischen Branchen, Unternehmensgrößen und (geografischen) Standorten, wirft Schreiber ein: „TCP/IP ist nicht von der Region abhängig und Active Directory gibt es quasi überall.“ Freilich existierten Ausnahmen: „Embedded-Pentesting macht natürlich nur da Sinn, wo Embedded Systems zum Einsatz kommen, etwa bei smarten Küchengeräten oder auch in Kraftfahrzeugen – und Penetrationstests für Operational Technology (OT) finden nur dort statt, wo auch produziert wird.“ Besonderheiten seien ansonsten vor allem in der Finanzdienstleistungsbrache zu beobachten – etwa hinsichtlich von Branchenstandards und typischen Produkten.

Generell ergab sich im Gespräch der Eindruck, dass heute durchaus mehr für die Sicherheit getan wird als zuvor – auf einer absoluten Skala könnte diese somit eventuell einen besseren Wert erzielen als früher. Da sich jedoch gleichzeitig Bedeutung, Komplexität und Vernetzung der zu schützenden Systeme weiter deutlich erhöht haben, bleibt aus der Sicht des Risikomanagements im Endeffekt kein Sicherheitsgewinn übrig.

Ausblick

Mit der wachsenden Bedeutung der IT wuchs auch die Bedeutung aufgetretender Sicherheitslücken; doch die heute fast schon alltäglichen Schlagzeilen zu Datenschutzbrüchen scheinen kein nennenswertes Umdenken bewirkt zu haben. Braucht es einen Megavorfall oder eine „digitale Pandemie“, um unsere Gesellschaft aufzurütteln? Chess gibt sich hier ernüchtert: „Jahrelang habe ich mit jedem neuen Vorfall, der wieder eine Größenordnung schlimmer war als der vorige, gedacht: Das ist es! Jetzt müssen die Leute einfach aufwachen! Aber das ist nie passiert. Ich denke schon, dass Schlagzeilen mit der Zeit die öffentliche Meinung verändern, aber ich warte nicht länger darauf, hier einen großen Sprung zu erleben.“

„Ich kann mir sehr gut vorstellen, dass Penetrationstests zukünftig generell verpflichtend sein werden“, folgert Schreiber. „In machen Branchen (z. B. bei Banken) ist das bereits der Fall. Ich warne aber davor, das exakte Vorgehen zu normieren: Der Vorteil des Penetrationstests ist ja gerade, dass keine Prüflisten abgearbeitet werden, sondern dass man mit Kreativität ans Werk geht, ausgetretene Pfade verlässt und sich unerwartet verhält. Denn dies tun die Angreifer ja auch – und denen wollen wir einen Schritt voraus sein!“

Rolle der künstlichen Intelligenz

Dass die künstliche Intelligenz (KI) uns dabei hilft, sieht Schreiber auf absehbare Zeit nicht: „Die letzte Erfindung des Menschen wird die wahrhaft intelligente Maschine sein – ab diesem Zeitpunkt werden sämtliche Innovationen durch diese Maschine/n getätigt. Momentan ist es noch nicht so weit – und ich sehe keine Maschinen, die ansatzweise intelligent im Sinne von Komplexität und Flexibilität sind. Gerade für Penetrationstests benötigt man aber tiefes Verständnis und Kreativität – genau das sind Eigenschaften, die Computer nur sehr schwer simulieren können. Im Endeffekt können Scanner und Tools uns daher momentan nur einfache, repetitive Aufgaben abnehmen, aber keinen Durchbruch bewirken.“ Auch Chess hat an dieser Stelle wenig Hoffnung: „Wie alle Softwareanbieter sind auch Securityunternehmen gespannt auf das Potenzial der KI, aber Ergebnisse fehlen bislang weitestgehend. Dennoch beeilen sich alle, KI-Features einzubauen. Ich wage hier eine Vorhersage: In der kommenden Dekade wird KI mehr Sicherheitsprobleme verursachen als lösen! Machine-Learning in den Softwareentwicklungsprozess einzubinden ist nicht einfach – und wird neue, breite Angriffswege eröffnen.“

Zukünftige Rolle der Penetrationstests

Für Schreiber stehen die Zeichen weiter auf Wachstum – im Bürogebäude, das er für seine Firma gebaut hat, bleibt noch Kapazität für mehr als eine Verdopplung seiner jetzigen 130 Mitarbeiter und daneben sei noch reichlich Platz für weitere Bauabschnitte. „Meine Planung zeigt, dass ich nach wie vor fest von der Leistungsfähigkeit von Penetrationstests überzeugt bin. Selbstverständlich wird es neue Techniken, neue Schwachstellen, neue Arbeitskulturen et cetera geben und meine Aufgabe ist es, die SySS GmbH hierauf vorzubereiten und die Dienstleistung weiter zu entwickeln und zu gestalten.“

Chess fragt sich, ob die relative Bedeutung von Pentests innerhalb des gesamten Security-Budgets nachlassen wird, sieht aber auch klare Chancen für neue Formen: „Crowdsourced Penetration-Testing ist eine natürliche Nebenerscheinung von Bug-Bounty-Programmen. Das wird nicht alle Probleme lösen, aber dabei helfen, die Menschen weg von sporadischen Tests und hin zu einer Mentalität kontinuierlicher Sicherheitsprüfungen zu bewegen.“

Zusammenfassender Blick in die Zukunft

Brian Chess gibt sich weiterhin hoffnungsvoll: „Die Komplexität und Schlagzahl der Änderungen in Code werden weiterhin wachsen – dasselbe gilt aber auch für die Bedeutung der Sicherheit. Meine Hoffnung ist es, dass Entwickler hierauf die DevOps-Sichtweise anwenden: Sicherheitsprobleme und Verwundbarkeiten verlangsamen den Release-Prozess, ergo müssen sie vermieden werden. Eine Betonung der Automatisierung wird dabei helfen, die Kosten der Security in den Griff zu bekommen. Und ein formeller Pentest wird zunehmend dieselbe Rolle einnehmen wie ein Finanz-Audit – dessen Prüfer zeigen den Unternehmen nicht, wie sie die Buchhaltung machen müssen, sondern beglaubigen nur, dass alles in Ordnung ist.“

„In den kommenden 10 Jahren werden Digitalisierung, Automatisierung und eventuell auch KI weiter voranschreiten. Mehr Aufgaben und Entscheidungen werden von IT unterstützt – oder sogar übernommen. Es wird zu Vorfällen aller Art kommen und solche Vorfälle werden auch erhebliche Schäden verursachen. Maßnahmen im Bereich Cybersecurity werden getroffen werden müssen und Penetrationstests werden hier einen kleinen, aber wichtigen Anteil haben. Ohne Digitalisierung keine Zukunft. Ohne IT-Sicherheit keine Digitalisierung und ohne Penetrationstests keine IT-Sicherheit. So einfach ist das“, konstatiert Schreiber.

Literatur

[1] Brian Chess, Sebastian Schreiber, Pentest 2010, Was bringt die Zukunft für Penetrationstests?, <kes> 2009#2, S. 14
[2] Jai Vijayan, Organizations Conduct App Penetration Tests More Frequently – and Broadly, Dark Reading, Mai 2020, www.darkreading.com/cloud/organizationsconduct-app-penetration-tests-more-frequently–-andbroadly/d/d-id/1337811
[3] European Central Bank, TIBER-EU Framework, How to implement the European framework for Threat Intelligence-based Ethical Red Teaming, Mai 2018, www.ecb.europa.eu/pub/pdf/other/ecb.tiber_eu_framework.en.pdf

Diesen Beitrag teilen: