Bild: Christopher burns / unsplash

„Wir finden Schwachstellen, die andere nicht finden“

Mit Erfahrung und Know-how identifizieren die Experten der r-tec IT Security GmbH Schwachstellen aller Art in Unternehmensnetzwerken. Zum Einsatz kommen dabei professionelle Sicherheitsanalysen wie Vulnerability Scans, Pentesting und Red Teaming.

„Selbst qualitativ hochwertige IT-Security-Produkte können die Entstehung von Sicherheitslücken auf lange Sicht nicht verhindern“, warnt Dr. Stefan Rummenhöller, Geschäftsführer der r-tec IT Security GmbH. Das vor mehr als 25 Jahren gegründete IT-Sicherheitsunternehmen mit Sitz in Wuppertal ist darauf spezialisiert, Geschäftskunden vor Cyberrisiken zu schützen und geeignete Sicherheitsstandards in IT-Umgebungen aufzubauen. „Da Cyberkriminelle zunehmend komplexere Angriffsmuster entwickeln, entstehen immer wieder neue Bedrohungen und Sicherheitslücken, die von klassischen Sicherheitssystemen nicht erkannt werden können. Zudem kommt es vor, dass ergriffene Maßnahmen nicht optimal auf die individuellen Anforderungen der jeweiligen Umgebung abgestimmt sind. Dadurch entstehen ebenfalls Schwachstellen.“

Mit dem Ziel, derartige Sicherheitslücken aufzudecken und schnellstmöglich zu schließen, führt das r-tec-Team professionelle Sicherheitsanalysen und Pentests durch. Dabei prüfen die Spezialisten die Wehrhaftigkeit von Sicherheitslandschaften gegen externe und interne Angriffe, ohne die Verfügbarkeit von Geschäftsprozessen zu gefährden. Getestet wird in Anwendungen, Rechenzentren, kritischen Infrastrukturen und Clouds, um physische und menschliche sowie hard- oder softwarebedingte Schwachstellen zu identifizieren.

„Mit unserer 25-jährigen Erfahrung finden wir Schwachstellen, die andere nicht finden“, sagt der r-tec-Geschäftsführer. „Bei über 90 Prozent der von uns durchgeführten Pentests erlangen wir die volle Kontrolle über das gesamte Unternehmensnetzwerk des jeweiligen Kunden. Es gelingt uns immer wieder, Systeme in nur fünf Minuten zu übernehmen.“

Bild: r-tec

Breit angelegte oder tiefgehende Schwachstellensuche?

Bevor es losgehen kann, wird gemeinsam mit dem Kunden eruiert, welche Form der Sicherheitsanalyse sich am besten für das jeweilige Unternehmen eignet. Insgesamt stehen mit Vulnerability Scans, Penetrationstests und Red Teaming drei Testmethoden zur Verfügung. Diese unterscheiden sich durch verschiedene Vorgehensweisen und die Größe ihrer Einsatzgebiete.

Welche Aufgabenbandbreite abgedeckt wird, lässt sich anhand eines von r-tec entwickelten Sicherheitsframeworks aufzeigen: Der an den NIST-Standard angelehnte Leitfaden besagt, dass Maßnahmen zur Identifikation von Schwachstellen und Bedrohungen (Identify), zum Schutz vor Angriffen (Protect), zur fortlaufenden Überwachung von Systemen (Detect), zur Reaktion auf Angriffe (Respond) und zum Betrieb eines Informationssicherheitsmanagements (Manage) durchgeführt werden müssen, um das höchstmögliche Sicherheitsniveau zu erreichen.

Vor der Wahl einer geeigneten Methode muss zunächst entschieden werden, ob sie eine breit angelegte oder eine tiefgehende Analyse benötigen.

Automatisiert arbeitendes Vulnerability Assessment

Beim Vulnerability Assessment sucht das r-tec-Team in mehreren Systemen nach Schwachstellen, Fehlkonfigurationen und veralteten Softwareversionen. „Da es sich um einen automatisierten Schwachstellen-Scan handelt, geht diese Untersuchung technisch nicht in die Tiefe“, sagt Dr. Stefan Rummenhöller. „Das heißt, beim Vulnerability Assessment führen wir eine breit angelegte Analyse durch, die sämtliche Systeme untersucht.“ Das einzige Ziel besteht darin, Schwachstellen aufzudecken (Identify) und zu beheben (Protect). Die Effizienz der Angriffserkennung (Detect), die Verteidigung gegen Cyberattacken (Respond) sowie die Prüfung von Prozessen (Manage) werden jedoch nicht abgedeckt. „Das Vulnerability Assessment verursacht im Vergleich zu den anderen Analysemethoden nur wenig Aufwand. Gleichzeitig bekommt das betreffende Unternehmen einen guten Überblick über die allgemeine Lage seines Patch- und Update-Management-Prozesses sowie über mögliche Konfigurationsfehler.“

Um nach einem Fund schnell reagieren zu können, hat r-tec das Vulnerability Assessment in einen Vulnerability Management Service integriert. Dieser beinhaltet neben dem Vulnerability Scan auch einen Threat Information Service sowie Unterstützung bei der Einordnung, Priorisierung und Behebung entdeckter Sicherheitslücken.

Bild: r-tec

Technisch tiefgehende Penetrationstests

Im Gegensatz zum Vulnerability Assessment erweist sich ein Penetrationstest als deutlich tiefere Analyse. Die r-tec-Pentester decken ebenfalls Schwachstellen und Fehlkonfigurationen auf (Identify). Da sie hierbei aber manuelle Überprüfungen durchführen, können sie deutlich mehr Schwachstellen auf Netzwerk-, Dienst- und Anwendungsebenen finden. So lassen sich unter anderem auch Sicherheitslücken aufdecken, die logischer Natur sind und von einem automatisierten Scanner rein technisch nicht erfasst werden können. Zudem erhalten die Kunden Maßnahmenempfehlungen zur Behebung der entdeckten Schwachstellen (Protect). Anders als beim Vulnerability Assessment werden alle aufgefundenen Sicherheitslücken außerdem auf Ausnutzbarkeit hin untersucht.

Mithilfe von Penetrationstests können darüber hinaus Blue Teams getestet werden, die in Security Operations Centern (SOC) und Computer Emergency Response Teams (CERT) zum Einsatz kommen. Mit seinem geballten Know-how nimmt das r-tec-Team dabei die Perspektive von Angreifern ein und führt realistische Angriffsszenarien mit authentischen Tätermotiven durch. Anschließend wird überprüft, welche Angriffe erkannt wurden (Detect). „Die Pentest-Analyse ist im Vergleich zum Vulnerability Assessment zwar tiefgehender, wegen des höheren Aufwandes allerdings auch auf eine kleinere Anzahl von Systemen begrenzt“, erläutert der r-tec-Gründer.

Mit Red Teaming Blue Teams auf die Probe stellen

Eine weitere Herangehensweise stellt das Red Teaming dar, das die Effektivität von Mitarbeitern, Prozessen und genutzten Technologien eines Blue Teams überprüft. Bei dieser Methode werden verschiedene Szenarien echter Angreifer ohne Vorankündigung simuliert, um Blue Teams auf mögliche reale Angriffe vorzubereiten. Das r-tec-Red-Team versucht dann mithilfe verschiedener Angriffsmethoden, Zugriff auf bestimmte Daten, Systeme oder Netzwerke zu erlangen. So findet es Sicherheitslücken (Identify) und nutzt diese aus. Anschließend präsentiert es seine Ergebnisse sowie passende Maßnahmen zur Schwachstellenbehebung (Protect).

Primär verfolgt das Red Teaming drei zentrale Ziele: Das Training des Blue Teams (Detect), die Verbesserung der Angriffserkennung (Respond) sowie die Optimierung der dahinterstehenden Prozesse und Technologien (Manage).

Schwachstellen identifizieren und beseitigen

Nach der Durchführung eines Vulnerability Scans, eines Penetrationstests oder eines Red-Teaming-Einsatzes ist die Arbeit des r-tec-Teams übrigens noch nicht beendet. Die Spezialisten erstellen anschließend eine Ergebniszusammenfassung für Führungskräfte, einen technischen Bericht für die IT-Abteilung des Kundenunternehmens, eine faktenbasierte Risikoanalyse entdeckter Sicherheitslücken im Kontext der jeweiligen Unternehmensumwelt sowie geeignete Maßnahmenempfehlungen. Auf Wunsch unterstützen die Spezialisten ihre Kunden auch bei der Beseitigung der entdeckten Schwachstellen.

„Mit unserer Erfahrung, praxisnahen Erkenntnissen und tiefgreifendem Fachwissen eliminieren wir nahezu jede Sicherheitslücke“, ist Dr. Stefan Rummenhöller überzeugt. „Auf diese Weise gelingt es uns letztlich, den IT-Sicherheitsreifegrad unserer Kunden zu optimieren und langfristig für Sicherheit zu sorgen.“

Sie möchten mehr über das breite Analysespektrum der r-tec IT Security GmbH erfahren? Weitere Informationen finden Sie im Internet unter www.r-tec.net/sicherheitsanalysen-pentest.html.