„Sicherheit und Industriespionage”
FAQ: Häufig gestellte Fragen zu Penetrationstests
Warum sollten wir einen Pentest durchführen lassen?
Wie läuft ein Pentest ab?
Mit welchem Aufwand müssen wir rechnen?
Wieviele Informationen braucht RedTeam Pentesting von uns?
Warum sollte auch von innen und nicht nur von außen getestet werden?
Welche Dienstleistungen und Produkte bietet RedTeam Pentesting an?
Welche Arten von Systemen testet RedTeam Pentesting?
Führt RedTeam Pentesting auch Social Engineering Angriffe
durch?
Kann unseren Produktivsystemen während des Tests etwas passieren?
Was geschieht mit vertraulichen Daten, welche in die Hände
von RedTeam Pentesting fallen?
Werden die Ergebnisse schriftlich festgehalten?
Können wir eine Liste mit Referenzen von RedTeam Pentesting erhalten?
Was unterscheidet RedTeam Pentesting von anderen Firmen, die
Pentests anbieten?
In welchen Ländern bietet RedTeam Pentesting Penetrationstests an?
Heißt es nicht Penetrationtest statt Penetrationstest?
Warum sollten wir einen Pentest durchführen lassen?
Im Zuge der immer stärkeren elektronischen Vernetzung von Systemen häufen sich auch die Missbräuche im Sinne von Industriespionage, Angriffe auf die Verfügbarkeit der Systeme, eben alles, was einem Unternehmen signifikant schaden könnte. Wichtige Firmengeheimnisse, die ausspioniert und an die Konkurrenz verkauft werden. Systeme, die einfach nur lahmgelegt werden. Aufträge, die ausbleiben, weil die Konkurrenz mysteriöserweise immer das bessere Angebot hat. Ein Pentest gibt Auskunft darüber, wie verwundbar Ihr Netz ist, wie wahrscheinlich ein erfolgreicher Angriff auf Ihre Strukturen ist und wie Sie sich in Zukunft besser vor potentiellen Kompromittierungen schützen können. Eine Übersicht über die Vorteile von Pentests finden Sie unter Vorteile.
Dies gilt auch durchaus vor einem rechtlichen Hintergrund: Es wird zwar vom
Gesetzgeber nicht explizit ein Pentest für Firmen vorgeschrieben, jedoch finden
sich in vielen
Gesetzestexten Stellen, welche die Durchführung eines
Pentests zur Umsetzung dieser Vorschriften notwendig erscheinen lassen. Das
Handelsgesetzbuch (HGB)
schreibt zum Beispiel in den »Grundsätzen
ordnungsmäßiger DV-gestützter Buchführungssysteme
(GoBS)« ein internes Kontrollsystem vor: »Als IKS
wird grundsätzlich die Gesamtheit aller aufeinander abgestimmten und
miteinander verbundenen Kontrollen, Maßnahmen und Regelungen bezeichnet,
die die folgenden Aufgaben haben: Sicherung und Schutz des vorhandenen
Vermögens und vorhandener Informationen vor Verlusten aller Art.
[...]« (Rd-Nr. 4.1 GoBS). Andere Textstellen schreiben die Datensicherheit
vor: »Die starke Abhängigkeit der Unternehmung von ihren
gespeicherten Informationen macht ein ausgeprägtes Datensicherheitskonzept
für das Erfüllen der GoBS unabdingbar. [...]« (Rd-Nr. 5.1),
»Diese Informationen sind gegen Verlust und gegen unberechtigte
Veränderung zu schützen. [...]« (Rd-Nr. 5.3) oder »Der Schutz der
Informationen gegen unberechtigte Veränderungen ist durch wirksame
Zugriffs- bzw. Zugangskontrollen zu gewährleisten. [...]« (Rd-Nr.
5.5.1). Weitere Stellen finden sich auch im Datenschutzgesetz (z.B. Datenschutzgesetz NRW, § 10).
- Nach oben -
Wie läuft ein Pentest ab?
Vor jedem Pentest findet grundsätzlich ein persönliches Vorgespräch statt. In diesem
Vorgespräch werden die Möglichkeiten des Pentests in Bezug auf die Kundensysteme vorgestellt.
Ein Pentest ergibt nur Sinn, wenn er individualisiert und kundenorientiert durchgeführt wird.
Genauere Informationen über die einzelnen Phasen eines Pentests finden sich unter Pentest.
- Nach oben -
Mit welchem Aufwand müssen wir rechnen?
Der zeitliche Aufwand für einen Pentest unterscheidet sich aufgrund der sehr unterschiedlichen IT-Strukturen und den individuellen Anforderungen an einen Pentest von Fall zu Fall. Im Allgemeinen bewegt sich der Aufwand zwischen ein paar Tagen und einigen Wochen. Die Abklärung des genauen zeitlichen Rahmens ist unter anderem Teil des Vorgesprächs.
Personelle Ressourcen auf Seiten des Auftraggebers werden, wenn
überhaupt, nur in geringem Maße gebunden. Benötigt wird
vor allem ein Ansprechpartner als Kontaktperson für auftretende
Fragen in der Phase der Exploitation.
- Nach oben -
Wieviele Informationen braucht RedTeam Pentesting von uns?
Art und Umfang von bereits zu Anfang vorliegenden Informationen variieren mit der Art des gewünschten Pentests. Prinzipiell unterscheidet man beim Pentesting zwischen Blackbox- und Whitebox-Testing. RedTeam Pentesting führt normalerweise als erstes einen Blackbox-Test durch. Bei diesem erhält RedTeam Pentesting nicht mehr Informationen, als ein Angreifer ohne interne Detailkenntnisse sie auch hätte. Die Idee ist herauszufinden, wie weit ein potentieller Angreifer ohne jegliche interne Informationen kommen kann. Die komplette Wissensbeschaffung über Organisationsinterna muss also erst durch klassische Reconnaissance (das Herausfinden von möglichst vielen Informationen über das Ziel) und Enumeration (die nähere Betrachtung einzelner Systeme) geschehen.
Im Anschluss an den Blackbox-Test folgt dann, falls gewünscht, ein Whitebox-Test. Whitebox-Testing bedeutet für den Pentester, bereits Wissen über das interne Netzwerk zu haben, beziehungsweise schon gewisse Rechte zugesprochen zu bekommen. Meist äußert sich das darin, dass zum Beispiel zu Anfang ein unprivilegierter Useraccount, wie ihn Mitarbeiter haben, zur Verfügung gestellt wird. So kann getestet werden wie weit die eigenen Mitarbeiter im Firmennetzwerk ihre Rechte missbrauchen können. Zudem werden dem Pentester eventuell noch interne Informationen gegeben, die auch jedem Mitarbeiter zur Verfügung stehen, wie zum Beispiel nutzbare Dienste (Webserver, Mail, LDAP etc.) oder auch interne Organisationsstrukturen (welche Mitarbeiter sind wofür verantwortlich und haben welche Position...).
Oft ist es bereits so, dass im Zuge des Blackbox-Tests das Netzwerk
schon so weit kompromittiert wird, dass ein Whitebox-Test gar nicht mehr
nötig
ist, weil er dem Pentester keine zusätzlichen Vorteile mehr bringt. Eine
genauere Übersicht über mögliche Vorgehensweisen findet sich im
Pentest-Bereich der Homepage.
- Nach oben -
Warum sollte auch von innen und nicht nur von außen getestet werden?
Ist Ihre Organisation nach außen soweit abgesichert, dass in der zur
Verfügung stehenden Zeit kein nennenswerter Erfolg beim Eindringen in
interne Systeme bei einem Blackbox-Test von außen verbucht werden konnte,
so macht ein Whitebox-Test von innen in jedem Fall Sinn, auch wenn das Netzwerk
erstmal gut geschützt erscheint. Nur weil die Sicherheit der Perimetersysteme
in Ordnung ist, muss das nicht heißen, dass von innen dieselbe Vorsicht
angewandt wird. Und darum ist es
auch meist so, dass in internen Netzen fast keine Vorsichtsmaßnahmen
ergriffen werden. Es ist jedoch fatal, wenn durch das bloße Eindringen in
das interne Netzwerk bereits sämtliche Sicherheitsvorkehrungen passé
sind. Ist der finanzielle Anreiz groß genug, so stellt es normalerweise
für einen Angreifer (Konkurrenten, Mitbewerber) kein Problem dar,
einen Mitarbeiter zu bestechen, oder einen eigenen Mitarbeiter einzuschleusen,
um so direkt an alle Daten zu gelangen, die von außen gut geschützt
scheinen.
- Nach oben -
Welche Arten von Systemen testet RedTeam Pentesting?
Die meiste Erfahrung bezüglich Betriebssystemarchitekturen besteht im
Unix-Bereich, gefolgt von Windows. Es gehört jedoch zum
Aufgabenbereich eines jeden Pentesters, sich sehr schnell in neue Bereiche
einarbeiten zu können, so dass grundsätzlich fast alle Systeme
getestet werden können.
- Nach oben -
Welche Dienstleistungen und Produkte bietet RedTeam Pentesting an?
RedTeam Pentesting bietet ausschließlich Penetrationstests an. Insbesondere werden im Anschluss an den Penetrationstest keine weiteren Produkte oder Dienstleistungen verkauft, so dass die Unabhängigkeit und Objektivität der Testergebnisse gewährleistet ist.
Dabei beschränkt sich RedTeam Pentesting allerdings nicht ausschließlich auf
klassische Netzwerkpenetrationstests. Auch einzelne Geräte, Applikationen oder
sonstige Produkte werden getestet. Zudem kann in Einzelfällen ein im
Falle eines akuten Angriffs parallel durchgeführter Penetrationstest die
ausgenutzten Schwachstellen aufzeigen und helfen, diese zeitnah zu
schließen. Bei Fragen hierzu ist RedTeam Pentesting jederzeit
telefonisch erreichbar.
- Nach oben -
Führt RedTeam Pentesting auch Social Engineering Angriffe durch?
Bei Penetrationstests können auch Social Engineering Techniken genutzt
werden. Allerdings sind diese Techniken nicht unumstritten. Genauere
Informationen zu der Problematik von Social Engineering Angriffen im Rahmen von
Penetrationstests finden sich unter Exploitation. Als Schutz vor
Social Engineering Angreifern bieten sich evtl. auch Schulungen in diesem
Bereich an.
- Nach oben -
Kann unseren Produktivsystemen während des Tests etwas passieren?
Im Unterschied zu einem echten Angreifer geht RedTeam Pentesting
sehr sorgsam mit den Kundensystemen um, um mögliche Produktionsausfälle
zu vermeiden. RedTeam Pentesting bemüht sich stets, die Systeme
unbeschadet zu lassen. Szenarien, welche zu einem
Denial of Service (DoS) führen könnten, werden dokumentiert, aber
nicht unbedingt verifiziert, wenn nicht ausdrücklich
erwünscht. DoS-Angriffe, welche die
Systeme überlasten (zum Beispiel indem sehr viele Verbindungen zu einem
Webserver aufgemacht werden) lassen sich sowieso nur schwierig simulieren, da
hier auch die zur Verfügung stehende Bandbreite eine
Rolle spielt. Eine echte Distributed Denial of
Service-Attacke, welche normalerweise hunderte von Zombierechnern
(Rechner, welche kompromittiert wurden und nun unter dem Kommando eines
Angreifers stehen) involviert, lässt sich nur schwerlich nachahmen.
DoS-Attacken, welche einen Dienst zum Absturz bringen, weil dieser
fehlkonfiguriert ist oder einen Programmfehler hat (etwa, dass der Dienst
abstürzt, wenn ein zu langer Request gesendet wird), lassen sich nach
Absprache durchführen, um zu verifizieren, dass solch ein Angriff wirklich
möglich ist. Insgesamt lässt sich natürlich nicht
ausschließen, dass ein Produktivsystem einmal von einem Ausfall durch
einen Angriff betroffen ist. Für solche Fälle werden etwa
Notfallrufnummern vereinbart, um möglichst schnell reagieren zu
können.
- Nach oben -
Was geschieht mit vertraulichen Daten, welche in die Hände von RedTeam Pentesting fallen?
RedTeam Pentesting verpflichtet sich zu absoluter Verschwiegenheit, was vertrauliche Daten
des Kunden anbelangt. Bei Vertragsabschluss wird darum normalerweise
ein Non-Disclosure-Agreement
(NDA) unterzeichnet, in welchem festgelegt wird, welche Informationen von
RedTeam Pentesting vertraulich behandelt werden.
- Nach oben -
Werden die Ergebnisse schriftlich festgehalten?
Jeder Kunde erhält einen ausführlichen
Abschlussbericht nach Beendigung des
Pentests. Ein typischer Bericht beinhaltet eine nichttechnische Zusammenfassung
aller Ergebnisse für das Management, um diesem einen knappen und
präzisen Überblick über die Lage zu geben.
Danach folgt der ausführliche technische Bericht für die
Systemverwalter und Administratoren. Die einzelnen Punkte werden
in eine detaillierte Beschreibung des Problems, eine Risikoanalyse
und einen Lösungsvorschlag aufgeteilt, um direkt konstruktive
Verbesserungsvorschläge zu machen.
- Nach oben -
Können wir eine Liste mit Referenzen von RedTeam Pentesting erhalten?
Zu den Kunden von RedTeam Pentesting zählen nationale wie internationale Unternehmen.
Da unsere Kunden sehr großen Wert auf Vertraulichkeit legen, kann
RedTeam Pentesting keine Referenzliste veröffentlichen. Allgemein sind
Referenzen ohne die zugehörigen Berichte nur wenig hilfreich.
- Nach oben -
Was unterscheidet RedTeam Pentesting von anderen Firmen, die Pentests anbieten?
RedTeam Pentesting ist im Gegensatz zu vielen anderen Unternehmen der IT-Security Branche, welche nebenher
»Pentests« anbieten, ausschließlich auf Pentesting
spezialisiert. Sehr oft werden auch automatisierte Sicherheitsscans
(z.B. mit Nessus)
als »Pentest« verkauft. Die Kunden solcher Sicherheitsdienstleister erhalten dann meistens
nur einen Ausdruck der Programmausgaben als Ergebnis eines solchen »Penetrationstests«.
Bei RedTeam Pentesting arbeiten stattdessen
Sicherheitsspezialisten in enger Teamarbeit, um so praxisnahe Ergebnisse
erzielen zu können. Unsere Ergebnisse werden ausführlich dokumentiert. Unsere Kunden können so gefundene Schwachstellen besser nachvollziehen und effizient beheben.
Insbesondere
verkauft RedTeam Pentesting keine weiteren IT-Dienstleistungen vor oder nach einem
Pentest. Der Pentest soll nicht dem Verkauf weiterer Dienstleistungen
dienen, sondern eine unabhängige Sicherheitsüberprüfung
sein.
- Nach oben -
In welchen Ländern bietet RedTeam Pentesting Penetrationstests an?
Zu den Kunden von RedTeam Pentesting zählen zahlreiche
internationale Unternehmen. Penetrationstests werden in den
Projektsprachen Englisch oder Deutsch durchgeführt. Abhängig von den
genauen Anforderungen kann dies weltweit sowohl vor Ort bei den Kunden, als
auch über das Internet oder andere Fernzugänge erfolgen.
Selbstverständlich ist es auch möglich Testsysteme im Labor von RedTeam
Pentesting durch einen Penetrationstest überprüfen zu lassen, z.B bei Produktpentests.
- Nach oben -
Heißt es nicht Penetrationtest statt Penetrationstest?
Der Begriff »Penetrationtest« (englisch ausgesprochen) wurde früher
häufiger benutzt, als das englische »Penetration Test« noch kein
wirkliches deutsches Äquivalent hatte, im Deutschen jedoch zusammengehörige
Worte normalerweise zusammen oder mit Bindestrich geschrieben werden.
Mittlerweile hat sich im Deutschen allerdings der Begriff
»Penetrationstest« (deutsch ausgesprochen) durchgesetzt.
- Nach oben -