Überall wo personen- oder unternehmensbezogene Daten liegen gibt es auch Menschen, die sich für genau diese Daten interessieren und versuchen, diese abzugreifen. Der Kundenbereich eines Webshops, ein Forum oder das CRM des Unternehmens sind dabei genauso interessant wie E-Mails, Geschäfts- und Personaldaten. Leider muss es oft erst zu einem Datenleck kommen, bevor man sich auf die Suche nach Fehlern in der Infrastruktur und Organisation macht.
Penetrationstests helfen im Vorfeld, Fehler zu finden und zu eliminieren. Sind Daten direkt oder indirekt über das Internet erreichbar, so sind sie zunächst als potentielle Angriffsziele zu sehen und abhängig von ihrem Schutzbedarf auch abzusichern. Gezielte Angriffe auf die Infrastruktur testen nicht nur die Sicherheit der Daten, sondern können auch dazu dienen, die Einbruchserkennung auf Seiten des IT-Dienstleisters oder der eigenen Administratoren zu erkennen.
Erstes Ziel der Angriffe ist die Beschaffung von Informationen über technische Komponenten und die Infrastruktur, welche die Basis für die Datenhaltung, Verarbeitung und Übertragung stellt. Auf dieser Basis werden gezielt Applikationen und Übertragungsprotokolle sowie Infrastrukturelemente angegriffen, um Fehler zu provozieren und dabei unter Umständen Informationen zur eingesetzten Software, Versionen, Konfigurationen zu erhalten und im besten oder schlimmsten Fall (je nach Sichtweise) sogar Kennwörter abzugreifen. Mit diesen Informationen werden dann gezielte Angriffe auf die Applikationen und Infrastruktur gefahren, um an weitere Informationen zu gelangen oder Schwachstellen in der eingesetzten Software auszunutzen. Ziel hier können Kunden- oder Endanwender-Daten sein, aber auch Zugänge zu Systemen, Kontrolle über Systeme und deren Ressourcen ebenso wie ein Platz zum Ablegen von großen Datenmengen. Jede Verwendung des Systems kommt hier in Frage – daher sind auch Angriffsmethoden umfangreich und vielfältig. Parallel wird bei Penetrationstests – sofern keine interne Ankündigung erfolgt – auch die Administration und Überwachung der Systeme geprüft. Erkennen die Systemverwalter die Einbruchsversuche oder Unregelmäßigkeiten auf den Systemen? Leiten sie Gegenmaßnahmen ein? Wie wirken sich die Tests auf andere Systeme innerhalb der eigenen Infrastruktur aus? Auch ein Einbruchstest ohne Zugriff auf Daten ist ein Erfolg – ein Erfolg für die eigenen Sicherheitsmaßnahmen.
Penetrationstests beziehen sich nicht nur auf die technischen Maßnahmen, sondern beginnen schon bei den physikalischen und organisatorischen Maßnahmen vor Ort im Büro. Sind die Zugänge zu den Büroräumen gesichert oder kann ein Unbefugter sich Zugang zu den Büroräumen oder gar Systemen verschaffen? Wie reagieren die Administratoren auf die Vorfälle? Lassen sich Mitarbeiter von dem Eindringling abwimmeln? Werden die zuständigen Stellen informiert? Alles Fragen, die im Rahmen von gezielten Penetrationstests geprüft und dokumentiert werden können.
Der Vorteil von Penetrationstests besteht darin, dass ein Datenabfluss nur simuliert wird und die Schwachstellen mitgeteilt werden. Das erspart nicht nur das Imageproblem durch den Datenverlust, sondern auch das aufwändige Suchen nach dem Leck. Darüber hinaus werden technische und organisatorische Schwachstellen erkannt und können präventiv behoben werden. In der Vergangenheit machten besonders die Fälle von Sony die Öffentlichkeit aufmerksam. Aber auch kleine Fehler im Apache Webserver sorgten kürzlich dafür, dass unter Umständen Unbefugte Zugriff auf Server innerhalb eines Rechnerverbundes bekommen haben, indem Anfragen an den Server mit Hilfe einer manipulierten URL gestellt wurden. In vielen Fällen konnte hier durch eine entsprechend getrennte Infrastruktur der Fehler im Webserver sogar vernachlässigt werden.
Ein Penetrationstest besteht aus insgesamt 5 Phasen. Nach der Vorbereitung erfolgt eine Informationsbeschaffung und -auswertung, welche die Grundlage für die aktiven Eindringungsversuche bildet. Für Sie als Kunden ist das Ergebnis der Abschlussanalyse sicherlich am interessantesten, denn hier bekommen Sie schwarz auf weiß, an welchen Stellen Probleme auftreten und Daten verloren gehen könnten.
Gemeinsam mit unseren Partnern bieten wir Ihnen gerne die Beratung und Durchführung von Penetrationstests auch außerhalb von Webservern an.