Offensive Testing (zu deutsch: offensives Testen) ist eine gute Möglichkeit, um sicherzustellen, dass Ihr Unternehmen nicht nur in der Theorie vor Cyber-Angriffen sicher ist. Erfahren Sie, warum diese Tests empfohlen werden und welche verschiedenen Testarten es gibt.
Inhalt:
"Pentesting" ist im Bereich der offensiven Sicherheit eine häufig verwendete Methode. Der Begriff lässt sich vollständig mit "Penetrationstest" (PT) übersetzen. Sicherheitsexpert:innen bewerten dabei die Sicherheit Ihrer Systeme und Software durch die aktive Durchführung kontrollierter Angriffe, um Schwachstellen zu entdecken und Anfälligkeiten nachzuweisen.
Es gibt verschiedene Arten von Penetrationstests, die sich nach den spezifischen Anforderungen Ihres Unternehmens richten.
Das Ziel von Penetrationstests besteht darin, anschaulich zu machen, was ein tatsächlicher Angreifer erreichen könnte, wenn er versucht, Web- und mobile Anwendungen zu hacken. Grundsätzlich konzentrieren sich die Bemühungen des Pentesters auf:
Dauer: Ein allgemeiner Penetrationstest für eine Web-Anwendung kann bis zu sieben Arbeitstage dauern, während ein Penetrationstest für eine mobile Anwendung drei bis fünf Arbeitstage in Anspruch nehmen kann.
Penetrationstests der Infrastruktur konzentrieren sich in der Regel auf die Bewertung der Schwachstellen der Dienste und Sicherheitskontrollen eines Systems. Diese stehen im direkten Zusammenhang mit Bedrohungen und Risiken, die als so genannte "CIA-Trias" die geschützten Informationen in Ihrem eigenen Netzwerk gefährden könnten.
CIA = Confidentiality, Integrity & Availability (Vertraulichkeit, Integrität und Verfügbarkeit)
Der Tester versucht zunächst, in Ihrem Netzwerk Fuß zu fassen, indem er in externe Infrastrukturanlagen eindringt.
Dauer: Ein typischer externer Pentest kann fünf bis sieben Arbeitstage dauern, je nach Anzahl und Art der Anlagen.
Man kann Social Engineering als das trojanische Pferd der Cyber-Angriffe sehen. Social Engineering wird oft als eine Manipulationstechnik bezeichnet, die menschliche Fehler ausnutzt, um an private Informationen, Zugang oder Wertgegenstände zu gelangen. Im Hacking ist Social Engineering ein schier unendliches Thema.
Wussten Sie, dass 88% aller Datenschutzverletzungen heutzutage mit einem Social Engineering-Angriff beginnen (Quelle: PurpleSec)?
Sobald Menschen im Business involviert sind, wird es auch Social Engineering geben. Es gibt viele Methoden, darunter Vishing, Smishing, Phishing, Spear-Phishing, physisches SE und viele mehr.
Dauer: Ein typischer Social-Engineering-Einsatz kann zwischen einem Tag und mehreren Monaten dauern, je nach Art der Einschränkungen, der Ziele, des Umfangs und der Größe des Unternehmens.
Sogenanntes "Vulnerability Testing" wird oft mit Penetrationstests verwechselt. Der Hauptunterschied besteht jedoch darin, dass die Sicherheitsexpert:innen bei einem Penetrationstest aktiv versuchen, Schwachstellen auszunutzen, während sie beim Vulnerability Testing lediglich Schwachstellen entdecken und kategorisieren. Dabei werden diese Schwachstellen nicht praktisch ausgetestet und Informationen zu den Auswirkungen eines erfolgreichen Angriffs können entsprechend nicht gesammelt werden.
Schwachstellentests sind eine gute Wahl für Organisationen, die bereits einen Penetrationstest durchgeführt haben und nach einiger Zeit über den aktuellen Stand ihrer Konfiguration auf dem Laufenden bleiben wollen.
Viele Unternehmen unterschätzen, wie schnell sich Hacking-Technologien entwickeln und testen daher nicht häufig genug. Kunden führen in der Regel einmal im Jahr einen Penetrationstest durch, was ein falsches Gefühl der Sicherheit vermitteln und zu einer potenziellen Gefährdung von Daten und Systemen führen kann.
Daher ist bei jeder Konfigurationsänderung, beim Hinzufügen neuer Software, Codes oder Hardware, Geschäftslogiken, Funktionen usw. ein Penetrationstest erforderlich, um zu bestätigen, dass die neue Implementierung keine neuen Risiken für Ihr Unternehmen mit sich bringt.
Die gute Nachricht ist, dass Sie nicht die gesamte Webanwendung testen müssen, wenn solche Tests bereits vor der Aktualisierung durchgeführt wurden. Sie können und sollten Ihren Arbeitsumfang definieren und genau festlegen, was getestet werden muss, welche Ziele mit den Tests verfolgt werden sollen und was Sie als Ergebnis dieser Tests erreichen wollen.
Kompetente Berater:innen können Ihnen dabei helfen, zu definieren, welche Vorgehensweise am besten für Ihr Unternehmen ist. Ich persönlich würde sogar empfehlen, zunächst Ihren Business Case und Ihre Roadmap zu besprechen, bevor Sie sich für bestimmte Tests und Dienstleistungen entscheiden.
Nicht selten denken Unternehmen, dass sie einen bestimmten Service und Test benötigen. Doch stellt man ihnen die richtigen Fragen, stellt sich heraus, dass andere Services viel besser zur spezifischen Infrastruktur, Unternehmenskultur und Branche passen.
Alle Berater:innen sind darin geschult, mit einer bestimmten Testmethodik zu arbeiten. Jeder Penetrationstesttyp hat seine eigene Methodik, da es Unterschiede bei Technologien, Konfigurationen, Codes, erwarteten Ergebnissen usw. gibt. Die Methodik ermöglicht es den Berater:innen, einem Testpfad zu folgen, der dabei hilft, Fortschritte zu verfolgen und keine Tests zu verpassen, die für den definierten Arbeitsbereich relevant sind.
Für einen ersten Einblick in Standards und Methoden von Cyber Security-Beratung können Sie sich auf den folgenden Seiten informieren (die Seiten sind auf Englisch):
Dies hilft Ihnen auch, ein besseres Verständnis für die Auswahl des richtigen Anbieters zu bekommen.
Auch die geschäftliche Seite ist komplex. Es ist gut zu wissen, welche Vertragsarten gängig in der Branche sind, z.B. Ad-hoc oder Rahmenverträge. Ich empfehle außerdem das Beantragen von NDAs, wenn Ihre Daten besonders schützenswert sind.
Darüber hinaus ist es eine gute Praxis, den Pentesting-Dienstleister nach dem erfolgreichen Abschluss eines Projekts und der Vorlage eines Abschlussberichts ausdrücklich zur Datenvernichtung aufzufordern.
Unsere Cyber Security-Expert:innen bei DIGITALL bieten zahlreiche Dienstleistungen an, um die Sicherheitsmaßnahmen und -strategien Ihres Unternehmens zu testen und zu stärken. Werfen Sie einen Blick auf unser Portfolio und kontaktieren Sie uns für ein erstes, kostenloses Beratungsgespräch.