MAXit PenTest

Penetrationstest ist der fachsprachliche Ausdruck für einen umfassenden Sicherheitstest einzelner Rechner oder Netzwerke jeglicher Größe. Unter einem Penetrationstest versteht MAXit die Prüfung der Sicherheit aller Systembestandteile und Anwendungen eines Netzwerks- oder Softwaresystems mit Mitteln und Methoden, die ein Angreifer („Hacker“) anwenden würde, um unautorisiert in das System einzudringen. Der Penetrationstest ermittelt somit die Empfindlichkeit des zu testenden Systems gegen derartige Angriffe. Wesentlicher Teil eines Penetrationtests sind Werkzeuge, die dabei helfen, möglichst alle Angriffsmuster nachzubilden, die sich aus den zahlreichen bekannten Angriffsmethoden herausbilden.

Die Ziele des MAXit-PenTest sind:

• die Identifikation von Schwachstellen,
• das Aufdecken potentieller Fehler, die sich aus der (fehlerhaften) Bedienung ergeben,
• die Erhöhung der Sicherheit auf technischer und organisatorischer Ebene und
• die Bestätigung der IT-Sicherheit durch einen externen Dritten.

Durch die ständige Änderung der Bedrohungsbilder und sicherheitsrelevanten Faktoren in der Informationstechnik ist ein Penetrationstest als Momentaufnahme zu begreifen. Im Extremfall kann ein System unmittelbar nach dem Beheben der durch den Test aufgedeckten Schwachstellen durch eine neue Sicherheitslücke wieder verwundbar sein. Allerdings deckt ein Test in der Regel auch die Ursachen auf, welche zu den festgestellten Problemen führen, die oft systematischer Natur sind, weshalb daher eine Behebung i.d.R. nachhaltig wirkt.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Klassifikationsschema entwickelt, anhand dessen sich ein Test beschreiben lässt. Im Wesentlichen werden sechs verschiedene Kriterien betrachtet:

• Informationsbasis
• Aggressivität
• Umfang
• Vorgehensweise
• Technik
• Ausgangspunkt

Anhand dieser Kriterien stellt MAXit zusammen mit dem Kunden einen individuellen Test zusammen. In aller Regel sind das mehrstufige Tests, bei denen mehrere Kriterien nacheinander zur Anwendung kommen. Beispielsweise wird zuerst ein Blackbox-Test und danach ein Whitebox-Test durchgeführt. Im Test selbst werden einzelne Testmodule ausgeführt. Bei den Testmodulen werden I- und E-Module unterschieden. I-Module bezeichnen Testschritte die zur reinen Informationsbeschaffung dienen, E-Module bezeichnen aktive Eindringungsversuche. Einem E-Modul geht meist ein entsprechendes I-Modul voraus.

Sowohl Penetrations- und andere Sicherheitstests dürfen in Österreich (sowie anderen Ländern) nur durchgeführt werden, wenn dies zwischen der zu testenden und der den Test durchführenden Organisation vereinbart wurde. Dies ist in der Tatsache begründet, dass einzelne Tests Straftaten sein können. Ein Beispiel ist das Ausspähen von Daten – um eine Geltung zu vermeiden, muss der Testende eine eindeutige Befugnis erhalten. Dies gilt immer, wenn der Testende nicht die Erlaubnis hat, auf Daten, welche er im Rahmen eines Testes auslesen könnte, zuzugreifen, unabhängig von seiner Position oder Anstellungsverhältnissen.

Dabei kann die Organisation, welche den Penetrationstest wünscht, diese nur für Objekte in Auftrag geben, die sich unter ihrer Hoheit befinden. Konkret heißt dies, dass eine Organisation nicht Dritte beauftragen darf, wiederum fremde Netze zu testen. Sie muss daher vor Testbeginn Klarheit über den Testgegenstand schaffen und Rechtsberatung in Anspruch nehmen, falls dies nicht möglich ist. Dies betrifft auch den Test von beliebigen Dienstleistungen, die sie bezieht.

Heutzutage wird typischerweise ein sehr großer Teil sowohl der IT-Infrastruktur als auch der Internet-Aktivitäten in der Form von Dienstleistung mit den unterschiedlichsten Vertragsverhältnissen (Miete, Leasing usw.) bezogen – dies kann auch innerhalb eines Unternehmens der Fall sein. Selbst Hardware (z.B. Router und Firewalls) welche sich physisch in Gebäuden eines Unternehmens befinden, müssen diesem nicht zwangsläufig gehören. Derartige Informationen sind daher von der testenden Organisation nicht zu beschaffen, weswegen diese Aufgabe dem Auftraggeber zufällt.

Wir führen PenTests üblicherweise in einem fünfstufigem Prozess durch.

• Die Vorbereitungsphase dient zur gemeinsamen Zielsetzung und dem Testaufbau mit dem Kunden.
• In der Informationsbeschaffungsphase versucht der Sicherheitsanalyst möglichst viele Informationen über das zu testende System zu erhalten.
• Die gewonnenen Informationen werden anschließend einer Bewertung unterzogen.
• Erst danach werden aktive Eindringungsversuche unternommen.
• Abschließend werden die Ergebnisse gesammelt und in Form eines Berichts gebündelt. Dieser Bericht enthält auch Empfehlungen, wie mit eventuellen Sicherheitsproblemen umgegangen werden soll.

Bei der Testdurchführung kann es zu Störungen des normalen IT-Betriebs kommen. Beispielsweise zielen DoS-Attacken darauf ab, den Zugriff auf einzelne Services, Rechner oder Netzsegmente zu unterbinden. Werden DoS-Attacken im Rahmen eines Moduls simuliert, sollte das außerhalb der Nutzungszeiten des Systems erfolgen. Auch bei gewöhnlichen I- oder E- Modulen kann es unter Umständen zum Absturz von einzelnen Systemen kommen. In der Vorbereitungsphase wird auch eine Übereinkunft zwischen Auftraggeber und MAXit getroffen, wie mit den erhaltenen Erkenntnissen umgegangen wird. So könnte MAXit im Rahmen des Tests an unternehmenskritische Informationen gelangen.