Penetrationstest
Penetrationstest ist der fachsprachliche Ausdruck für einen umfassenden Sicherheitstest einzelner Rechner oder Netzwerke jeglicher Größe. Unter einem Penetrationstest versteht MAXit die Prüfung der Sicherheit aller Systembestandteile und Anwendungen eines Netzwerks- oder Softwaresystems mit Mitteln und Methoden, die ein Angreifer („Hacker“) anwenden würde, um unautorisiert in das System einzudringen. Der Penetrationstest ermittelt somit die Empfindlichkeit des zu testenden Systems gegen derartige Angriffe. Wesentlicher Teil eines Penetrationtests sind Werkzeuge, die dabei helfen, möglichst alle Angriffsmuster nachzubilden, die sich aus den zahlreichen bekannten Angriffsmethoden herausbilden.
Zielsetzung
Die Ziele des MAXit-PenTest sind:
Durch die ständige Änderung der Bedrohungsbilder und sicherheitsrelevanten Faktoren in der Informationstechnik ist ein Penetrationstest als Momentaufnahme zu begreifen. Im Extremfall kann ein System unmittelbar nach dem Beheben der durch den Test aufgedeckten Schwachstellen durch eine neue Sicherheitslücke wieder verwundbar sein. Allerdings deckt ein Test in der Regel auch die Ursachen auf, welche zu den festgestellten Problemen führen, die oft systematischer Natur sind, weshalb daher eine Behebung i.d.R. nachhaltig wirkt.
Testaufbau
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Klassifikationsschema entwickelt, anhand dessen sich ein Test beschreiben lässt. Im Wesentlichen werden sechs verschiedene Kriterien betrachtet:
Anhand dieser Kriterien stellt MAXit zusammen mit dem Kunden einen individuellen Test zusammen. In aller Regel sind das mehrstufige Tests, bei denen mehrere Kriterien nacheinander zur Anwendung kommen. Beispielsweise wird zuerst ein Blackbox-Test und danach ein Whitebox-Test durchgeführt. Im Test selbst werden einzelne Testmodule ausgeführt. Bei den Testmodulen werden I- und E-Module unterschieden. I-Module bezeichnen Testschritte die zur reinen Informationsbeschaffung dienen, E-Module bezeichnen aktive Eindringungsversuche. Einem E-Modul geht meist ein entsprechendes I-Modul voraus.
Legalität
Dabei kann die Organisation, welche den Penetrationstest wünscht, diese nur für Objekte in Auftrag geben, die sich unter ihrer Hoheit befinden. Konkret heißt dies, dass eine Organisation nicht Dritte beauftragen darf, wiederum fremde Netze zu testen. Sie muss daher vor Testbeginn Klarheit über den Testgegenstand schaffen und Rechtsberatung in Anspruch nehmen, falls dies nicht möglich ist. Dies betrifft auch den Test von beliebigen Dienstleistungen, die sie bezieht.
Heutzutage wird typischerweise ein sehr großer Teil sowohl der IT-Infrastruktur als auch der Internet-Aktivitäten in der Form von Dienstleistung mit den unterschiedlichsten Vertragsverhältnissen (Miete, Leasing usw.) bezogen – dies kann auch innerhalb eines Unternehmens der Fall sein. Selbst Hardware (z.B. Router und Firewalls) welche sich physisch in Gebäuden eines Unternehmens befinden, müssen diesem nicht zwangsläufig gehören. Derartige Informationen sind daher von der testenden Organisation nicht zu beschaffen, weswegen diese Aufgabe dem Auftraggeber zufällt.
Der MAXit PenTest
Wir führen PenTests üblicherweise in einem fünfstufigem Prozess durch.
Risiken
Bei der Testdurchführung kann es zu Störungen des normalen IT-Betriebs kommen. Beispielsweise zielen DoS-Attacken darauf ab, den Zugriff auf einzelne Services, Rechner oder Netzsegmente zu unterbinden. Werden DoS-Attacken im Rahmen eines Moduls simuliert, sollte das außerhalb der Nutzungszeiten des Systems erfolgen. Auch bei gewöhnlichen I- oder E- Modulen kann es unter Umständen zum Absturz von einzelnen Systemen kommen. In der Vorbereitungsphase wird auch eine Übereinkunft zwischen Auftraggeber und MAXit getroffen, wie mit den erhaltenen Erkenntnissen umgegangen wird. So könnte MAXit im Rahmen des Tests an unternehmenskritische Informationen gelangen.