Technische Sicherheitsanalysen und Penetrationstests sind Schlüsselkomponenten einer nachhaltigen IT-Sicherheitsstrategie: Es geht darum, Schwachstellen zu finden, bevor ein Angreifer sie ausnutzen kann. Häufig werden die Begriffe synonym verwendet, allerdings gibt es einige wichtige Unterschiede in Strategie und Methodik.
Foto: Willi Kreh
Sicherheitsanalyse und Penetrationstests sind für alle Organisationen sinnvoll, die mit Schnittstellen zum Internet arbeiten, beispielsweise durch das Betreiben eines Webshops oder die Einbindung externer Partner, die sich für die Wartung per VPN einwählen.
Im Mittelpunkt der Analysen und Tests stehen folgende Fragen:
Welche technischen Schwachstellen haben IT-Systeme, Infrastruktur oder Anwendungen der untersuchten Organisation?
Wie wirksam sind existierende Sicherheitsmechanismen, um Angriffe zu unterbinden oder zu erkennen?
Welchen Schaden kann ein Angreifer anrichten, der Schwachstellen ausnutzt und die Sicherheitsmechanismen umgeht?
Vorgenommen werden Sicherheitsanalysen und Penetrationstests durch so genannte Security Analysts: Für die Simulation eines Angriffs nutzen sie die gleichen Strategien, Taktiken und Tools wie echte Hacker.
Sicherheitsanalyse - für Pragmatiker
Die Sicherheitsanalyse ist eine pragmatische Methode, mit der Security Analysts prüfen, wie widerstandsfähig die interne IT-Infrastruktur gegenüber externen oder internen Angriffen ist. Sie bietet einen guten Überblick darüber, ob der äußerste Verteidigungsring der Organisation eine Angriffsfläche bietet und wie viele mögliche Einfallstore ein Angreifer hier finden kann. Die Sicherheitsanalyse kann als Ausgangspunkt für tiefergehende Prüfungen dienen, wie etwa einen Penetrationstest.
Penetrationstest - der Weg zu den Kronjuwelen
Der Penetrationstest legt offen, inwieweit der Angreifer in die Infrastruktur vordringen und in welchem Ausmaß er die Organisation schädigen kann. Dazu kann zunächst schon ein einziges Einfallstor reichen, über das der Angreifer anschließend weitere, tiefergehende Schwachstellen suchen und finden kann, um schließlich die eigentlichen "Kronjuwelen" des Unternehmens zu erreichen. Letzteres entspricht eher dem Vorgehen eines realen Hackers. Meist handelt es sich jedoch um ein zeitaufwändigeres Unterfangen als bei einer Sicherheitsanalyse.
Penetrationstests sind deshalb auch das Mittel der Wahl, wenn es darum geht, das Sicherheitsbewusstsein innerhalb der Organisation zu steigern oder dem Management einen tieferen Einblick in die tatsächlichen Risiken eines Unternehmens zu geben.
Kein Vulnerability Scan
Sicherheitsanalysen und Penetrationstests werden immer von Menschen vorgenommen, - im Gegensatz zu Vulnerability Scans, bei denen Anwendungen oder Systeme software-gestützt und vollautomatisiert auf bereits bekannte Sicherheitslücken geprüft werden.
Die geschulten und erfahrenen Security Analysts setzen bei Sicherheitsanalysen und Penetrationstests durchaus auch Tools ein, können jedoch aufgrund ihrer Erfahrung auch unbekannte Sicherheitslücken identifizieren, um ein realistisches und wirklichkeitsnahes Bild des Angriffspotentials wiederzugeben. Der Prozess verläuft in der Regel dreistufig, bei Bedarf wird er auch mehrfach wiederholt, um neu gewonnene Kenntnisse in den anderen Phasen berücksichtigen zu können:
Informationen sammeln
Sicherheitslücken identifizieren
Sicherheitslücken auswerten
Insbesondere in Punkt 3 besteht der eigentliche Mehrwert von Sicherheitsanalysen und Penetrationstests: Denn dieser ermöglicht im Anschluss die Ableitung realistischer Gegenmaßnahmen mit dem Ziel, Sicherheitslücken zu eliminieren oder auf ein für die Organisation akzeptables Maß zu reduzieren, bevor ein echter Angreifer sie ausnutzen kann. (sh)
- Formalisieren Sie Risiko-Management und IT-Security
Gießen Sie Ihr Risiko- und IT-Sicherheits-Management in eine wiederhol- und messbare Form. Diese umfasst in der Regel vier Phasen: Governance, Planung, Aufbau und Betrieb. - Messen Sie den Reifegrad
Nutzen Sie eine Reifegradskala, um Planungslücken und ungenutzte Chancen des IT-Security-Programms zu finden. Solch eine Skala ist überdies ein gutes Mittel, um solchen Entscheidungsträgern das Thema zu veranschaulichen, die mit Technologie nicht immer etwas anfangen können. - Fahren sie risikobasierte Ansätze
Risiko-Management heißt auch, dass es den perfekten Schutz nicht gibt. Unternehmen sollten bewusste Entscheidungen über ihr Handeln und Nichthandeln fällen, was das Eingehen von Risiken betrifft. Das betrifft nicht nur die IT-Abteilungen, sondern vor allem auch die Nicht-IT-Bereiche. Über allem steht, das Risiko-Manager vorbeugende Ansätze befolgen, die Risiken von Anfang an minimieren. Schließlich sollen sie die Risiken steuern, und sich nicht von diesen steuern lassen. - Nutzen Sie Kennzahlen
Wer im Risiko-Management tätig ist, muss Kennzahlen definieren, an denen er seine Geschäftsprozesse ausrichten kann. Das sind zum einen KPIs (Key Performance Indicators), zum anderen KRIs (Key Risk Indicators). Letztere sollten sich aber nicht nur auf IT-zentrierte Kennzahlen konzentrieren - sonst besteht die Gefahr, zu meinen, dass die Risiken ausschließlich von der IT ausgehen. - Passen Sie Ihre KRIs den KPIs an
Die meisten Unternehmen arbeiten mit einer Fülle von Risiko- und Security-Kennzahlen. Auch wenn diese für interne Prozesse extrem wertvoll sind, haben sie doch meist nur einen geringen Wert für die Unternehmensentscheider. Gute KRIs sind deshalb einfach, messbar und haben einen direkten Einfluss auf viele der KPIs. - Entkoppeln Sie operative Messgrößen von der Vorstandskommunikation
Verwenden Sie keine operativen Messgrößen auf Vorstandsebene. Entscheidern fehlt das Hintergrundwissen und das Training, mit diesen in einem Business-Kontext umzugehen. - Kommunizieren Sie klar, was geht und was nicht
In einer risikobasierten Welt will eine Business-orientierte Zuhörerschaft genau wissen, welche Risiken drohen, welche Haltung ein Unternehmen dazu hat und was dagegen unternommen wird. Beantworten Sie diese Fragen für jeden verständlich, haben Sie den "Kampf" schon halb gewonnen.