Technische Sicherheitsanalysen und Penetrationstests sind Schlüsselkomponenten einer nachhaltigen IT-Sicherheitsstrategie: Es geht darum, Schwachstellen zu finden, bevor ein Angreifer sie ausnutzen kann. Häufig werden die Begriffe synonym verwendet, allerdings gibt es einige wichtige Unterschiede in Strategie und Methodik.
Foto: Willi Kreh
Sicherheitsanalyse und Penetrationstests sind für alle Organisationen sinnvoll, die mit Schnittstellen zum Internet arbeiten, beispielsweise durch das Betreiben eines Webshops oder die Einbindung externer Partner, die sich für die Wartung per VPN einwählen.
Im Mittelpunkt der Analysen und Tests stehen folgende Fragen:
Welche technischen Schwachstellen haben IT-Systeme, Infrastruktur oder Anwendungen der untersuchten Organisation?
Wie wirksam sind existierende Sicherheitsmechanismen, um Angriffe zu unterbinden oder zu erkennen?
Welchen Schaden kann ein Angreifer anrichten, der Schwachstellen ausnutzt und die Sicherheitsmechanismen umgeht?
Vorgenommen werden Sicherheitsanalysen und Penetrationstests durch so genannte Security Analysts: Für die Simulation eines Angriffs nutzen sie die gleichen Strategien, Taktiken und Tools wie echte Hacker.
Sicherheitsanalyse - für Pragmatiker
Die Sicherheitsanalyse ist eine pragmatische Methode, mit der Security Analysts prüfen, wie widerstandsfähig die interne IT-Infrastruktur gegenüber externen oder internen Angriffen ist. Sie bietet einen guten Überblick darüber, ob der äußerste Verteidigungsring der Organisation eine Angriffsfläche bietet und wie viele mögliche Einfallstore ein Angreifer hier finden kann. Die Sicherheitsanalyse kann als Ausgangspunkt für tiefergehende Prüfungen dienen, wie etwa einen Penetrationstest.
Penetrationstest - der Weg zu den Kronjuwelen
Der Penetrationstest legt offen, inwieweit der Angreifer in die Infrastruktur vordringen und in welchem Ausmaß er die Organisation schädigen kann. Dazu kann zunächst schon ein einziges Einfallstor reichen, über das der Angreifer anschließend weitere, tiefergehende Schwachstellen suchen und finden kann, um schließlich die eigentlichen "Kronjuwelen" des Unternehmens zu erreichen. Letzteres entspricht eher dem Vorgehen eines realen Hackers. Meist handelt es sich jedoch um ein zeitaufwändigeres Unterfangen als bei einer Sicherheitsanalyse.
Penetrationstests sind deshalb auch das Mittel der Wahl, wenn es darum geht, das Sicherheitsbewusstsein innerhalb der Organisation zu steigern oder dem Management einen tieferen Einblick in die tatsächlichen Risiken eines Unternehmens zu geben.
Kein Vulnerability Scan
Sicherheitsanalysen und Penetrationstests werden immer von Menschen vorgenommen, - im Gegensatz zu Vulnerability Scans, bei denen Anwendungen oder Systeme software-gestützt und vollautomatisiert auf bereits bekannte Sicherheitslücken geprüft werden.
Die geschulten und erfahrenen Security Analysts setzen bei Sicherheitsanalysen und Penetrationstests durchaus auch Tools ein, können jedoch aufgrund ihrer Erfahrung auch unbekannte Sicherheitslücken identifizieren, um ein realistisches und wirklichkeitsnahes Bild des Angriffspotentials wiederzugeben. Der Prozess verläuft in der Regel dreistufig, bei Bedarf wird er auch mehrfach wiederholt, um neu gewonnene Kenntnisse in den anderen Phasen berücksichtigen zu können:
Informationen sammeln
Sicherheitslücken identifizieren
Sicherheitslücken auswerten
Insbesondere in Punkt 3 besteht der eigentliche Mehrwert von Sicherheitsanalysen und Penetrationstests: Denn dieser ermöglicht im Anschluss die Ableitung realistischer Gegenmaßnahmen mit dem Ziel, Sicherheitslücken zu eliminieren oder auf ein für die Organisation akzeptables Maß zu reduzieren, bevor ein echter Angreifer sie ausnutzen kann. (sh)