Ethical-Hacker-Grundlagen

Was ist Pentesting?

07.02.2018 von Roger Grimes und Florian Maier

Penetration Tester sind im Unternehmensumfeld gefragt. Wir sagen Ihnen, was Pentesting ist und was ein Ethical Hacker heute können muss.

Innerhalb der Computer-Sicherheitswelt gibt es wohl kaum einen interessanteren und gleichzeitig herausfordernden Job, als den des professionellen Penetration Testers - oder Ethical Hackers, wie die Tätigkeit auch gerne bezeichnet wird. Pentester und Ethical Hacker werden im Grunde dafür bezahlt, (legal) in ein Computer-Netzwerk (oder auch einzelne Devices) einzubrechen.

Was macht einen Ethical Hacker aus? Und was ist eigentlich Pentesting? Wir klären Sie auf.
Foto: songpholt - shutterstock.com

Dabei ist der Pentester in einer beruflich ziemlich einzigartigen Lage: Hackt er sich erfolgreich durch die Sicherheitsmaßnahmen, bekommt der Kunde die Chance, die Lücken zu schließen, bevor echte Gefahr droht. Findet er nichts, ist der Kunde sogar noch glücklicher, weil er fortan damit werben kann, dass nicht einmal bezahlte Hacker es geschafft haben, seine Systeme zu kompromittieren.

Das heißt auf der anderen Seite aber nicht, dass der Job eines Ethical Hackers leicht wäre. Im Gegenteil. Zwar braucht man für einen Job als Pentester nicht den IQ eines Genies, muss sich aber auf vermeintlich unbezwingbare Herausforderungen in verschiedenen Szenarien einstellen. Wenn Sie allerdings ohnehin immer auf dem neuesten Stand in Sachen Technologie sind und gerne Dinge kompromittieren, könnte Profi-Hacker Ihr absoluter Traumjob sein.

Was ist ein (zertifizierter) Ethical Hacker?

Eine Reihe von Institutionen bietet Trainings und Zertifizierungen für Pentester und Ethical Hacker an. Eine solche Zertifizierung gibt dabei Auskunft darüber, dass die minimalen Expertise-Anforderungen auf dem Feld der IT Security erfüllt sind. Ein Zertifikat für Pentester wird nicht immer vorausgesetzt - viele der Spezialisten in diesem Bereich haben sich ihr Wissen, beziehungsweise Können, selbst beigebracht. Zertifizierungen könnten bei manchem Arbeitgeber allerdings für ein ruhiges Gewissen sorgen: Schließlich ist er sich so ganz sicher, einen echten Experten an Bord zu haben. Das kann unter Umständen auch weitere Türen für gut bezahlte Jobs oder eine Beratertätigkeit öffnen.

Zum Video: Was ist Pentesting?

Einige der renommiertesten Institutionen für die Erteilung von Ethical-Hacking- oder Penetration-Testing-Zertifikaten sind:

SANS Institute
EC-Council
McAfee Foundstone
CREST

Vom Hacker zum Pentester

Um vom Hacker zum Ethical Hacker zu "transformieren", müssen einige Grundschritte getan werden. Die absolute Grundvoraussetzung: Eine dokumentierte Erlaubnis, die Systeme infiltrieren zu dürfen. Schließlich gehört es zu den Grundsätzen eines jeden Profi-Pentesters, niemals das Gesetz zu brechen. Jeder, der in diesem Bereich tätig wird, sollte sein Handeln an ethischen Grundsätzen ausrichten. Das EC-Council stellt einen der besten "code of ethics" öffentlich zur Verfügung.

So geht Ethical Hacking

Wir zeigen Ihnen in fünf Schritten, wie Ethical Hacker arbeiten:

1. Umfang und Zielsetzung bestimmen

Für jeden professionellen Penetration Tester ist eine lückenlose Dokumentation des Aufgabenbereichs und der Zielsetzung essenziell. Bezüglich der Bestimmung des erstgenannten, sollte sich ein Ethical Hacker folgende Fragen stellen:

Welche Computer Assets fallen in den Aufgabenbereich?
Gehören dazu alle Rechner, oder handelt es sich um bestimmte Applikationen, Betriebssysteme, mobile Gerätschaften oder Cloud Services?
Umfasst der Aufgabenbereich nur einen bestimmten Typ von Asset, beispielsweise Web Server oder SQL Server und sollen auch Netzwerk-Devices inkludiert werden?
Kann automatisiertes Schwachstellen-Scanning im Zuge des Pentests zur Anwendung kommen?
Ist Social Engineering erlaubt? Und wenn ja: Welche Methoden und in welchem Umfang?
In welchem Zeitraum soll der Penetration Test stattfinden?
Gibt es bestimmte Tage oder Tageszeiten, die für einen Pentest nicht geeignet sind? (Etwa, weil ansonsten die Gefahr von Ausfällen oder Service-Unterbrechungen droht)
Sollen im Zuge des Pentests möglichst keine Unterbrechungen verursacht werden oder soll ein möglichst authentischer Angriff erfolgen?
Soll es ein "Blackbox" (der Pentester erhält keine internen Informationen über die beteiligten Systeme und Applikationen) oder "Whitebox" (sämtliches internes Wissen über die anzugreifenden Systeme und relevanten Source Code sind vorhanden)-Pentest sein?
Soll das IT-Security-Team mit an Bord geholt werden oder soll deren Reaktion (oder Nicht-Reaktion) getestet werden?
Soll ein möglichst lautloser Ansatz beim Einbruch in die Systeme angewandt werden? Oder soll gezielt geprüft werden, ob die existierenden Detection- und Prevention-Maßnahmen greifen?

Bezüglich der Ziele des Penetration Tests, sollten sich Ethical Hacker fragen:

Geht es nur darum zu zeigen, dass ich in einen Rechner einbrechen kann?
Gehört Denial of Service zu den Zielen, die vom Aufgabenbereich gedeckt sind?
Soll der Zugang zu einem bestimmten Rechner kompromittiert und spezifische Datensätze abgegriffen werden oder reicht es, privilegierten Zugang zu bekommen?
Welche Ergebnisse sollten in die abschließende Dokumentation des Penetration Tests einfließen? Müssen alle angewandten (erfolgreichen und nicht-erfolgreichen) Hacking-Methoden genannt werden? Oder reichen die wichtigsten? Wie tief muss ich ins Detail gehen? Brauche ich Screenshots oder -captures für die Dokumentation?

Bevor irgendwelche Pentesting-Versuche gestartet werden, sollte der Aufgabenbereich und die Zielsetzung detailliert besprochen und sowohl von Seiten des Auftraggebers, als auch der des Ethical Hackers abgesegnet werden.

2. Die richtigen Pentesting-Tools auswählen

Penetration Tester und Ethical Hacker nutzen normalerweise ein Standardset von Hacking Tools. Je nach Einsatz erweitern sie ihr Portfolio aber auch um verschiedene andere Software-Werkzeuge. Soll ein Penetration Tester beispielsweise eine SQL-Datenbank angreifen, hat darin aber keine Erfahrung, wird er im Vorfeld des Tests verschiedene SQL-Angriffswerkzeuge erproben.

Den Startpunkt bildet dabei für viele Ethical Hacker eine Linux-Distribution, die speziell für Pentesting-Zwecke ausgelegt ist. Im Laufe der Jahre gab es einige solcher Distributionen - inzwischen hat sich Kali Linux im professionellen Ethical-Hacking-Umfeld durchgesetzt. Hier gibt es tausende von Hacking Tools zu entdecken, darunter auch die Standard-Tools vieler Profis.

Das wichtigste Kriterium für Hacking Tools ist dabei (neben überzeugender Qualität und der Eignung für die angestrebten Zwecke), dass diese keine Malware oder anderen Schadcode enthalten, mit denen der (Ethical) Hacker gehackt werden soll. Leider enthält die Mehrzahl der im Internet - insbesondere frei verfügbaren - Hacking Tools regelmäßig Malware und undokumentierte Hintertüren. Den gängigsten und populärsten Tools (etwa Nmap) kann man zwar trauen, aber die Creme de la Creme der Pentester schreibt selbstverständlich ihre eigenen Hacking Tools. Getreu dem Motto: "Trust no one."

Hacker-Tools für Profis

Wireshark: Ansichtsfilter

Wireshark: Mitschnitt ICQ-Chat

Nmap auf der Kommandozeile

Nmap intense scan all tcp

Nmap pingscan einer IP-Range

Nmap Tracert

Nmap zeigt offene Ports

Tshark

Wireshark

Wireshark

Wireshark Filter festlegen

Wireshark im Einsatz

Wireshark Infodialog

Wireshark Namensauflösung

Wireshark Optionen

Wireshark-Filter für ICMP

Zenmap visualisiert

Zenmap: GUI für Nmap

3. Das Pentesting-Ziel "kennen lernen"

Jeder Ethical-Hacking-Profi beginnt seine Arbeit damit, so viel wie möglich über sein Ziel zu erfahren und zu lernen. Dazu gehören beispielsweise Informationen über die IP-Adresse, das Betriebssystem, Applikationen und Versionsnummern, Patch-Stände, Netzwerk-Ports und alle anderen Daten, die sich für die Kompromittierung als nützlich erweisen könnten.

Es ist eine absolute Seltenheit, dass ein Profi-Pentester nicht bereits in den ersten Minuten eine offensichtliche, potenzielle Schwachstelle entdeckt. Und selbst wenn nicht: Auf Grundlage der gesichteten Informationen können weitere Angriffe, beziehungsweise Angriffsversuche gestartet werden.

4. Den Exploit ausführen

Das ist, wofür der Pentester sein Geld bekommt: der erfolgreiche Einbruch in ein System. Aus den in Phase drei gesicherten Informationen entwickelt der Ethical Hacker einen Exploit für eine identifizierte Schwachstelle und erlangt so unautorisierten Zugang (oder einen Denial of Service, falls das das Ziel war). Wenn ein Pentester es nicht schafft, ein bestimmtes Asset zu kompromittieren, muss er sich auf andere fokussieren. In aller Regel werden Profis aber schnell fündig. Der "Exploit-Part" ist dabei weniger kompliziert, als die meisten Menschen glauben. Um ein guter Ethical Hacker zu sein, muss man kein Genie sein, aber man benötigt zwei Eigenschaften unbedingt: Geduld und Durchhaltevermögen.

Je nach Schwachstelle oder Exploit kann an dieser Stelle ein weiterer Exploit nötig werden - etwa um einen normalen Zugang in einen Admin-Zugang zu "verwandeln". Im nächsten Schritt setzt der Penetration-Testing-Experte nun seinen Weg zum Ziel fort. Dabei bewegt er sich vertikal oder horizontal. Ersteres bezeichnet den Weg über externe Systeme, Zweiteres die Bewegung über dieselbe Klasse von Systemen. Manchmal muss das Ziel des Penetration Tests ganz konkret "erlangt" werden (etwa vertrauliche Daten), in anderen Fällen genügt eine Dokumentation darüber, wie dieser Vorgang abgelaufen wäre.

5. Ergebnisse dokumentieren

Last but not least wartet auch auf den Ethical Hacker Schreibarbeit: Die durchgeführten Maßnahmen, Erkenntnisse und Schlussfolgerungen müssen - je nach vorheriger Abmachung - mehr oder weniger detailliert dokumentiert werden.

Was ein Pentester können muss

Wie jede andere Disziplin der IT-Sicherheit, entwickelt sich auch das professionelle Penetration Testing und Ethical Hacking stets weiter. Hackende Einzelgänger, die zwar gut darin sind, mit ihrer technischen Überlegenheit zu prahlen, dafür aber Professionalität und Raffinesse vermissen lassen, sind bei Unternehmen nicht mehr sehr gefragt. Stattdessen suchen Firmen nach dem Profi-Hacker-Komplettpaket:

Bessere Toolkits: Software für Penetration- oder Vulnerability-Tests gehört seit jeher zum Toolkit eines Ethical Hackers. Inzwischen gibt es einige Programme, die Pentestern gehörig die Arbeit erleichtern - so wie das bei kriminellen Hackern auch der Fall ist.

Ein Beispiel für ein solches Werkzeug ist die Open-Source-Software Bloodhound. Sie erlaubt Angreifern, die Beziehungen zwischen verschiedenen Rechnern in einem Active-Directory-Netzwerk über eine grafische Oberfläche zu erfassen. Nach der Eingabe des gewünschten Ziels zeigt die Software - ähnlich wie ein Navigationssystem - verschiedene (Hacking-)Wege zum Ziel auf. Dabei werden unter Umständen auch Pfade aufgedeckt, die vorher nicht sichtbar waren. Im Zusammenspiel mit einigen Scripts kann ein großer Teil des Ablaufs automatisiert werden.

Kommerzielle Software-Lösungen für Ethical Hacker bieten solche Funktionen naturgemäß schon etwas länger.

Bilder und Videos: Um eine Investition in IT Security beim Vorstand durchzubringen, wurden Pentester früher entweder beauftragt, diesen zu hacken oder ihm eine umfassende Dokumentation vorzulegen. Heute erwartet das Management Präsentationen, Videos und Bildergalerien, die darüber Auskunft geben, wie die Hacks in ihrem Unternehmen abgelaufen sind. Die Materialien können nämlich im Nachgang zur Information weiterer Manager-Kollegen und für die Schulung von Mitarbeitern verwendet werden.

Machen Sie Ihr Security Awareness Training besser

Bestimmen Sie Metriken
Seien Sie in der Lage, den Erfolg Ihrer Bemühungen zu belegen. Das können Sie nur, wenn Sie Kennzahlen definieren, bevor Sie Ihr Awareness-Programm beginnen. Möglich sind Fragebögen zum Verhalten in bestimmten Situationen oder Phishing-Simulationswerkzeuge, die einen Angriff vor und einen nach den Trainigsmaßnahmen nachstellen. Ebenfalls lassen sich durch Mitarbeiter ausgelöste Incidents zählen - wie versuchte Besuche gesperrter Websites.

Bleiben Sie flexibel
Konzentrieren Sie sich nicht nur auf die Präventionsarbeit. Die Idee der "menschlichen Firewall" ist weit verbreitet, sie kommt aber erst dann zum Einsatz, wenn ein Angriff erfolgt. Warum nicht auch auf "menschliche Sensoren" setzen und bevorstehende Attacken versuchen zu erkennen? Lassen Sie Ihre Angestellten nach Indikatoren Ausschau halten, die einen möglichen Angriff ankündigen. Wenn Phishing-Simulationen stattfinden, sollte man auch darauf achten, wie viele Testteilnehmer den Angriff erkennen und melden.

Lassen Sie Regeln brechen
Wer sich nicht an Security-Regeln hält, kann seine eigene Security-Awareness steigern. Das Unternehmen sollte seinen Mitarbeitern ab und zu - nicht regelmäßig, damit es nicht zur Gewohnheit wird - die Freiheit geben, bestimmte Sicherheitsregeln zu brechen - aber nur solche, die keinen unmittelbaren Schaden anrichten. Nur wenn sie die Regel brechen, können die Mitarbeiter erkennen, was passiert, wenn die Regel gebrochen wird und warum es sie letztlich gibt. In einem Gespräch zwischen IT-Sicherheitsteam und Mitarbeitern lässt sich dann gemeinschaftlich nachvollziehen, welchen Zweck eine bestimmte Richtlinie verfolgt.

Wählen Sie einen neuen Ansatz
Die meisten Awareness-Programme haben nicht dazu geführt, dass die Mitarbeiter ihr Verhalten geändert haben. Das liegt nach Meinung vieler Experten aber daran, dass sie gar nicht darauf ausgelegt waren, das Verhalten zu ändern - sie sollten einfach nur geltende Compliance-Vorgaben erfüllen. Also wurde wenig in diese Trainings investiert - sowohl finanziell als auch inhaltlich. Nur, wer Gehirnschmalz in die inhaltliche Ausgestaltung seiner Securiy-Trainings steckt, kann das Mitareiterverhalten ändern.

Holen Sie sich Unterstützung vom C-Level
Wer die Unterstützung der Entscheiderebene hat, macht seine Security-Trainigs erfolgreicher. Wer ein Awareness-Programm plant, sollte sich zunächst starke Unterstützung von oben holen - und sei es nur mit Worten. Das führt zwangsläufig zu einer größeren Aufmerksamkeit in der Belegschaft, mehr Freiraum in der Ausgestaltung und Unterstützung anderer Abteilungen.

Machen Sie gemeinsame Sache mit anderen Abteilungen
Wenn ein IT-Security-Mitarbeiter ein Awareness-Trainingsprogramm aufsetzt, sollte er neben dem Vorstand auch andere Fachbereiche mit ins Boot holen - Personal, Marketing, Legal, Compliance, Datenschutzbeauftragter und Hausverwaltung. All diese Abteilungen haben ein direktes oder indirektes Interesse an dem Thema Security und können bei der Werbung und der Finanzierung helfen. Außerdem haben sie die Möglichkeit, die Trainings für die Mitarbeiter verpflichtend zu machen.

Seien Sie kreativ
Wer nicht kreativ ist, kann kein gutes Security-Training anbieten. Dazu könnte beispielsweise gehören, im Rahmen einer Firmenfeier im Eingangsbereich des Gebäudes eine Security-Wand aufzubauen, auf der - neben anderen Dingen - zehn gängige Sicherheitsfehler aufgeführt sind. Die Mitarbeiter, die alle zehn Fehler benennen können, nehmen an einer Verlosung teil.

Setzen Sie sinnvolle Zeitfenster
Die meisten Trainingsprogramme laufen über ein Jahr - jeder Monat steht unter einem bestimmten Thema. Besser ist ein 90-Tage-Plan - dadurch werden Inhalte und Ziele jedes Quartal neu auf den Prüfstand gestellt. So sind viele Programme deshalb erfolgreich, weil sie über ein Vierteljahr hinweg jeweils drei Themen parallel behandeln und die Themen dann wieder neu ausgesucht werden. So bleiben Sie auf dem Laufenden.

Wählen Sie einen multimedialen Ansatz
Jeder Mitarbeiter bringt andere Voraussetzungen mit, was IT-Sicherheit angeht. Jede/r möchte anders abgeholt werden. Setzen Sie daher auf verschiedenste Kommunikationskanäle, um für das Thema IT-Sicherheit zu sensibilisieren - beispielsweise über Newsletter, Poster, Spiele, Newsfeeds, Blogs, Phishing-Simulationen etc.

Risikomanagement: Es genügt keinesfalls, eine Liste mit gefundenen Schwachstellen im Unternehmen abzugeben. Heutzutage müssen Ethical Hacker und Pentester mit dem IT Management zusammenarbeiten, um die größten Bedrohungen und Schwachstellen zu identifizieren. Pentesting-Experten sind heute auch Teil der Risikomanagement-Abteilungen, schließlich hilft ihre Tätigkeit auch effektiv dabei, Risiken zu minimieren. Das sollten Ethical Hacker zu nutzen wissen: Sie sind in der Lage, Management und IT-Abteilung darüber aufzuklären, was in Zukunft mit hoher Wahrscheinlichkeit passieren kann. Es macht auch wenig Sinn, dem Vorstand einen Hack zu präsentieren, den in der Praxis kein Angreifer jemals ausführen würde.

Training und Zertifizierung: Viele Wege führen heute zur Pentesting-Zertifizierung, darunter einige Kurse und Zertifikate. Dort findet im Regelfall ein Hacking-Tool-Intensivkursprogramm unter professioneller Aufsicht statt.

Profi-Pentester oder Ethical Hacker ist kein Beruf, der für Jeden geeignet ist. Er setzt sowohl Expertenwissen über verschiedene Technologien und Technologieplattformen voraus, als auch echtes Interesse am Hacken. Wenn das für Sie kein Hindernis ist und Sie darüber hinaus in der Lage sind, die ethischen und rechtlichen Grundsätze zu befolgen, steht auch Ihrer Karriere als professioneller Hacker nichts mehr im Weg.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.