2028805

Test: Ist Ihr PC, Server oder Netzwerk sicher vor Angriffen?

29.12.2015 | 08:20 Uhr |

Experten ermitteln mit einem simulierten Cyber-Angriff (Penetrationstest), ob und wie Ihre PCs, Server und Netzwerke angreifbar sind. Dabei sollten Sie aber einiges beachten.

Wer einen externen Dienstleister mit einer Sicherheitsanalyse oder einem Penetrationstest beauftragt, kann sich erst einmal zurücklehnen… Naja, fast! Denn im Vergleich zu anderen Sicherheitsmaßnahmen binden diese Tests während des eigentlichen Prozesses tatsächlich kaum Ressourcen im Unternehmen. Damit der simulierte Cyber-Angriff verwertbare Ergebnisse und damit einen Sicherheitsgewinn für die Organisation bringt, ist eine gute Vorbereitung und Nachbereitung trotzdem unerlässlich. Nachfolgend ein paar Tipps für die Praxis.

Die Vorbereitung

Welche Ziele verfolgen wir? Diese Frage sollte sich die Organisation als erstes stellen, denn nach diesen Antworten richten sich Form und Umfang der Maßnahme. Daneben ist zu definieren, welche Bereiche näher in Augenschein zu nehmen sind und vor allem, zu welchem Zeitpunkt. Denn soll der simulierte Angriff realistisch sein, sind Störungen des Produktivsystems unter Umständen nicht auszuschließen.

Eine Möglichkeit, Risiken für den Betrieb zu umgehen, ist der Test in der produktionsfreien Zeit. Wird ein System-Ausfall bewusst einkalkuliert, ist auch die Zeit miteinzuberechnen, die es braucht, das System wieder hochzufahren. Ein professioneller Dienstleister lotet mit seinem Auftraggeber den optimalen Test-Zeitpunkt aus. Abzuklären ist im Zusammenhang mit hochkritischen Systemen auch, welcher Plan in einem Notfall greift und wer zur Kommunikationskette gehört.

Am Anfang schon ans Ende denken

Je größer der Bereich der IT, den die Security Analysts unter die Lupe nehmen sollen, desto höher möglicherweise die Anzahl der Findings. Auch wenn professionelle Security Analysts die Ergebnisse nach Risiko-Dringlichkeit priorisieren - irgendwann muss die IT auch die weniger kritischen Schwachstellen schließen. Hat die Organisation genügend Ressourcen und Zeit, um sich in einem bestimmten Zeitraum um alle entdeckten Sicherheitslücken zu kümmern?

Die Erfahrung zeigt: Werden weniger dringliche Tasks auf die lange Bank geschoben, bleiben sie meist unerledigt. Bestenfalls treten sie als Finding bei der nächsten oder übernächsten Analyse wieder auf, schlimmstenfalls wachsen sie zu einem hochkritischen Problem aus. So oder so: Aussitzen lassen sich Schwachstellen nicht. Deshalb: Realistische Ziele definieren - am besten in einem Prüfplan.

Prüfplan erstellen

Er hilft nicht nur, das Vorhaben zu strukturieren, sondern auch das interne Sicherheits-Monitoring generell zu verstetigen. Wichtigster Ordnungsfaktor ist die Kritikalität von Bereichen, Anwendungen, Komponenten oder Geräten. Diese kann abhängig sein von den Prozessen innerhalb der Wertschöpfungskette, der Anzahl der Nutzer oder der Prominenz von Systemen mit hochkritischen Daten. In diesen Prüfplan lassen sich auch Aufgaben integrieren, die schon seit längerem hätten ausgeführt werden sollen, aus Ressourcenmangel aber liegengeblieben sind.

Zugangsdaten

Um die Verwundbarkeit einer Organisation aus verschiedenen Blickwinkeln zu evaluieren, schlüpfen Security Analysts in der Regel in verschiedene Rollen: die des normalen Benutzers, des Administrators oder eines Super-Users mit Zugriff auf hochkritische Daten. Banal, aber essenziell: Die Zugangsdaten für die einzelnen Rollen sollten rechtzeitig verfügbar sein.

Mitarbeiterinformation

Ob sie erforderlich ist, hängt ganz von den Zielen der Sicherheitsanalyse oder des Penetrationstests ab. Grundsätzlich ist immer zu prüfen, ob die Arbeitnehmerrechte in Bezug auf den Datenschutz gewahrt bleiben. Sind personenbezogene Daten vom Test betroffen, sind Mitarbeiter zu informieren bzw. ist der Betriebsrat einzuschalten. Wie der Einzelfall zu behandeln ist, lässt sich im Vorfeld in einem Gespräch mit der Personalabteilung oder mit dem Datenschutzbeauftragten klären. Es empfiehlt sich auch hier, auf die Branchenerfahrung des externen Dienstleisters zurückzugreifen. Einige grundlegende Rechtsfragen klären wir in unserem Beitrag "Was Security Analysts dürfen und was nicht" .

Die Nachbereitung

Es hat sich bewährt, die Ergebnisse von Sicherheitsanalyse oder Penetrationstest im Rahmen eines Workshops zu besprechen. Hier lassen sich Fragen zu Kritikalität, Risikobewertung und zur Priorisierung klären und Empfehlungen des Dienstleisters für wirksame Gegenmaßnahmen eingehend erörtern. Der externe Anbieter kann wertvolle Unterstützung leisten, wenn es darum geht, Maßnahmen und Risiken auf Basis der Findings detailliert zu begründen und diese in einen größeren Bedrohungszusammenhang einzuordnen.

Maßnahmenplan

Nach dem Workshop sollte sich die Organisation Zeit dafür nehmen, die gefassten Entscheidungen in einen Maßnahmenplan zu gießen, Verantwortlichkeiten und Prozesse zu definieren und einen Zeitpunkt festzulegen, bis zu dem die Tasks abgearbeitet sein sollten. Dabei sollte sie den Transfer leisten, nicht nur die konkreten Fehler, sondern vor allem auch Fehlerklassen zu berücksichtigen, denn weder eine Sicherheitsanalyse noch ein Penetrationstest haben den Anspruch auf Vollständigkeit.

Beispiel: Findet der Security Analyst heraus, dass der Parameter Benutzername in der Login-Maske anfällig ist für eine SQL-Injection , reicht es nicht, nur diesen konkreten Fehler zu beheben. Vielmehr ist die grundsätzliche Auswertung der Eingabefelder zu prüfen, um die Möglichkeit von SQL-Injections in allen Eingabefeldern zu unterbinden.

Sind die Gegenmaßnahmen umgesetzt, lohnt sich eine Nachprüfung durch den Security Analyst. Meist ist diese nicht Bestandteil des ursprünglichen Prüfumfangs, sondern eine zusätzliche Investition, deren Aufwand wiederum von Qualität und Quantität der Findings abhängt.

Nach dem Test ist vor dem Test

Auf Basis der Erfahrungen des jüngsten Sicherheits-Monitorings sollten der Prüfplan aktualisiert und die nächsten Termine für die Sicherheitsanalyse oder den Penetrationstest definiert werden. Ziel des Prüfplans muss es sein, ein kontinuierliches Monitoring sicherzustellen und alle kritischen Komponenten der Infrastruktur sowie Anwendungen zu integrieren. (sh)

0 Kommentare zu diesem Artikel
2028805