Ethical Hacker bzw. White Hat Hacker handeln heutzutage nach einem moralischen Kodex und führt Analysen für die Sicherheit von Computernetzwerken und – systemen aus der Perspektive eines Angreifers durch. Dies passiert im Rahmen eines Penetration Tests. Viele Anwender fragen sich, wie ein solcher Test eigentlich abläuft und welche Heimtücken es gilt, dabei zu umgehen. Dieser Artikel zeigt, worauf es dabei ankommt und enthält Tricks und Tipps für die praktische Durchführung. Penetration Testing, kurz Pentests, haben in den vergangenen Jahren mehr und mehr an Popularität dazugewonnen. Dies liegt einerseits an der medialen Präsenz, andererseits aber auch daran, dass diese einfach ein bekanntes Mittel sind, um die IT-Infrastruktur von Organisationen und Unternehmen auf die Sicherheit hin zu prüfen. Dazu kommt, dass es inzwischen einige passende Maßnahmen gibt, welche die Pentests vorschreiben bzw. anraten, welcher für alle Dienstleister um die Zahlungsabwicklung mit der Kreditkarte gültig ist. Dazu gehört Beispiel der Payment Card Industry Data Security Standard. Dennoch bleibt das Vorbereiten des Durchleuchtens und Abfangens der Daten oder das unautorisierte Eindringen in die fremden Rechnersysteme, das Stören der Funktion von Computern sowie das Manipulieren der Daten, gemäß §§ 202c, 303a und 303b StGB eine rechtliche Straftat. Somit bewegen sich ebenfalls die Ethical Hacker zuerst einmal auf einem besonders dünnen Eis. Der Umfang und die Art der Hackingtätigkeit muss vom Auftraggeber befürwortet sein, um sich dabei nicht strafbar zu machen. Nun wollen wir die generellen Festlegungen für Pentests und die wichtigsten Fallstricke, die hierbei auftreten können, genau betrachten. Wozu Penetration Tests? Der Pentest ist eine vorsorgliche Maßnahme, um Schlimmes zu verhindern. IT-Systeme – vor allem in großen Unternehmen – sind inzwischen besonders komplex aufgebaut, sodass es oftmals dazu ein Team aus Experten braucht, um das komplette Arsenal zu warten und voranzutreiben. Zugleich werden in aller Regel die passenden Produkte eingekauft, welche das Versprechen abgeben, das System gänzlich zu schützen, wie zum Beispiel die Anti-Viren-Programme und die Firewalls. Dennoch bzw. gerade deswegen kann sehr schnell der Überblick über die eventuellen Verknüpfungen und Angriffspunkte des Netzwerkes im Unternehmen zur Außenwelt verloren gehen. Hierdurch entstehen Schwachstellen, welche ein Angreifer ausnutzen kann. Die Pentester sind professionelle IT-Experten für die Sicherheit, welche das Netzwerk auf diese eventuellen Schwachstellen hin untersuchen, gefundene Stellen dokumentieren sowie Lösungen zur Beseitigung aufzeigen. Hierbei geht der Penetration Test weiter als das bekannte Security-Audit, bei welchem formale Aspekte der Sicherheitsorganisation überprüft sowie eventuell ein automatischer Vulnerability-Scan mit einem der bekannten Tools, wie OpenVAS oder Nessus durchgeführt wird. Ein passender Pentester sucht zudem manuell nach möglichen Schwachstellen und kann Technologien, wie zum Beispiel das Social Engineering einsetzen, welche nur bedingt automatisierbar werden. Die Ergebnisse sind dabei nur abweichend aussagekräftiger als automatische Security-Analysen. Der Penetration Test ist eine empfindliche Angelegenheit. Der Ethical Hacker, welcher solche Penetration Tests anbietet, muss daher aufrichtig auftreten und dabei das Wohl der Kunden im Auge behalten. Leider gibt es auch hier viele schwarze Schafe, welche mit der Angst spielen und das Sicherheitskonzept in jener Art verkaufen möchten. Wenn Sie nicht schnell diesen Pentest kaufen, könnten bereits morgen schon die Hacker in das Netzwerk eindringen. Angst ist dabei allerdings kein guter Ratgeber und kann dabei zu unüberlegten und vorschnellen Handlungen führen. Jener Aktionismus führt dann schnell zu Fehlern und bringt die Gefahr, dass der Auftraggeber sowie der Auftragnehmer mit diesem Ergebnis nicht zufrieden sind. Dabei ist es ein wichtiger Tipp, dass die Penetration Tests im Angebot sind und die Kunden sich um Ernsthaftigkeit, unerlässliche Kundenorientierung und Seriosität sicher sein müssen. Es geht am Ende vor allem stets darum, die IT-Systeme eines Kunden auf Dauer sicherer zu machen, und nicht, dem betroffenen Kunden zu zeigen, welch guten Hacking-Fähigkeiten ein Pentester besitzt. |