Qualitätskriterien für Penetrationstests

Penetrationstests sind das Mittel der Wahl, wenn man konkrete Aussagen über die Sicherheit von IT-Systemen erhalten will. Als Werkzeug der kontinuierlichen Verbesserung liefern sie, regelmäßig durchgeführt, wichtige Kennzahlen zur Informationssicherheit und erfreuen sich daher bei Informationssicherheitsverantwortlichen großer Beliebtheit. Der Markt für Penetrationstests ist beträchtlich, die Anzahl der „schwarzen Schafe“ unter den Anbietern leider ebenso.

(Artikel als PDF)

Das Wichtigste zuerst: Schwachstellenscans sind keine Penetrationstests. Immer wieder werden die automatisch generierten Reports von Schwachstellenscannern als das Ergebnis eines Penetrationstests verkauft. Hierbei wird sich vollständig auf die Qualität und Kritikalitätseinstufung dieser Tools verlassen, auch wenn sie längst nicht alle Schwachstellen erkennen können und nicht sichergestellt ist, ob die gefundenen Schwachstellen im spezifischen Kontext überhaupt relevant sind.

Vorbereitung

In den letzten Jahren haben sich verschiedene Standards und Vorgehensmodelle für die Durchführung von Penetrationstests etablieren können. Gemein haben diese, dass vor dem Start klare Parameter für die Durchführung definiert werden müssen. Darunter zählen z.B. die Informationsbasis (Whitebox, Blackbox, Greybox), die Aggressivität beim Vorgehen (passiv, vorsichtig, abwägend, …) sowie die eingesetzten Techniken (Netzwerk, Physischer Zugriff, Social Engineering, etc.).

Durchführung

In der Regel werden Penetrationstests in mehreren Phasen durchgeführt: Von der Informationsbeschaffung (Reconnaissance) über die Identifikation von Schwachstellen und Angriffsvektoren (Enumeration) bis zum Versuch der Ausnutzung identifizierter Schwachstellen (Exploitation). Das Ergebnis wird in Form eines Abschlussberichts dokumentiert; von ihm hängt es letztendlich ab, ob der Auftraggeber den gewünschten Nutzen aus einem Penetrationstest ziehen kann.

Bericht

Neben einer realitätsnahen Kritikalitätseinstufung von Schwachstellen sind klare und priorisierte Handlungsempfehlungen die wichtigsten Inhalte eines Abschussberichtes. In der Praxis hat sich für die Einstufung der Kritikalität die Darstellung in Form einer Risikoanalyse bewährt. Das Risiko wird gemeinhin als Produkt von Eintrittswahrscheinlichkeit und Schadenspotential definiert. Die Einschätzung der Eintrittswahrscheinlichkeit beschreibt im Kontext des Penetrationstests, mit welchem Aufwand eine Schwachstelle ausgenutzt werden kann. Umso niedriger der Aufwand, desto höher die Eintrittswahrscheinlichkeit. Die Robustheit und Erreichbarkeit des jeweiligen Systems sowie Sichtbarkeit, Bekanntheit und Ausnutzbarkeit der Schwachstelle geben hier neben der Effektivität vorhandener Schutzmaßnahmen wichtige Anhaltspunkte. Die Bewertung des Schadenspotentials erfolgt in der Regel auf Basis der möglichen Konsequenzen einer Verletzung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit sowie des geschätzten Aufwands für die Wiederherstellung. Da es sich hierbei nur um eine Einschätzung in Bezug auf das betreffende System oder die untersuchte Infrastruktur handelt, kann an diesem Punkt keine Aussage über das resultierende Organisationsrisiko getroffen werden. Dies sollte im Anschluss vom Auftraggeber zusammen mit den jeweiligen Risikoeigentümern bewertet werden. Bei den resultierenden Handlungsempfehlungen geht es schließlich darum, die Sicherheitslücken durch Sofortmaßnahmen zu schließen und durch technische oder organisatorische Maßnahmen sicherzustellen, dass diese zukünftig nicht mehr auftreten.

Dienstleister

Penetrationstests geben, sofern sie von fachkundigen und erfahrenen Anbietern durchgeführt werden, eine gute Momentaufnahme bezüglich der Sicherheit von IT-Systemen und können organisatorische Mängel im Informationssicherheitsprozess aufdecken. Die Auswahl geeigneter Dienstleister ist dementsprechend von besonderer Bedeutung. Persönliche Empfehlungen oder die Möglichkeit einer Kontaktaufnahme zu Referenzkunden können dabei sehr hilfreich sein. Letzteres ist in der Praxis jedoch nur selten möglich. Hinweise auf das Vorgehen und die zu erwartende Dokumentation können Abschlussberichte bereits durchgeführter Penetrationstests geben (natürlich in anonymisierter Form). Gleichfalls helfen sie dabei, ein gemeinsames Verständnis über Umfang und Ziele des Penetrationstests zu erreichen. Auch die seit geraumer Zeit existierenden Zertifizierungen für Penetrationstester oder Dienstleistungsunternehmen können für den Nachweis der Fachkompetenz herangezogen werden, obgleich hier große Unterschiede in Bezug auf Anforderungen und Praxisrelevanz existieren. Sie sollten daher immer hinterfragt und niemals als alleiniger Nachweis genutzt werden.