/ Penetration Testing - Belastungsprobe für IT-Systeme
10 Mar 2025
Ich möchte dir heute von einem Kunden erzählen, nennen wir ihn Robert. Robert führt ein kleines Unternehmen mit sieben Mitarbeitern, das sich auf Social-Media-Marketing spezialisiert hat. Eines Tages rief er völlig verzweifelt bei mir an. Bei einer Routinekontrolle hatte sich herausgestellt, dass sich Fremde Zugriff auf interne Daten verschafft hatten. Der Unternehmer war sehr besorgt - und ratlos. Wie konnte das passiert sein? Er hatte Cybersecurity doch immer ernst genommen. Und was sollte er jetzt tun? Ich versprach, ihm zu helfen. Dabei wollte ich Penetration Testing einsetzen. Lass mich dir ein wenig mehr über diese Methode zur Erhöhung der IT-Sicherheit erzählen.
Penetration Testing oder kurz Pen Testing ist eine systematische Schwachstellenanalyse eines IT-Systems. Dabei werden Fachkräfte aus dem Bereich der Cybersecurity selbst zu Hackern, die versuchen, IT-Systeme ihrer Kunden zu knacken. Natürlich möchten sie jedoch nicht von gewonnenen Daten profitieren. Aus diesem Grund nennt man diese Art von Hacking auch White-Hat-Hacking, weil sie gute Absichten verfolgt. Alle Massnahmen, die darauf abzielen, Schwachstellen in einem IT-System aufzudecken, werden unter dem Oberbegriff Sicherheitsaudit zusammengefasst. Kommen dabei White-Hat-Hacker zum Einsatz, ist von ethischem Hacking die Rede.
"Und was soll dieser Penetrationstest bringen?", fragte mich Robert bei unserem ersten Treffen. Er war sehr skeptisch - und gar nicht begeistert, dass ich mir gewaltsam Zugriff auf seine Systeme verschaffen wollte. "Ganz einfach: Wenn ich Sicherheitslücken finde, tun das echte Hacker auch", antwortete ich. Mit Pen Tests versucht man also, Sicherheitslücken aufzudecken, bevor es Cyberkriminelle tun - und diese anschliessend zu schliessen.
In der Praxis unterscheidet man drei verschiedene Arten von Pen Tests: Black-Box Tests, White-Box Tests und Gray-Box Tests. Die Unterscheidung basiert darauf, wie viele Informationen der White-Hat-Hacker über das System erhält, das er überprüfen soll. Bei einem Black-Box Test wird der Experte dabei völlig im Dunkeln gelassen. Das komplette Gegenteil ist der White-Box Test, bei dem alle Grundlagen wie Protokolle oder der Quellcode und sogar Anmeldedaten offengelegt werden. Gray-Box Tests befinden sich irgendwo dazwischen. Pentester erhalten dabei einige Informationen über das IT-System, vieles müssen sie sich jedoch selbst erarbeiten.
In Roberts Fall habe ich mich für einen Black-Box Test entschieden. Wir hatten ja bereits den Beweis, dass Sicherheitslücken im System vorhanden waren. Es ging also nicht darum, eine präventive Schwachstellenanalyse durchzuführen, sondern herauszufinden, wie es den Hackern gelungen war, Roberts Systeme zu infiltrieren. Black-Box Tests bilden dabei am besten die Realität ab, denn auch Black-Hat-Hacker haben schliesslich keine Informationen über die IT-Infrastruktur in einem Unternehmen. Diese Tests erfordern allerdings auch einiges Können vom Pentester. Im Grunde muss er so gut wie ein "echter" Hacker sein - und dennoch keine bösen Absichten haben. Ein Vertreter des ethischen Hackings eben.
Pen Tests laufen immer nach dem gleichen Schema ab, um die IT-Sicherheit zu testen. Zunächst verschafft sich der Pentester Informationen über das IT-System seines Auftraggebers. In einem White-Box Test studiert er beispielsweise die zur Verfügung gestellten Daten, während er bei einem Black-Box Test vielleicht auch Social-Media-Accounts der Mitarbeiter studiert. Bei Roberts Unternehmen bin ich ähnlich vorgegangen. Den entscheidenden Hinweis entdeckte ich in diesem Fall auf der Unternehmenswebseite.
Anschliessend entwickelt der Pentester eine Angriffsstrategie. Bei meiner Überprüfung der Homepage von Roberts Unternehmen erfuhr ich, dass dort eine bestimmte Anwendung genutzt wird. Aus früheren Fällen wusste ich, dass dieses Programm oft Sicherheitslücken aufweist. Deshalb wollte ich hier mein Glück versuchen.
Danach erfolgt der eigentliche Angriff. Dabei sind viele Methoden denkbar, zum Beispiel Denial-of-Service-Angriffe, bei denen Server durch tausende Anfragen in die Knie gezwungen werden, oder Brute-Force-Angriffe, die auf systematisches Ausprobieren möglicher Zugangsdaten setzen. Eine weitere beliebte Hacker-Strategie ist Social Engineering. Dabei nutzen Angreifer gezielt die Gutgläubigkeit von Menschen aus, um an Informationen und Daten zu gelangen. Phishing ist das wohl prominenteste Beispiel hierfür. In Roberts Fall gelang es mir, mich in den Datenverkehr zwischen der riskanten Anwendung und einem weiteren Programm zu schalten, wobei mir ein paar nützliche Tools halfen. Von dort aus könnten Cyberkriminelle Malware ins IT-System des Unternehmens schleusen. Solche Strategien bezeichnet man übrigens als Man-in-the-Middle-Angriff.
Im Anschluss daran weiten Pentester ihren Zugriff so weit wie möglich aus. Das geschieht über das Infiltrieren mit Schadsoftware oder weitere Angriffspunkte. Zum Schluss werden - bei einem Penetrationstest, aber leider nicht bei einem echten Cyberangriff - alle Spuren beseitigt und ein Bericht verfasst, der neben den Ergebnissen auch empfohlene Massnahmen zur Verbesserung der Cybersecurity enthält.
Um zu einem effektiven IT-Risikomanagement beizutragen, stehen Pentestern viele verschiedene Tools zur Verfügung. Eines, das bereits seit mehr als 20 Jahren auf dem Markt ist, ist Core Impact. Es beinhaltet eine grosse Menge an Exploits - das sind systematische Möglichkeiten, aufgrund von Schwachstellen in IT-Systeme einzudringen.
Dirsearch hingegen überprüft Dateien und Verzeichnisse mithilfe einer Brute-Force-Methode. Dabei versucht das Tool unerbittlich, Schwachstellen zu identifizieren und sich Zugang zu verschaffen, bis es schliesslich erfolgreich war.
Ein weiteres Tool, das zahlreiche Exploits beinhaltet und systematisch nach Sicherheitslücken sucht, ist Metasploit. Eine Besonderheit bei diesem Programm ist die Möglichkeit, alle Exploits mit allen möglichen Payloads zu kombinieren. Payload meint dabei den Code, der umgesetzt werden soll, falls ein Einbruch auf den Zielrechner erfolgreich ist.
Um sich ein umfassendes Bild über das Netzwerk des Zielrechners zu machen, ist das Tool NMAP gut geeignet. Mithilfe verschiedener Scan- und Erkennungsmechanismen versorgt es den Pentester mit Informationen und ist dabei zudem besonders intuitiv zu bedienen. Diese Anwendung half mir auch in Roberts Fall, mehr über seine IT-Infrastruktur in Erfahrung zu bringen.
Die gerade genannten Tools sind nur ein paar Beispiele für zahlreiche Anwendungen, die für ethisches Hacking eingesetzt werden. Aber nicht nur dort - auch Cyberkriminelle nutzen diese Programme für ihre Angriffe. Das zeigt, wie schmal die Grenze zwischen Black-Hat- und White-Hat-Hacking verläuft. Im Grunde genommen ist der einzige Unterschied die Motivation hinter der Schwachstellenanalyse.
Aus diesem Grund war auch die Rechtslage lange unerbittlich und stellte jede Form des Hackings unter Strafe, unabhängig davon, welche Ziele damit verfolgt werden: "Wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft" (Strafgesetzbuch Art. 143bis). Mittlerweile liegt ein neues Rechtsgutachten vor, das Straffreiheit aufgrund eines rechtfertigenden Notstands ermöglicht. Deshalb hatte auch ich nichts zu befürchten, schliesslich wurde ich von Robert dazu aufgefordert, in seinem Unternehmen die IT-Sicherheit zu testen.
KMU profitieren auf besondere Weise von Penetrationstests. Häufig weist deren IT-Risikomanagement Mängel auf, was unter anderem darauf zurückzuführen ist, dass sie keine eigenen IT-Sicherheitsexperten beschäftigen. Gleichzeitig werden KMU besonders häufig Opfer von Hackerangriffen, die hohe finanzielle Schäden und Reputationsverluste nach sich ziehen - Cybersecurity ist für sie also besonders wichtig. Penetration Testing für KMU stellt eine Möglichkeit dar, Schwachstellen systematisch aufzudecken und rechtzeitig zu beheben, bevor sich diese jemand anderes mit schlechteren Absichten zunutze macht.
Die grösste Schwierigkeit bei Penetrationstests ist die Tatsache, dass es sich dabei um eine Momentaufnahme handelt. Auch wenn ein solcher Test zu dem Ergebnis kommt, dass die IT-Systeme des Auftraggebers ausreichend geschützt sind, können Cyberkriminelle schon eine Stunde später eine neue, bisher unbekannte Methode entwickeln, um getroffene Sicherheitsmassnahmen zu umgehen. Ein einmaliger Test ist deshalb wenig sinnvoll, stattdessen sollten regelmässige Wiederholungen eingeplant werden. Eine weitere Herausforderung ist die Abhängigkeit des Ergebnisses von der Sorgfalt und Kompetenz des Pentesters.
Penetrationstests, die als White-Box Test konzipiert sind, arbeiten oft strategisch Checklisten ab, um Schwachstellen in IT-Systemen zu ermitteln. Das spiegelt allerdings nicht die Ernsthaftigkeit und den Einfallsreichtum wider, mit dem Cyberkriminelle vorgehen. Deshalb ist sogenanntes Red Teaming eine zunehmend verbreitete Alternative zu solchen Tests. Dabei wird ein Hackerangriff simuliert - es geht also wirklich darum, mit allen zur Verfügung stehenden Mitteln Zugriff auf Systeme zu erhalten. Ein anderer Ansatz ist der Einsatz von KI bei der Schwachstellenanalyse.
Penetration Testing für KMU sucht systematisch nach Schwachstellen in den IT-Systemen von Unternehmen. Die Ergebnisse werden anschliessend ausgewertet und Sicherheitslücken durch geeignete Massnahmen behoben. Insofern sind Pen Tests ein Versuch, Cyberkriminellen zuvorzukommen. Nachdem dabei oft dieselben Methoden verwendet werden wie von Hackern, gehören Penetrationstests zu ethischem Hacking, das bei der Erfüllung der Voraussetzungen straffrei bleibt.
Robert hatte übrigens Glück im Unglück. Die IT-Systeme seines Unternehmens waren zwar infiltriert, es kam jedoch zu keinen Schäden. Wir konnten alle Spuren der Eindringlinge beseitigen und Sicherheitslücken schliessen. Seitdem beauftragt er mich regelmässig damit, ein Sicherheitsaudit durchzuführen. Vorsicht ist schliesslich besser als Nachsicht.
Quellenangaben:
Und keine Neuigkeiten mehr verpassen
Beantworte einfach ein paar Fragen und finde direkt heraus, wie sicher dein Unternehmen wirklich ist.
Wie gut ist dein Unternehmen gegen Cyberangriffe geschützt? Finde es heraus - mit einem Pen Test! Was das ist, erfährst du hier!
Starke Passwörter machen Hackern das Leben schwer(er). Erfahre hier, was eine sichere Passwortverwaltung im Unternehmen bedeutet.
Die meisten Hackerangriffe bedrohen KMU - warum das so ist und wie du dein Unternehmen schützen kannst, erfährst du hier!