Ein proaktiver Schutz vor Hackerangriffen ist insbesondere für aus dem Internet erreichbare Systeme und Anwendungen substanziell. Ein Penetrationstest, kurz Pentest, und Security Scan sind in diesem Kontext häufig gefragte IT-Sicherheitsanalysen, werden aber oft verwechselt.
Sebastian Düringer, Senior Consultant im usd HeroLab und Verantwortlicher für unsere Security Scans, fasst für uns die wesentlichen Eigenschaften der beiden Analysemethoden zusammen und zeigt Unterschiede und Einsatzmöglichkeiten auf dem Weg zu mehr Sicherheit auf.
Was ist ein Security Scan?
Ein Security Scan, oftmals auch Schwachstellenscan genannt, ist eine automatisierte Überprüfung aller Systeme und von außen erreichbaren Services, Webanwendungen und Webservices/APIs, DNS-Server sowie mobilen Anwendungen (iOS und Android) auf bekannte Schwachstellen unter Berücksichtigung aktueller Angriffsvektoren. Nach folgenden Schwachstellen wird dabei unter anderem gesucht:
- Der Einsatz von veralteten Softwareversionen mit bekannten Schwachstellen: Dieser erlaubt es Angreifern, schnell und einfach bereits bekannte Exploits für Schwachstellen auszunutzen und so das System zu kompromittieren.
- Nicht rechtzeitige Installation von Sicherheitspatches: Hier können durch Sicherheitslücken Einfallstore für Angreifer entstehen.
- Standardeinstellungen, wie z.B. Standardpasswörter, werden nicht geändert: Häufig kursieren Standardeinstellungen im Internet und/oder können von Angreifern leicht erraten werden.
- Unverschlüsselte Kommunikation: Sensible Informationen können von Angreifern mitgelesen werden.
- Benutzereingaben, z.B. bei einem Webservice, werden nicht validiert: Dies kann zu unerwartetem oder unerwünschtem Verhalten führen, wie z.B. Cross-Site-Scripting-Angriffe (XSS) oder SQL-Injections.
Die identifizierten Schwachstellen werden entsprechend internationalen und renommierten Sicherheitsstandards bewertet und fließen in einen Ergebnisbericht. Hier werden die Kritikalitäten der Schwachstellen, die technische Beschreibung und Maßnahmenempfehlungen aufgezeigt
Die Analysemethode hilft so bei der Einhaltung von Best Practices im Bereich der IT-Sicherheit und liefert Ihnen erste Antworten zu potenziell vorhandenen Schwachstellen und nicht optimalen Konfigurationen. Somit bilden Security Scans eine solide Basis für Ihre IT-Sicherheitsstrategie. Zudem können die Scan-Ergebnisse als Ausgangspunkt für eine tiefgehende, manuelle Überprüfung beispielsweise in Form eines Pentests dienen.
Was ist ein Pentest?
Bei einem Pentest übernehmen Security Analyst*innen die Rolle eines böswilligen Hackers. Dabei überprüfen diese Ihre Umgebung, wie z.B. Netzwerke, Anwendungen, Cloud-Infrastruktur, SAP-Umgebung und Workstations auf technische Schwachstellen. Sie greifen hierbei auf Methoden und Vorgehensweisen zurück, die auch ein realer Angreifer nutzen würde, um Kontrolle über das jeweilige IT-System und seine Daten zu erlangen. Die Motivation und Möglichkeiten der Security Analyst*innen werden durch vorab definierte Analyseansätze abgebildet. Durch den Einsatz verschiedener Techniken und die Verwendung von selbst entwickelten und etablierten Tools werden potenzielle Schwachstellen von den Security Analyst*innen identifiziert und ausgenutzt, um diese zu verifizieren. Das Ziel ist es, Schwachstellen und Angriffspunkte zu finden, damit diese rechtzeitig behoben werden, bevor ein realer Angreifer sie ausnutzen kann.
So versuchen Security Analyst*innen beispielsweise bei einem Pentest auf Anwendungsebene, durch das Einschleusen von Schadcode unautorisierten Zugriff auf vertrauliche Informationen, wie z.B. Kreditkartendaten oder persönliche Kundendaten zu erhalten oder die unterliegenden Systeme zu kompromittieren.
Die gefundenen Schwachstellen werden anschließend nach international anerkannten Metriken im Ergebnisbericht bewertet, sodass Sie einen Überblick über das einhergehende Risiko sowie eine Einschätzung darüber erhalten, inwiefern diese von Angreifer ausgenutzt werden können. Darüber hinaus erhalten Sie konkrete Maßnahmenempfehlungen zur Behebung der Schwachstellen, sodass Sie Ihr IT-Sicherheitsniveau nachhaltig erhöhen und Ihre Risiken minimieren können.
Was sind die Unterschiede zwischen einem Security Scan und Pentest?
Der Hauptunterschied zwischen Security Scans und Pentests ist der menschliche Faktor. So ist die Prüftiefe des Security Scans limitiert, da beispielsweise nur die Schwachstellen überprüft werden, die in der Datenbank des Schwachstellenscanners hinterlegt sind. Dafür ist dieser schnell und kostengünstig durchführbar und bildet damit einen unkomplizierten Einstieg in technische Sicherheitsanalysen. Im Gegenzug dazu ist ein Pentest in Vorbereitung und Durchführung aufwändiger. Hier können Security Analyst*innen für den simulierten Cyberangriff ihr Fachwissen zu beispielsweise topaktuellen Schwachstellen einbringen, Schwachstellen so kombinieren, dass ein neuer Angriffsvektor entsteht oder sogar unbekannte Schwachstellen identifizieren. Durch die individuelle Betrachtung der identifizierten Schwachstellen werden diese validiert, wodurch keine False-Positives im Ergebnisbericht aufgeführt werden.
Welche Analysemethode kommt wann zum Einsatz?
Ob ein Pentest oder ein Security Scan eine geeignete Analysemethode für Sie darstellt, ist abhängig vom Schutzbedarf Ihrer zu testenden Umgebung und dem Risiko, das mit einem Hackerangriff einhergeht. Dies lässt sich am besten an konkreten Beispielen verdeutlichen:
Ein Onlineshop wird auf den eigenen Servern des Onlineshop-Betreibers betrieben, der dazugehörige Newsblog läuft allerdings auf Servern eines externen Dienstleisters. Wird der Onlineshop Opfer von einem Cyberangriff, hat dies direkte und essenzielle Auswirkungen auf das Unternehmen und stellt so ein höheres Risiko für den Onlineshop-Betreiber dar als ein Cyberangriff auf den Newsblog. Steht lediglich ein begrenztes Budget zur Verfügung, kann der Prüfumfang des Pentests auf den Onlineshop reduziert werden. Der Newsblog wird mithilfe eines Security Scans überprüft.
Ist die technische Sicherheitsüberprüfung eines großen Prüfumfangs (z.B. mehrere hundert Systeme und Anwendungen) durch ein Budget oder Zeitrahmen begrenzt, kann ein Pentest mit einem Security Scan im Rahmen eines risikobasierten Ansatzes kombiniert werden. Hierbei werden die identifizierten Schwachstellen und Services während des Scans von Security Analyst*innen verifiziert und es wird überprüft, ob durch das Ausnutzen der Schwachstellen Ihr Schadenspotential ansteigt.
Sie möchten Ihre IT-Umgebung schnell und einfach auf Schwachstellen untersuchen oder benötigen Unterstützung? Sprechen Sie uns gerne an!