Der Schutz unternehmenseigener Daten ist heute aufgrund zunehmender Angriffe auf die IT-Infrastruktur durch Hacker dringender nötig, als je zuvor. Unternehmen können verschiedene Schutzmaßnahmen durchführen, als Grundlage können Penetrationstests dienen.
Finanzinstitute und allen voran Banken gehören zu den Unternehmen, die ein besonders hohes Gefährdungspotenzial hinsichtlich Cyber-Kriminalität haben. Gelangen Hacker hier an Kundendaten, Passwörter oder Zugangsberechtigungen, kann sich der finanzielle Verlust schnell summieren. Aus diesem Grund nutzen viele Unternehmen auf IT-Sicherheitsbewertungen spezialisierte Unternehmen. Die Experten sollen dabei helfen, unsere Daten und unser Geld noch effizienter zu schützen.
Penetrationstest: Wozu er dient
Ziele von Hackern sind meist der Diebstahl von Kunden- oder Firmendaten, die Platzierung von Schadsoftware zum Zweck der Erpressung oder die unbemerkte Einschleusung von Ransomware (auch als Kryptoware oder Trojaner bekannt), mit der man die Kontrolle über ein System erlangt und seine Nutzung durch andere unmöglich macht. Ziel ist meist Sabotage aus einer terroristischen Motivation. Ein Penetrationstest lässt sich als im Vorfeld zwischen Auftraggeber und IT-Sicherheitsunternehmen vereinbarter Versuch beschreiben, in die IT-Infrastruktur eines Unternehmens einzudringen.
Dr. Ewan Fleischmann, Geschäftsführer der auf Penetrationstests spezialisierten Redlings GmbH, fasst die Arbeit von IT-Sicherheitsexperten so zusammen: „Wir stärken die Informationssicherheitsinfrastruktur unserer Kunden, indem wir durch unsere Penetrationstests und Beratung eine fortschrittliche gegnerische Perspektive einbringen.“ Auch durch die Arbeit solcher Spezialunternehmen wird dem Kundenwunsch nach bestmöglicher IT-Sicherheit Rechnung getragen.
Perspektivwechsel beim Penetrationstest
Eine große Besonderheit bei Penetrationstests besteht darin, dass sich die Tester mit den Methoden der Hacker auskennen und sie für ihre Tests nutzen. Das bedeutet nichts anderes, als dass IT-Sicherheitsexperten, die mit einem solchen Pentest beauftragt werden, bei ihrem Versuch des Eindringens genauso vorgehen, wie es Hacker tun würden. Sie wechseln sozusagen in die Position der Cyber-Kriminellen und nutzten deren Wissen für den Penetrationstest.
Allerdings, und das ist der wesentliche Unterschied zum kriminellen Hacker, haben die IT-Sicherheitsfachleute das Einverständnis des Unternehmens, also etwa der Bank oder des Kreditkartenunternehmens, für das sie tätig werden. In einem Dienstleistungsvertrag wird vor dem Penetrationstest exakt festgehalten, welche Bereiche dem Test unterzogen werden, mit welchen Methoden die Tester vorgehen und welche sie nicht verwenden dürfen. Zudem wird ein Zeitrahmen für den Penetrationstest festgelegt.
Wesentlicher Faktor ist die Klärung der Eigentumsverhältnisse der zu testenden Systeme bzw. Systemdienste. Es darf laut Gesetzgeber nur getestet werden, was Eigentum des Auftraggebers ist bzw. woran er die alleinigen Rechte besitzt. Was immer Bestandteil eines Vertrages sein muss, ist einmal das explizite Einverständnis des Auftraggebers, die namentliche Nennung des Testers/der Tester sowie eine Verschwiegenheitserklärung aller Beteiligten.
Der Ablauf: Diese Schritte werden beim Penetrationstest ausgeführt
Ein Pentest wird in mehreren Schritten durchgeführt, die jeweils aufeinander aufbauen. Wird das Netzwerk einer Bank einem externen Penetrationstest unterzogen, ist in etwa folgender Ablauf denkbar:
- Enumeration: Identifizieren sämtlicher IT-Systeme der Bank sowie aller im Bereich der Bank ausgeführten Dienste und Aufruf von DNS-Einträgen, mit denen sich weitere Systeme identifizieren lassen.
- Schwachstellen identifizieren : sammeln von Informationen zu laufenden Versionen, erhalten von Informationen zur Konfigurationen durch entsprechende Interaktionen mit relevanten Diensten.
- Schwachstellen-Ausnutzung: Prüfung extern erreichbarer Dienste auf Schwachstellen oder Fehlkonfigurationen, Prüfung gefundener Exploits hinsichtlich ihrer Auswirkungen auf die Stabilität der Zieldienste, Testen der Schwachstellen hinsichtlich der Chancen auf erfolgreiche Ausnutzung durch den Einsatz identifizierter Exploits.
- Post-Exploitation: war eine Ausnutzung der Schwachstelle möglich, Überprüfung hinsichtlich der Erreichung des vor dem externen Penetrationstest festgelegten Ziels.
- Neuer Test/Fortsetzung des Tests: Überprüfung weiterer entdeckter Schwachstellen auf Ausnutzbarkeit mit dem Ziel des Eindringens in das interne Netzwerk der Bank.
Ist es dem IT-Sicherheitsexperten gelungen, Zugriff auf das interne Netzwerk zu erlangen, kann ein interner Penetrationstest angeschlossen werden. Bei diesem agiert der Tester wiederum aus der Perspektive eines Hackers, der dann den erhaltenen internen Zugriff verwendet, um tiefer in die IT-Infrastruktur einzudringen. Das kann ein durch Spear-Phishing erlangter Kontozugriff, ein durch Spear-Phishing oder einen Mitarbeiter kompromittierten Server in der DMZ bzw. die Verwendung eines internen Netzwerkanschlusses, an den ein Laptop oder ein ähnliches Endgerät angeschlossen wurde.
Hohe Anforderungen an die IT-Sicherheitsstrategie bei Banken
Gerade durch die immer umfassendere Digitalisierung im Bereich des Tagesgeschäfts müssen Banken eine durchdachte, fortlaufend optimierte IT-Sicherheitsstrategie besitzen. Je mehr Prozesse automatisiert ablaufen und für die das Internet verwendet wird, desto größer ist das Gefährdungspotenzial. IT-Governance und Informationssicherheit müssen höchste Priorität haben, denn es geht darum, die Einlagen und Daten der Bankkunden zu schützen. Außerdem dienen effiziente Sicherheitsmaßnahmen dazu, den guten Ruf der Bank zu bewahren. Nicht zuletzt geht es beim Thema IT-Sicherheit immer auch um Kundenbindung, denn Bankkunden bleiben bei einer Bank, von der sie wissen, dass sie mit allen zur Verfügung stehenden Mitteln dafür sorgt, dass vertrauliche Daten, sensible Informationen und vor allem auch das Geld sicher sind. Ein regelmäßig durchgeführter Penetrationstest zeigt bekannte und noch nicht entdeckte Schwachstellen auf, ermittelt das Gefährdungspotenzial solcher Sicherheitslücken und gibt wertvolle Hinweise auf Schutzmaßnahmen. Dadurch kann er für jede Bank eine wichtige Grundlage für die Entwicklung einer effektiven IT-Sicherheitsstrategie sein.