Alle Beiträge von Sebastian Brabetz

Penetrationstest vs. Schwachstellenscan: der Leitfaden

Wenn Unternehmen einen Penetrationstest beauftragen wollen, sollten sie zunächst ihr Verständnis dessen prüfen – das heißt Definition und Scope – und was das genaue Ziel der Überprüfung sein soll. Dieses Vorgehen hat vor allem zwei Gründe: Zum einen gibt es nicht den einen standardisierten Penetrationstest. Hier ist es wichtig, die Begrifflichkeiten und Herangehensweisen zu definieren. Zum anderen ist es sinnvoll, vor der Beauftragung eines Penetrationstests einen gewissen Security-Reifegrad festgelegt und erreicht zu haben. Das spart Zeit und Kosten, ein kontinuierlicher Prozess für mehr IT-Sicherheit im Unternehmen hilft dabei.

Pentesting als Maßnahme einer umfassenden IT-Sicherheitsstrategie

Wenn ein Pentest eine Sicherheitslücke aufspürt, die sonst unbemerkt geblieben wäre, dann ist er ohne Zweifel sein Geld wert. Doch mit etwas Abstand betrachtet, kann sich ein anderes Bild ergeben: Wenn sich der Pentester zum Beispiel bei Lücken aufhält, die sich genauso gut mit erheblich weniger Aufwand beseitigen ließen. Kostspielige Pentests wahllos über die gesamte IT zu streuen, das hieße, den zweiten Schritt vor dem ersten zu tun. Besser gesagt: den dritten vor dem zweiten.

Drei Schritte für bestmögliche Sicherheit

Der erste Schritt ist ein solides Patchmanagement für alle Systeme: Windows, Linux und andere Open-Source-Komponenten sowie Anwendungen von Dritten. Selbstverständlich ist auch das beste Patchmanagement nie komplett: Manche Systeme fallen aus der kontrollierten Netzwerk-Architektur. Andere sind zwar bei den Windows Server Update Services (WSUS) hinterlegt, installieren aber dennoch keine Updates. Oder Updates sind fehlerhaft und lassen gravierende Sicherheitslücken offen.

All das mit Pentests aufspüren zu wollen, würde unverhältnismäßig lange dauern. Wirtschaftlicher und sicherer ist es, einen Schritt dazwischen zu schalten.

Schwachstellenscans spüren regelmäßig Lücken auf

Der zweite Schritt ist ein umfassendes Schwachstellen-Management, mit Scans, die systematisch Lücken im Patchmanagement aufspüren. Das Schwachstellen-Management schlägt Alarm, wenn mit der Konfiguration etwas nicht stimmt, Passwörter zu einfach sind oder WSUS auf einem Server nicht mehr funktioniert. Dem IT-Management liefert es regelmäßig Reports. An die Administratoren verteilt es gezielt die Patchaufträge, für die sie zuständig sind, und kontrolliert die Ausführung. So verhindert es, dass Einfallstore wochenlang offenstehen.

Als dritter Schritt werden Pentests gezielt auf die anspruchsvollen Sicherheitslücken angesetzt, die nur sie schließen können. Solche Lücken können im Webshop lauern, bei der Erfassung der Kreditkartendaten oder auch an der Schnittstelle zwischen Bewerbungsplattform und internem SAP-System.

Kontinuierlicher Schutz

Aus diesem Grund empfiehlt es sich in jedem Unternehmen, Schwachstellenscans als regelmäßigen Prozess zu etablieren. Zwar kann auch ein einmaliges Schwachstellen-Audit die verwundbaren Stellen im Netzwerk aufzeigen. Aber dieser Befund ist schon nach dem nächsten Windows-Patchday überholt. Clients ändern sich, virtuelle Server-Umgebungen sind schneller eingerichtet als abgesichert.

Der bestmögliche Schutz gegen feindliche Eindringlinge besteht also erstens aus einem möglichst umfassenden Patchmanagement. Zweitens aus einem kontinuierlichen Schwachstellenmanagement. Und drittens aus Pentests, die gezielt die besonders komplexen Lücken schließen – Lücken, die zuvor das Schwachstellenmanagement aufgespürt hat.

Schwachstellenscans für Embedded Systems

Schwachstellenscanner werden eingesetzt, um über das Netzwerk Systeme von außen auf Schwachstellen oder Konfigurationsprobleme zu überprüfen. Das ist notwendig, trotz der regelmäßigen Updates und Patches, mit denen erfahrene Administratoren die IT-Infrastruktur grundsätzlich gut im Griff haben. Denn moderne IT-Umgebungen werden zunehmend komplexer, nicht nur aufgrund des Einsatzes von Cloud Computing oder Bring-Your-Own-Device-Modellen, auch wegen der Komponenten, die an die IT-Infrastruktur andocken – von Smartphones und Tablets über Drucker und Telefone bis hin zu beliebig komplexen Industriesteuerungen. Das Internet of Things entsteht. Doch wie findet man seine Schwachstellen? 

Problemfall beim Schwachstellenscan: „die Unantastbaren“

Bei Industriesteuerungssystemen oder auch allgemein Embedded Devices beziehungsweise IoT-Devices können Schwachstellenscanner zusätzlichen Netzwerk-Traffic verursachen und dem Gerät die Kapazitäten für seine eigentliche Aufgabe rauben. Manchmal stürzen die Geräte auch gänzlich ab. Erfahrungsgemäß werden häufig Industriesteuerungslösungen eingesetzt, die von den Herstellern nur ungenügend aktualisiert oder supportet werden. Einige Anbieter drohen damit, den Support einzustellen, wenn der Nutzer selbst Updates und Patches einspielt oder Sicherheitsmaßnahmen wie Schwachstellenscans oder Penetrationstests laufen lässt.

Eine weitere Schwierigkeit kommt hinzu, wenn – wie in vielen Firmen üblich – die Hoheit für Produktionsumgebungen und Produktionsnetzwerke nicht bei der zentralen IT, sondern bei den entsprechenden Fachabteilungen liegt. Die Angst davor, kritische Prozesse mit Schwachstellenscans zu beeinträchtigen, führt häufig dazu, dass solche Umgebungen gänzlich von Schwachstellenscans und Schwachstellen-Management-Prozessen ausgeschlossen werden.

Die Gefahren für solche Umgebungen sind trotzdem real: Schadsoftware und Angreifer, die es erst einmal ins interne Firmennetzwerk geschafft haben, sind von internen Entscheidungsbefugnissen wenig beeindruckt. Der Effekt: Ausgerechnet die kritischen Systeme weisen die meisten Lücken auf und werden als erstes angegriffen.

Eine Lösung: passives Scannen nach Lücken

Eine Lösung oder zumindest eine Linderung der Problematik können sogenannte Passive Schwachstellenscanner darstellen. Eines dieser Produkte ist beispielsweise PVS (Passive Vulnerability Scanner) von Tenable. Beliebig viele PVS Appliances können gezielt an extra eingerichteten Mirror-Ports an den Netzwerk-Knotenpunkten – zum Beispiel am Übergang eines Produktions-VLANs zum restlichen Firmennetzwerk – platziert werden. Dort identifizieren sie gänzlich passiv die eingesetzten Softwareversionen und darin enthaltenen Schwachstellen, in dem sie den Datenstrom analysieren.

Zwar lässt sich mit einem passiven Schwachstellenscan nicht die gleiche Abdeckung oder ein ähnlicher Tiefgang an Informationen wie bei einem aktiven Scan erreichen, trotzdem wird bereits eine Vielzahl an Schwachstellen auf diesem Weg aufgedeckt. Nun kommt der richtigen Interpretation der Ergebnisse und der Koordination der notwendigen Maßnahmen eine besondere Bedeutung zu. Selbst für versierte IT-Experten kann externe Beratung eine wertvolle Unterstützung sein.

Passive Schwachstellenscans sind zudem hilfreich dabei, ein grundsätzliches Verständnis bei den Fachabteilungen für diese IT-Security-Maßnahmen zu entwickeln. Bestenfalls gelingt es, ein unternehmensweites Schwachstellen-Management über klassische IT-Systeme und Embedded Systems hinweg zu etablieren.