Penetrationstest

Überblick

Angriffe auf die digitale Infrastruktur von Unternehmen sind keine Seltenheit mehr. Diese Art von zielgerichteten Angriffen wird durch einen Penetrationstest simuliert. Penetrationstests beginnen mit einer umfassenden Analyse der zu untersuchenden, externen oder internen IT-Infrastruktur. In Absprache mit dem Auftraggeber werden dann Bedrohungsvektoren definiert, aus denen sich unterschiedliche Angriffsszenarien ableiten.

Sie erhalten bei einem Penetrationstest regelmäßige Fortschrittsberichte, die Sie über den aktuellen Stand der Sicherheitsüberprüfung aufklären. Als Ergebnis erhalten Sie die in einem Abschlussbericht zusammengefasste Bewertung der definierten Bedrohungsszenarien. Dabei ist zu jedem Angriffsszenario eine Priorisierung, die sich nach den Auswirkungen der Sicherheitslücke richtet sowie ein Maßnahmenkatalog enthalten, der konkrete Lösungen beschreibt.

SCADA

Industrielle Kontrollsysteme (ICS) und kritische Infrastrukturen (KRITIS) werden häufig unter dem Begriff SCADA zusammengefasst. Sie bestehen aus einer großen Anzahl an hoch- spezialisierten Geräten, deren Aufgabe es ist, industrielle Prozesse zu überwachen und zu steuern. Auch kleinste Fertigungsanlagen bestehen aus programmierbaren Steuereinheiten (SPS/PLC), Aktoren und Sensoren. Durch eine zunehmenden Vernetzung, beispielsweise im Rahmen von Industrie 4.0, entstehen neue Zugriffspunkte und Angriffsszenarien.

Bei einem Audit analysieren wir relevante Angriffsvektoren und verifizieren identifizierte Sicherheitslücken gegebenenfalls über Angriffssimulationen. Um die Sicherheit Ihrer Industrie 4.0 Anlagen zu untersuchen, werden SCADA-spezifische Vektoren wie die Manipulation von Aktoren und Sensoren genauso berücksichtigt, wie Angriffe über kompromittierte Webserver. Neben Handlungsvorschlägen erarbeiten wir gemeinsam mit Ihnen ein Incident Management, welches ein Vorgehen im Fall von Angriffen oder anderen sicherheitsrelevanten Problemen vorgibt. Ein weiterer Schwerpunkt liegt auf der Separierung von OT/IT-Netzwerken und Defense in Depth, um ein maximales Sicherheitsniveau zu erreichen.

Web-Anwendungen

Web-Applikationen sind aufgrund Ihrer großen Verbreitung und der weltweiten Erreichbarkeit einer konstanten Bedrohung ausgesetzt. Bei einen Audit führen wir zielgerichtete, realistische Angriffe auf die Applikation durch, um so Schwachstellen aufzudecken. Das umfasst sowohl die Anwendungsumgebung wie Web-Server und Betriebssysteme als auch die Anwendung selbst. Die Angriffe erfolgen aus der Perspektive eines externen Angreifers und eines privilegierten Nutzers.

Als Grundlage für den Web-Applikationsaudit verwenden wir unter anderem die anerkannten Methoden der non-profit OWASP (Open Web Application Security Project) Organisation. Dabei stellen unter anderem der im OWASP erstellte Application Security Verification Standard (ASVS) 2013 und die Penetration Testing Guidelines eine Basis für die Überprüfung von Web-Applikationen dar.

Die Phasen eines Sicherheitsaudits

Ein typischer Sicherheitsaudit besteht aus verschiedenen Phasen. Die Phasen können von Audit zu Audit einen unterschiedlichen Umfang aufweisen, weisen aber in der Regel folgende Punkte auf:

• In der Vorbereitung zu einem Audit werden wesentliche Kriterien wie beispielsweise Typ und Ziel des Audits besprochen.
• Während der Informationsbeschaffung werden möglichst viele öffentliche Informationen zu einem Ziel gesammelt. Dazu gehören technische Details genauso wie Mail-Adressen oder soziale Informationen, die helfen, ein System zu kompromittieren.
• Während der Informationsbeschaffung werden zu einem Ziel öffentliche Informationen gesammelt. Dazu gehören technische Details genauso wie beispielsweise Mail-Adressen oder relevante Details von Kollegen.
• Zum Abschluss eines Audits erhält der Kunde einen Report, der alle Informationen im Detail zusammenfasst. Zusätzlich wird der Report mit dem Kunden besprochen und gegebenenfalls durch eine Präsentation für verschiedene Zielgruppen aufbereitet.