Penetrationstest: Nutzen und Grenzen auf einen Blick

Gezielte Cyberangriffe prüfen das eigene Firmennetzwerk auf Herz und Nieren. Um Maßnahmen wie Penetrationstests vorzunehmen, muss man meist viel Geld in die Hand nehmen. Gibt es eine langfristig günstigere und effektivere Lösung? In diesem Beitrag stellen wir Ihnen die Stärken und Schwächen eines Pentests vor und verraten, welche Alternativen es gibt.

Mit kontrollierten Cyberangriffen auf das Firmennetzwerk klopft man die vorhandenen Sicherheitsmaßnahmen auf mögliche Mängel ab. Doch gewährleisten Maßnahmen wie Penetrationstests 100-prozentigen Schutz? In diesem Beitrag verraten wir es Ihnen.

Was ist ein Penetrationstest?

Es gibt unterschiedliche Methoden eine Anlage auf Schwachstellen zu testen, um letztlich Angriffsvektoren auszuschalten und somit das Risiko eines erfolgreichen Cyberangriffs zu minimieren.

Bei einem Pentest versucht ein White-Hat (ein guter / legaler Hacker) auf unterschiedlichste Art und Weise in ein System einzudringen und anschließend wird das mögliche Schadenspotenzial analysiert.

Pentest: Wie sichert sich der Tester ab?

Wenn hierzu eine externe Firma beauftragt wird, sind einige Vorkehrungen zu beachten. Aufgrund der ansonsten illegalen Tätigkeit muss sich der Pentester rechtlich absichern und Ihre ausdrückliche Erlaubnis haben, diese Art eines Sicherheitsaudits durchführen zu dürfen. Außerdem brauchen Sie die Sicherheit, dass möglicherweise kompromittierte Daten nicht an Dritte verkauft bzw. weitergegeben werden oder der Hacker sich Lücken und/ oder Zugänge in Ihr System offen hält.

Welche Formen von Pentests gibt es?

Penetrationstests bestehen nicht ausschließlich aus Cyberangriffen. So gehören auch Versuche, sich mittels Social Engineering Zugang zu Ihrem System und Anlage zu beschaffen, zur Tagesordnung eines guten Pentesters.

Deshalb ist es auch zwingend notwendig, dass weder die IT, noch der Empfang oder das Produktionspersonal über den geplanten Pentest Bescheid weiß.

Im Anschluss erstellt der Tester einen umfangreichen Testbericht, in dem er Ihnen alle gefundenen Schwächen aufweist und Sie somit auf Ihre Probleme hinweist, ggf. mit Empfehlungen, wie Sie sich schützen können.

Verhindern Penetrationstests einen Cyberangriff?

Diese Frage wird relativ häufig gestellt. Je mehr Leute auf unterschiedlichen Wegen versucht haben, in Ihr System einzudringen, desto mehr Schwächen kommen zutage und können gelöst werden.

Jedoch spielen hier das Wissen, die Zeit und die Dreistigkeit eine große Rolle. Ein Pentester würde sicherlich nicht den Filialleiter einer Bank mit einer vorgetäuschten Entführung seiner Frau und Kinder dazu zwingen, spezielle Passwörter der Bank preiszugeben, die anschließend ein Hacken des Hauptcomputers der Bank ermöglichen würden.

Natürlich lassen sich einige Schwächen durch automatisierte Programme, die Ihr System von außen abklopfen, schnell finden. Einige andere Angriffe erfordern jedoch umfangreiche Planung und Vorbereitung.

Cyberangriff – ein Beispiel für Produktionsanlagen

Im Kontext von Produktionsnetzwerken bzw. Automatisierungsanlagen, die keine Internetkonnektivität besitzen, ist dann folgendes Angriffsszenario durchaus realistisch, erfordert jedoch einigen Aufwand.

In den folgenden vier Schritten kann ein Cyberangriff erfolgen:

Schritt 1: Ermittlung, welche Steuerungen Sie benutzen.

Schritt 2: Programmieren einer modifizierten Firmware, damit die PLC zwar ihren eigenen normalen Task ausführt, jedoch gleichzeitig von innen heraus Ihr System angreift und ggf. Schadcode in andere Systeme injected (“einspeist”) oder einfach nur Daten sammelt.

Schritt 3: Das Gerät in Ihre nächste Lieferung von Ersatzteilen einschleusen.

Schritt 4: Da das Gerät vorprogrammiert von sich aus nach einiger Zeit ausfällt, muss der Hacker es nur aus Ihrem Elektromüll aufsammeln und kann die Daten extrahieren, falls er das Gerät nicht schon so modifiziert hat, dass er von außen dauerhaften Zugang in Ihr Netzwerk erhält (z. B. Kommunikation per Funk).

Wie Sie sehen, setzen meist nur die Kreativität und der Zeitaufwand die Grenzen.

Sie werden sich also durch umfangreiches Pentesting nicht komplett vor einem Cyberangriff schützen können. Je mehr Zeit und Geld Sie jedoch in Pentesting und das Schließen der offenbarten Lücken stecken, desto schwieriger wird es für Black-Hats (böse/ illegale Hacker) in Ihr System einzudringen. Vor allem minimieren Sie das Risiko erheblich, dass ein automatisiertes Programm Schwächen in Ihrem System offenbart.

Was sind die Nachteile von Penetrationstests?

1. Pentesting ist teuer
Des Weiteren sind solche Tests, wenn Sie ausführlich sein sollen, sehr aufwendig und damit teuer. Es gibt zwar günstige Anbieter, diese verfügen allerdings teilweise nicht über die nötigen Tools und selbstgeschriebene Programme, zusätzlich fehlt ihnen teilweise das Wissen und die Zeit für kreative Angriffe.

Letztendlich müssen Sie immer abwägen: Gibt es jemanden, wie z.B. einen Konkurrenten, der bereit wäre, einen sehr guten und teuren Hacker zu engagieren, um einen Cyberangriff gegen Sie durchzuführen? Dann sollten Sie auch einen Pentester mit entsprechenden Kompetenzen engagieren.

Suchen Sie eine langfristig günstigere Alternative, um Ihr Firmennetzwerk effektiv zu schützen? Die Berater von VIDEC stehen Ihnen für Fragen gerne jederzeit zur Verfügung.

2. Pentests berücksichtigen keine Veränderungen
Penetrationstests prüfen ein System zu einem bestimmten Zeitpunkt, zu bestimmten Bedingungen und Umstände. Produktionsnetzwerke sind jedoch nicht statisch. So werden neue Geräte installiert, alte ausgetauscht, neue Funktionen implementiert, neue Zugriffsrechte eingerichtet usw. Jede dieser Tätigkeiten kann zu neuen Schwachstellen führen.

Außerdem werden täglich neue Schwachstellen in Libraries und Programmen gefunden. Diese Entdeckungen von Schwächen werden dann häufig im Internet publiziert, um die Öffentlichkeit auf Schwächen hinzuweisen, so wie beispielsweise Meltdown und Spectre im Januar 2018. Auch ist nicht davon auszugehen, dass irgendwann alle Software-Schwachstellen eliminiert sind. Es wird keine 100%-ige Absicherung gegen Cyberangriffe geben.

Auf der anderen Seite können natürlich auch Hacker diese Veröffentlichungen einsehen, was zu neuen Angriffsmöglichkeiten führten kann. Zusätzliche Sicherheitsmaßnahmen sind notwendig, die sich dynamisch auf neue Umstände einstellen können.

3. Pentests greifen aktiv ins System ein
Neben den aufgeführten Problemen bezüglich des Aufwands und damit verbundenen Kosten sowie der Notwendigkeit, diese Art des Tests regelmäßig zu wiederholen, gibt es noch einen weiteren Gesichtspunkt, den Sie beachten sollten:

Je nachdem wie realistisch ein Test sein soll, wird er teilweise nicht gerade sanft mit Ihrem System sein. Gängige Methoden sind das Ausprobieren oder Blockieren gewisser Kommunikationen.

Ebenso denkbar sind Versuche, bei denen mittels sogenannter “Buffer Overflows” (Sicherheitslücken in der Software) Speicherbereiche mit Schadcodes überschrieben werden. Dies kann Produktionsanlagen also durchaus beschädigen und im Worst-Case auch zu einem Produktionsstillstand und den damit verbundenen Verlusten und Problemen führen. Oder ein wichtiger Steuerbefehl wird verhindert und die Anlage gerät in einen unkontrollierten Zustand.

4. Pentester müssen Vertrauenspersonen sein
Die Ergebnisse eines Pentests sind hoch vertrauliche Informationen, die in den falschen Händen zu einer extremen Gefährdung für den Fortbestand eines Unternehmens führen können. Daraus folgt auch, dass der beauftragte Pentester eine besondere Stellung mit hoher Integrität hat. Es muss ausgeschlossen sein, dass mit dem Pentest-Ergebnis ein Missbrauch getrieben wird (wie z.B. deren Verkauf im Darknet).

Was sind die Alternativen zum Pentesting?

Neben dem Penetrationstest gibt es Alternativen, um Sicherheitslücken aufzudecken, zum Beispiel das Security Monitoring.

Im Gegensatz zum Penetrationstest läuft dieses passiv in Ihrer Anlage ab, entdeckt Angriffe auf vorhandene Schwachstellen und hilft sogar bei Risikoanalysen. Neben einmalig ausgeführtem Mitschnitt der Kommunikation gibt es hier auch die Möglichkeit einer kontinuierlichen Live-Überwachung.

Nachdem das System “angelernt” wurde, erkennt es selbständig ungewöhnliche Aktivitäten und kann diese zeitnah melden.

Pentest-Alternativen: Welche Vorteile bieten sie?

Diese Systeme gehen schonend mit Ihrer Produktionsanlage um und versuchen in der Regel im Hintergrund zu bleiben, um Ihre Anlage nicht zu beeinträchtigen.

Außerdem bieten sie eine relativ hohe Sicherheit mit dem zusätzlichen Bonus, dass sie dauerhaft laufen können und auf den Einsatz neuer Geräte und Kommunikationsverbindungen reagieren zu können.

Unsere Empfehlung: Den Einsatz dieser Pentest-Alternativen im Rahmen eines ISMS (Information Security Management System) durchführen. Dazu gehört auch, den Risikofaktor Mensch (Ihre Mitarbeiter) regelmäßig in Bezug auf Awareness zu schulen.

Security Monitoring statt Penetrationstest

Cyberangriffe können jedes Unternehmen treffen. In manchen Fällen bleiben sie monatelang unbemerkt im Netzwerk. Effektiv schützen können Sie sich mithilfe von Security Monitoring Appliances, wie zum Beispiel das Industrie-Computersystem IRMA.

Im Gegensatz zu Penetrationstests überwacht IRMA das Produktionsnetzwerk permanent und passiv – eine Überlastung des Systems und damit einhergehende Folgeschäden (z.B. Ausfall der Produktionsanlage) können so ausgeschlossen werden. Darüber hinaus schlägt IRMA Alarm, sobald auffällige Netzwerkaktivitäten ausgemacht wurden und bietet detaillierte und übersichtlich aufbereitete Analysen zur Gefahrenquelle.

Fazit zu Penetrationstests

Mit einem Pentest versuchen Hacker unter kontrollierten Angriffsbedingungen die Schwachstellen eines Netzwerks auszumachen. Dabei sollten sich sowohl die Kompetenzen des Hackers als auch die Angriffsmethoden an reale Gefahren orientieren. Darum sind Penetrationstest meist entsprechend teuer und bieten keinen permanenten Schutz.

Wirksamer sind Methoden, die das System dauerhaft auf unbekannte Aktivitäten überwacht und bei möglichen Gefahren Alarm schlägt. Ein effektives Security Monitoring bietet zum Beispiel IRMA von der Firma VIDEC. Das Sicherheitstool ist so konzipiert, dass es passiv das Netzwerk überwacht – gerade bei anfälligen Produktionsnetzwerken bzw. Automatisierungsanlagen kann IRMA darum problemlos eingesetzt werden.

Sie haben weitere Fragen zum Thema Cyber-Security von Automatisierungsanlagen? Nehmen Sie Kontakt mit uns auf.