Penetrationstest (Informatik)

Penetrationstest, kurz Pentest(ing), ist der fachsprachliche Ausdruck für einen umfassenden Sicherheitstest einzelner Rechner oder Netzwerke jeglicher Größe. Ein Penetrationstest prüft die Sicherheit von Systembestandteilen und Anwendungen eines Netzwerks oder Softwaresystems mit Mitteln und Methoden, die tauglich sind, um unautorisiert in das System einzudringen (Penetration). Penetrationstests können Sicherheitslücken aufdecken, aber nicht ausschließen. Werkzeuge bilden bei Penetrationstests Angriffsmuster nach, die sich aus zahlreichen bekannten Angriffsmethoden ableiten lassen.

Die Art der Sicherheitstests orientiert sich am Gefahrenpotential eines gefährdeten Systems, Netzwerks oder einer Anwendung, das heißt, dass beispielsweise ein Webserver eine höhere Gefahrenpriorität als eine einfache Textverarbeitung hat. Entsprechend zahlreich sind die Hilfswerkzeuge für Penetrationstests und entsprechend sollten derart umfassende Sicherheitstests lediglich erfahrene Sicherheitsforscher oder Systemadministratoren durchführen, die wissen, was sie machen, welche Ereignisse sie damit verursachen und welche Ergebnisse sie damit erzielen möchten.

Der Begriff Penetrationstest wird gelegentlich auch fälschlich für einen automatischen Vulnerability Scan (vulnerability engl. und fachsprachlich für Schwachstelle) verwendet. Während dieser weitgehend automatisch abläuft, bedarf es bei einem echten Penetrationstest manueller Vorbereitung in Form von Sichtung des Prüflings, Planung der Testverfahren und Ziele, Auswahl der notwendigen Werkzeuge und schließlich der Durchführung. Der Security Scan wiederum unterscheidet sich vom Schwachstellenscan durch die manuelle Verifikation der Testergebnisse. Die Verwendung der jeweiligen Begriffe erfolgt im semi-professionellen Bereich jedoch oft uneinheitlich, während in der professionellen Welt der Sicherheitsforscher und Fachunternehmen Standards zur Durchführung von Penetrationstests akzeptiert und weltweit anerkannt werden.

Der Penetrationstest wird oft als empirischer Teil einer allgemeineren Sicherheitsanalyse durchgeführt.

Zielsetzung

Ziele eines Penetrationstests sind:

• die Identifikation von Schwachstellen
• das Aufdecken potentieller Fehler, die sich bei der (fehlerhaften) Bedienung ergeben können
• die Erhöhung der Sicherheit auf technischer und organisatorischer Ebene und
• die Bestätigung der IT-Sicherheit durch einen externen Dritten.

Durch die ständige Änderung der Bedrohungsbilder und sicherheitsrelevanten Faktoren in der Informationstechnik ist ein Penetrationstest allerdings eher als Momentaufnahme zu begreifen. Im Extremfall kann ein System unmittelbar nach dem Beheben der durch den Test aufgedeckten Schwachstellen durch eine neue Sicherheitslücke wieder verwundbar sein. Allerdings deckt ein Test in der Regel auch die Ursachen auf, welche zu den festgestellten Problemen führen (z. B. Personalmangel). Jedoch ist die Behebung der Ursachen in der Regel Sache des Betreibers der getesteten Systeme und Anwendungen. Die Behebungsmaßnahmen reichen von besserer Betreuung der Systeme und Anwendungen bis zur Abschaltung.

Arten von Penetrationstests

Black-Box-Pentest

Bei dieser Durchführungsart erhält der Pentester im Vorfeld keine Informationen über das Prüfobjekt. Die Informationsbeschaffung ist Teil des Auftrages, was einem echten Cyberangriff sehr nahe kommt.

White-Box-Pentest

Hierbei handelt es sich um eine sehr gründliche und damit auch teure Art des Penetrationstests. Der Auftraggeber versorgt dabei den Auftragnehmer mit umfassenden Informationen über das Prüfobjekt. Dazu können gehören: Quellcode, Domains, IP-Adressen, Angaben zu den Architekturen, Benutzeraccounts.

Grey-Box-Pentest

Der Grey-Box-Pentest ist die Kombination aus Black-Box und White-Box-Pentest. Hierbei wird der Pentester mit grundlegenden Informationen wie bspw. IPs, Domains, Benutzeraccounts versorgt. Dies beschleunigt den Test, da der Pentester diese Informationen nicht mühsam recherchieren muss. In der Praxis ist dies die wahrscheinlich gängigste Form des Penetrationstests, weil er in vielen Fällen für die Auftraggeber die beste Balance aus Gründlichkeit und Kosten bietet.

Red Team Assessment

Bei diesem Ansatz werden alle verfügbaren Methoden und Techniken verwendet, um ein System anzugreifen. Dies ist ein sehr ressourcenintensives Vorgehen, weswegen es selten zum Einsatz kommt.

Social-Engineering-Penetrationstest

Da potentielle Angreifer die Rechner und Datenbanken von Unternehmen nicht ausschließlich von außen über das Netzwerk angreifen, sondern auch versuchen, durch Social Engineering über die Mitarbeiter an Informationen und Zugänge zu kommen, gibt es spezielle Penetrationstests, die sich mit diesem Thema beschäftigen. Diese Tests sind darauf ausgelegt, in Unternehmen Schwachstellen zu finden und im Nachgang durch Schulungen und Aufklärungen ernsthafte Angriffe zu erschweren.

Testaufbau und Durchführung

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Klassifikationsschema entwickelt, anhand dessen sich ein Test beschreiben lässt. Im Wesentlichen werden sechs verschiedene Kriterien betrachtet:

• Informationsbasis
• Aggressivität
• Umfang
• Vorgehensweise
• Technik
• Ausgangspunkt

Anhand dieser Kriterien wird zusammen mit dem Kunden ein individueller Test zusammengestellt. In der Praxis werden meist mehrstufige Tests durchgeführt, bei denen mehrere Kriterien nacheinander zur Anwendung kommen. Beispielsweise wird zuerst ein Blackbox-Test und danach ein Whitebox-Test durchgeführt. Im Test selbst werden einzelne Testmodule ausgeführt. Bei den Testmodulen werden I- und E-Module unterschieden. I-Module bezeichnen Testschritte, die zur reinen Informationsbeschaffung dienen, E-Module bezeichnen aktive Eindringversuche. Einem E-Modul geht meist ein entsprechendes I-Modul voraus.

Rechtslage

Penetrationstests werden von verschiedenen Rechtsquellen verlangt. Beispielsweise fordert § 2 Abs. 6 der IT-Sicherheitsverordnung Portalverbund, dass insbesondere IT-Komponenten, die über eine technische Schnittstelle unmittelbar mit dem Internet verbunden sind, erst einem Penetrationstest und einem Webcheck nach den Vorgaben des BSI zu unterziehen seien. Nach § 7 Abs. 3 der Digitale Gesundheitsanwendungen-Verordnung kann das Bundesinstitut für Arzneimittel und Medizinprodukte zum Nachweis der Erfüllung der Anforderungen an die Informationssicherheit die Vorlage von Berichten über die Durchführung von Penetrationstests verlangen. Dabei berufen sich die Basisanforderungen^[1] auf das vom BSI empfohlene Durchführungskonzept für Penetrationstests.^[2]

Artikel 2 des Übereinkommens über Computerkriminalität verlangt von ihren Unterzeichnern, „den unbefugten Zugang zu einem Computersystem“ als Straftat zu umschreiben. Entsprechende strafrechtliche Regelungen finden sich in Deutschland, Österreich und der Schweiz (sowie anderen Ländern). Eine Befugnis zu Penetrationstests kann sich z. B. durch gesetzliche Regelung oder durch vertragliche Vereinbarung zwischen der zu testenden und der den Test durchführenden Organisation ergeben. Zur Umsetzung des Übereinkommens hat der deutsche Gesetzgeber den unbefugten Zugang zu Daten als Ausspähen von Daten unter Strafe gestellt. Dieses Ausspähen ist ein Antragsdelikt, der Versuch bleibt straffrei.

Die beauftragende Organisation kann Penetrationstests nur für Objekte in Auftrag geben, die sich unter ihrer Hoheit befinden. Konkret heißt dies, dass eine Organisation ohne eigene Befugnis nicht Dritte beauftragen darf, fremde Netze zu penetrieren.

Prozessbeschreibung

Das BSI empfiehlt beim Durchführen eines Penetrationstests einen fünfstufigen Prozess. Die Vorbereitungsphase dient zur gemeinsamen Zielsetzung und dem Testaufbau mit dem Kunden. In der Informationsbeschaffungsphase versucht der Sicherheitsanalyst, möglichst viele Informationen über das zu testende System zu erhalten. Die gewonnenen Informationen werden anschließend einer Bewertung unterzogen. Erst danach werden aktive Eindringversuche unternommen. Anschließend werden die Ergebnisse gesammelt und in Form eines Berichts gebündelt. Dieser Bericht enthält auch Empfehlungen, wie mit eventuellen Sicherheitsproblemen umgegangen werden soll. Begleitend zu allen fünf Phasen ist eine akribische Dokumentation der einzelnen Arbeitsschritte notwendig.

Risiken

Bei der Testdurchführung kann es zu Störungen des normalen IT-Betriebs kommen. Beispielsweise zielen DoS-Attacken darauf ab, den Zugriff auf einzelne Services, Rechner oder Netzsegmente zu unterbinden. Werden DoS-Attacken im Rahmen eines Moduls simuliert, sollte das außerhalb der Nutzungszeiten des Systems erfolgen.

Auch bei gewöhnlichen I- oder E-Modulen kann es unter Umständen zum Absturz einzelner Systeme kommen. In der Vorbereitungsphase muss auch eine Übereinkunft zwischen Auftraggeber und Kunden getroffen werden, wie mit den erhaltenen Erkenntnissen umgegangen wird. So könnten die Tester im Rahmen des Tests an unternehmenskritische Informationen gelangen.

Software

Die Durchführung von Penetrationstests kann durch verschiedene Softwareprodukte unterstützt werden. Dazu zählen etwa Portscanner wie Nmap, Vulnerability Scanner wie Nessus, Sniffer wie Wireshark, Paketgeneratoren wie HPing 2/3 oder Mausezahn und Passwortcracker wie John the Ripper. Zudem stehen zunehmend mehr Werkzeuge zur Verfügung, die speziell für Sicherheitstests entwickelt wurden. Häufig stammen diese aufgrund der Überprüfbarkeit des Quellcodes aus dem Open-Source-Bereich und sind auf sehr spezielle Testbereiche zugeschnitten.

ARP0c ist beispielsweise ein Verbindungsinterceptor, der mit einem ARP-Spoofing- und Bridging-Modul arbeitet. ARP-Anfragen von beliebigen Quellen in einem Netzwerkverbund werden mit gefälschten ARP-Anfragen versehen, um den Host zu erreichen, der ARP0c-Pakete sendet. Pakete von diesem Host werden weitergeleitet zu einem internen Modul und die normale Adresse wird weitergeleitet mit dem Ziel, eine normale Netzverbindung aufrechtzuerhalten. Mit Hilfe des Tools ist entsprechend ein Man in the Middle-Monitoring möglich. Ziel des Einsatzes ist die Austestung von Firewall-Regeln, die auf einer Stateful-Packet-Inspection-Basis beruhen und ARP-Pakete mit fremden IP-Adressen verwerfen sollten.

Ein weiteres Beispiel eines solchen Spezialwerkzeugs ist Egressor. Egressor ist ein von MITRE entwickeltes freies Tool zur Überprüfung der Konfiguration von Internet-Punkt-zu-Punkt-Routern. Egressor hilft Unternehmen dabei, Router unempfindlich gegen Denial-of-Service-Attacken (DoS) zu konfigurieren. Das Egress-Filtersystem reduziert die Gefahr, ein Netzwerk zum Teil von verteilten Denial-of-Service-Attacken (DDoS) werden zu lassen.

Zunehmend häufiger werden auch umfassende Werkzeugsammlungen für Penetrationstests angeboten, die in der Regel von erfahrenen Sicherheitsfachkräften zusammengestellt wurden und auf Basis einer stabilen Linux-Distribution arbeiten, die als Live-CD angeboten wird. Der Vorteil solcher Penetrationstest-Distributionen besteht darin, sämtliche relevanten Werkzeuge unter einer gemeinsamen Oberfläche zur Verfügung zu haben. Zudem sind sie meist vorkonfiguriert und fertig zur Anwendung. Ein gutes Beispiel für solche Live-CDs ist die Kali-Linux-Distribution, die aus zwei unabhängigen Projekten verschmolzen wurde und aktuell das Maß aller Dinge darstellt, weil sie wirklich komplett ist und alle Werkzeuge beinhaltet, die für ausgedehnte Sicherheitstests benötigt werden.

Die zahlreichen Werkzeuge, die für Penetrationstests herangezogen werden können, lassen sich in folgende Kategorien einteilen:

• Viele Werkzeuge überprüfen nur eine einzelne Schwachstelle.
• Vulnerability Scanner überprüfen oft automatisiert eine Reihe von applikations- oder protokollbasierten Schwachstellen. Einige lassen sich durch eigene Skriptsprachen erweitern.
• Einige Programme dienen ursprünglich oder zusätzlich zu ihrer Funktion in Penetrationstests auch dem allgemeinen Netzwerkmanagement, darunter z. B. einige Scanner und Sniffer.
• Auch normale Programme, die beim Betriebssystem mitgeliefert werden, können einem Penetrationstester bei einer Untersuchung dienen.

Das BSI stellt eine Sammlung solcher Tools unter dem Namen BSI OSS Security Suite kostenlos zur Verfügung. Spezialisierte Linux Live-CDs wie PHLAK, Pentoo, S-t-d oder Kali Linux (ehem. BackTrack, davor Auditor-LiveCD und WHAX Linux) enthalten eine Vielzahl zweckdienlicher Werkzeuge. Weitere bekannte Tools für Penetrationstests sind Attack Tool Kit (ATK) oder Metasploit.

Qualität und Aussagekraft eines Penetrationstests lassen sich aber kaum an den eingesetzten Werkzeugen festmachen; sie sind in erster Linie von der Genauigkeit der getroffenen Annahmen („Szenario“) und der strukturierten Durchführung abhängig.

Dokumentation

Holger Reibold: Hacking kompakt – Die Kunst des Penetration Testing – der Schnelleinstieg in die Welt der Hacker. Brain-Media.de, 2015, ISBN 978-3-95444-160-0, S. 170 (brain-media.de). 

Weblinks

• SecurityFocus Penetration Testing Listenarchiv
• Die große Application Security Penetration Test FAQ für Auftraggeber
• Security Focus Pen-Test Mailingliste (nicht mehr aktiv)
• Bundesamt für Sicherheit in der Informationstechnologie, Praxis-Leitfaden: IT-Sicherheits-Penetrationstest
• Kali Linux Projektseite

Einzelnachweise

1. ↑ Anlage 1 Fragebogen gemäß § 4 Absatz 6 der Digitalen Gesundheitsanwendungen-Verordnung, Themenfeld Datensicherheit Nr. 32a
2. ↑ Bundesamt für Sicherheit in der Informationstechnik: Studie Durchführungskonzept für Penetrationstests (PDF; 1,2 MB)