Suche Grau Suche
Strategische Beratung, konzeptionelles Marketing, Crossmedia, webbasierte Software und Websites

Sicherer mit Penetrationstest

Werkstudent analysiert Testwerkzeuge zum Aufspüren von Sicherheitslücken

Sicherer mit Penetrationstest

Datenverlust und Datendiebstahl sind in den vergangenen Jahren ein immer größeres Problem geworden. Hackerangriffe sind Bedrohungen, mit denen sich jedes Unternehmen auseinandersetzen muss; auch Auctores nimmt dieses Thema ernst. So schreibt Werkstudent Andreas, der seit Dezember 2017 bei Auctores tätig ist, in Kooperation mit dem Unternehmen seine Bachelorarbeit zu Penetrationstest-Methoden.

Erst Ende November 2018 veröffentlichte Bitkom, der Digitalverband Deutschlands, eine Studie, der zufolge 74 Prozent der Chemie- und Pharmaunternehmen in Deutschland in den vergangenen zwei Jahren Opfer von Hackerangriffen wurden – Sabotage, Datendiebstahl oder Wirtschaftsspionage. Auch Unternehmen aus dem Automobilbau (68 Prozent), Maschinen- und Anlagenbau (67 Prozent) und Hersteller von Kommunikations- und Elektrotechnik (63 Prozent) litten in dieser Zeitspanne unter Hackerangriffen. Dabei entstand ein Gesamtschaden von 43,4 Milliarden Euro.

Im Interview erläutert Andreas seinen Ansatz und die Hintergründe.

Schwachstellen automatisiert prüfen

Andreas, deine Bachelorarbeit trägt den Titel „Evaluation und Vergleichsanalyse automatisierbarer Penetrationstest-Methoden“. Was ist darunter zu verstehen? Was ist deine Aufgabe bei dieser Arbeit?

Bei Penetrationstest-Methoden geht es darum, sich Einblick zu verschaffen, wie ein Angreifer ein System sieht, das er hacken will, und welche Möglichkeiten es gibt, sich vor solch einem Angriff zu schützen. Um das greifbarer zu erklären, lässt sich der Begriff „System“ auch durch „Haus“ ersetzen. Wie ein Hacker muss sich auch ein Einbrecher zunächst einen Überblick über die möglichen Schwachstellen verschaffen: Hat der Eigentümer Türen und Fenster ausreichend abgesichert? Hat er ungewöhnliche Stellen wie den Schornstein vielleicht außer Acht gelassen?

Der Eigentümer wiederum muss sich überlegen, wie er sein Haus vor einem Einbrecher schützen kann. Er sollte sich überlegen, welche Schwachstellen das Haus haben könnte. Das Risiko, dass Wertvolles – im Haus zum Beispiel Schmuck, im System Nutzerdaten – abhandenkommt, erfordert es, alle gewöhnlichen wie ungewöhnlichen Schwachstellen vor Eindringlingen zu sichern.

Um also alle potenziellen Gefahrenstellen eines Systems zu entdecken und vor einem Angriff zu sichern, untersuche ich zunächst vorgefertigte Penetrationstest-Werkzeuge, also Tools, die Systeme auf Schwachstellen prüfen. Diese unterscheiden sich hinsichtlich ihres Umfangs und der Tiefe, in der sie agieren. Dann analysiere ich damit das System von Auctores genauer. So erkenne ich, welche potenziellen Schwachstellen existieren, und welche Tools diese möglichen Lücken testen können und dabei möglichst keinen Schaden anrichten. Dabei ist es auch notwendig, dass ich die Tools durch eigene Tests erweitere und anpasse.

Ziel ist es, diese Tools vielfältig einsetzen zu können. Beispielsweise können Entwickler ihre Website schon vor dem Online-Gang auf das mögliche Gefahrenpotenzial prüfen und sich so vor Angriffen schützen.

Was genau prüft die Software und wie verläuft diese Prüfung?

Bei diesen Prüfungen kommt es auf die Tiefe der Tools an. Ganz allgemein kann die Prüfung in zwei Instanzen festlegt werden:

In der ersten Instanz wird automatisiert ein Tool eingesetzt, das die Versionen der eingesetzten Programmbibliotheken und Konfigurationen testet und scannt. Bei veralteten Versionen gibt das Tool dann Alarm und zeigt an, dass das System an bestimmten Stellen Schwachstellen aufweist, über die Hacker eindringen könnten.

In der zweiten Instanz wird dann bei diesen potenziellen Schwachstellen bewusst getestet, ob sie eine echte Gefahrenstelle sind oder nur eine abstrakte Einbruchsmöglichkeit darstellen. Sollte es tatsächlich gelingen, das System zu hacken, muss man sich als Entwickler überlegen, wie es möglich ist, einen Angriff an dieser Stelle zu verhindern.

Was ist der Zweck der Software? Wo kann sie eingesetzt werden?

Der Zweck liegt darin, dass sowohl wir als auch unsere Kunden gegen eine gewisse Auswahl an Grundbedrohungen abgesichert sind. Diese Auswahl richtet sich nach der von OWASP veröffentlichten Top Ten der wahrscheinlichsten Szenarien eines Hackerangriffs. Die Software wird dann analog an unseren Systemen getestet, damit wir die Gewissheit haben, dass wir sicher gegen diese Szenarien sind.

Was ist OWASP?

OWASP (= „Open Web Application Security Project“) steht für eine Organisation von Experten, die sich mit der Sicherheit von Webanwendungen und -services beschäftigt. Die Non-Profit-Organisation steht allen am Thema Sicherheit von Webanwendungen Interessierten offen und organisiert sich in sogenannten Chaptern. Die OWASP-Community weist auf Sicherheitsrisiken hin und schafft dadurch Transparenz für Endanwender oder Organisationen hinsichtlich Web Security. Die OWASP-Community stellt jährlich eine Top-10-Liste der relevantesten Bedrohungen und größten Risiken im Bereich Webapplikationen zusammen.

Die größten Bedrohungen im Überblick:

  1. Injection
  2. Fehler in der Authentifizierung
  3. Verlust der Vertraulichkeit sensibler Daten
  4. XML External Entities (XXE)
  5. Fehler in der Zugriffskontrolle
  6. Sicherheitsrelevante Fehlkonfiguration
  7. Cross-Site Scripting (XSS)
  8. Unsichere Deserialisierung
  9. Nutzung von Komponenten mit bekannten Schwachstellen
  10. Unzureichendes Logging und Monitoring

Was hinter diesen Risiken steckt, erfahren Sie in den ausführlichen Erklärungen im OWASP Top 10 Report.