Weekly News

Mehr Sicherheit durch Pentests

Mit sechzehn Jahren startete Frank William Abagnale Jr. eine legendäre Karriere als Scheckbetrüger. Schon mit 21 Jahren hatte sich der junge Mann erfolgreich als Pilot, Arzt, Professor für Soziologie und Regisseur ausgegeben.

Als Fälscher gelang es ihm rund 2,5 Millionen Dollar – im heutigen Wert von etwa 16 Millionen – zu ergaunern. Leonardo di Caprio spielte Anfang der 2000er-Jahre die Hauptrolle im Steven-Spielberg-Streifen „Catch me if you can“. Der richtige Frank William Abagnale Jr. wurde nach wenigen Jahren Haft entlassen und arbeitete fortan für das FBI, wo er – nun auf der anderen Seite – als anerkannter Experte die besten Fälschungen und Blüten erkannte.

Heute lösen Gauner, Kriminelle oder auch Staaten keine ungedeckten und gefälschten Schecks mehr ein, sondern versuchen über das World Wide Web an die Kronjuwelen und vor allem an das neue Gold, die Kundendaten von Millionen von Bürgern oder Kunden, zu gelangen. Umso wichtiger ist es, dass auch auf Unternehmensseite Menschen wie Frank William Abagnale Jr. sitzen, die die Gefahren erkennen, die Unternehmen aus dem Cyberspace drohen können. In der digitalisierten Welt sind vernetzte Systeme zunehmend Angriffen von außen ausgesetzt. Sicherheitsrelevante Unternehmen müssen deshalb Gewissheit haben, wie sicher ihr eigenes IT-Netzwerk ist.

Fachleute nennen den Versuch, einen Sicherheitstest auf Rechnern oder Netzwerken durchzuführen, Penetrationstest oder verkürzt Pentest. Dabei werden alle Systembestandteile und Anwendungen von Netzwerken oder auch der Systemsoftware daraufhin untersucht, ob ein Hacker eine Möglichkeit findet, unerkannt und unautorisiert in ein Netzwerk einzudringen oder eine Schwachstelle auszunutzen.

Wie wichtig die IT-Sicherheit in Unternehmen vom Gesetzgeber gesehen wird, hat er in § 93 Abs. 1
und § 91 Abs. 2 Aktiengesetz festgeschrieben. Hier werden die Sorgfaltspflichten und Verantwortlichkeiten von Vorständen definiert. Juristen weisen beständig darauf hin, dass dies auch GmbH-Geschäftsführer betreffe, da aktuelle Urteile, die Aktiengesellschaften beträfen, immer auch auf GmbHs abstrahlen würden. Grundsätzlich kann also ein Vorstand oder ein Geschäftsführer persönlich in die Haftung genommen werden, wenn es um Schäden in der IT-Sicherheit geht. Wer nämlich eine „Entwicklung, die zukünftig ein Risiko für das Unternehmen darstellen könnte, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt“, wird persönlich in die Haftung genommen, zudem drohen hohe Bußgelder.

Unternehmen haben sich auf die Durchführung dieser Penetrationstest spezialisiert, denn ein professionell durchgeführter Pentest ermöglicht der beauftragenden Firma eine genaue Einschätzung der Sicherheit ihrer Unternehmensdaten und die Darstellung des Gefahrenpotenzials des penetrierten Umfeldes aus der Sicht eines Hackers. Damit will man die Erhöhung der Sensibilität zur Sicherheit der technischen Systeme und Infrastruktur erreichen. Dies soll vor allem durch das Aufzeigen von Schwachstellen und Sicherheitslücken, die Überprüfung von umgesetzten Sicherheitsmaßnahmen, daraus abgeleitete Maßnahmenempfehlungen zu gefundenen Schwachstellen und Empfehlungen zur Compliance der IT-Sicherheit in den geprüften Unternehmen gelingen. Zudem werden vom IT-Sicherheitsunternehmen Vorschläge für eine regelmäßige IT-Sicherheitsstrategie erarbeitet.

Ansatzpunkte, an denen Penetrationstests durchgeführt werden, sind meistens die Schnittstelle zwischen dem Firmennetz und dem öffentlichen Netz (Internet). Dazu gehören Firewalls und Sicherheitsgateways. Zudem sind die Komponenten des Netzwerkes – Router und Switches –, Server und andere Speichersysteme, Telefonanlagen, Webanwendungen – wie Webshops oder Internetauftritte –, WLAN-Netze oder Bluetooth, aber auch Gebäudesteuerungen und Zugangskontrollsysteme ideale Punkte, um in die IT-Systeme des zu prüfenden Unternehmens einzusteigen.

Bei Fachleuten wird seit langem darüber diskutiert, ob Penetrationstests als sogenannte Blackbox- oder Whitebox-Tests durchgeführt werden sollen. Während bei einem Blackbox-Test die Penetrationstester nur die Adressinformationen des Zieles kennen, hat der Penetrationstester bei einem Whitebox-Test umfangreiche Informationen über die zu testenden Systeme. Das Bundesamt für Sicherheit empfiehlt bei den Pentests in erster Linie „Whitebox-Tests durchzuführen, da bei einem Blackbox-Test aufgrund nicht vorliegender Informationen Schwachstellen übersehen werden können“. Es bestehe die Gefahr, dass im Rahmen eines Blackbox-Tests Szenarien wie der Angriff eines informierten Innentäters nicht berücksichtigt würden. Zusätzlich bestehe bei einem Blackbox-Test ein höheres, durchaus vermeidbares Risiko, einen unbeabsichtigten Schaden zu verursachen.

Im rechtlichen Graubereich, wie manch einer zu glauben scheint, bewegen sich seriöse Unternehmen, die Penetrationstests anbieten, nicht. Auch wenn das Strafgesetzbuch nicht nur schon die Vorbereitung des Ausspähens und Abfangens von Daten als Straftatbestand ansieht, sollte man auf alle Fälle ein umfangreiches Pflichten- und Lastenheft erstellen und einen rechtssicheren Vertrag abschließen, der von unternehmensverantwortlicher Stelle unterschrieben werden sollte. Dann sind beide Parteien auf der sicheren Seite.

Teile diesen Artikel

Journalist

Frank Tetzel

Weitere Artikel