Das Problem sind selten die Sicherheitslösungen, sondern unerkannte Schwachstellen in der IT-Infrastruktur, die ohne eine eindeutige Identifizierung nicht abgesichert werden können. Daher sind regelmäßige Schwachstellenbewertungen als auch Penetrationstests wichtig. Erst sie liefern verlässliche Rückmeldungen über den tatsächlichen Stand der Sicherheit und Cyberresilienz im Unternehmen.
Schwachstellenbewertungen und Penetrationstests haben unterschiedliche Ziele. Laut NIST bieten Schwachstellenbewertungen eine „formale Beschreibung und Bewertung der Schwachstellen eines Informationssystems“, während Penetrationstests eine Methodik verwenden, „bei der Prüfer, die in der Regel unter bestimmten Einschränkungen arbeiten, versuchen, die Sicherheitsmerkmale eines Systems zu umgehen oder zu überwinden“. Erst die Ergebnisse beider Maßnahmen geben Unternehmen Aufschluss über die existierenden Risiken und lassen Rückschlüsse zu, welche Prioritäten bei der Beseitigung dieser Risiken gesetzt werden sollten.
Die Frequenz beider Maßnahmen hängt vom IT-Verhalten des Unternehmens und von gesetzlichen Regeln (z. B. Payment Card Industry) ab. Unternehmen mit geringer technologischer Fluktuation (z. B. Code-Änderungen, Hardware-Upgrades, Personalwechsel, Topologieänderungen usw.) kommen zwar keinesfalls ohne Tests, allerdings mit einer niedrigeren Frequenz aus. Organisationen mit hohem technologischem Wandel steigern ihre Cyberresilienz mit häufigeren Tests.
Stufen der Schwachstellenbewertungen und Penetrationstests
Die Durchführung von Schwachstellenbewertungen und Penetrationstests umfasst zwölf wichtige Schritte – von der Suche über die Bewertung bis hin zur Abhilfe und einer abschließenden Berichterstattung:
- Definition des Umfangs: Klare Definition des Umfangs, einschließlich der zu prüfenden Systeme, Netze und Anwendungen sowie aller spezifischen Ziele oder Vorgaben.
- Erkundung: Sammeln von Informationen über die Zielsysteme, -netzwerke und -anwendungen mit passiven Mitteln, wie öffentlich zugänglichen Informationen und Social-Engineering-Techniken.
- Scannen auf Schwachstellen: Einsatz automatisierter Tools, um die Zielsysteme auf bekannte Schwachstellen, Fehlkonfigurationen und Schwachstellen zu überprüfen. Dies kann sowohl interne als auch externe Scans umfassen.
- Bewertung der Schwachstellen: Analyse der Ergebnisse der Schwachstellen-Scans, um Schwachstellen zu identifizieren und nach Schweregrad, Auswirkung und Wahrscheinlichkeit der Ausnutzung zu priorisieren.
- Manuelle Tests: Durchführung manueller Tests, um die Ergebnisse der automatisierten Scans zu validieren und zu verifizieren und um zusätzliche Schwachstellen zu identifizieren, die von den automatisierten Tools nicht erkannt wurden.
- Penetrationstests: Aktives Ausnutzen von Schwachstellen, um die Sicherheitslage der Zielsysteme, -netze und -anwendungen zu bewerten. Dabei können verschiedene Techniken zum Einsatz kommen, z. B. die Ausnutzung von Netzwerken, Angriffe auf Webanwendungen und Social Engineering.
- Post-Exploitation: Sobald in der Zielumgebung Fuß gefasst wurde, wird die Umgebung weiter erkundet und die Berechtigungen erweitert, um das Ausmaß des potenziellen Schadens zu ermitteln, den ein echter Angreifer verursachen könnte.
- Dokumentation: Erfassen und Zusammenstellen alle Ergebnisse, einschließlich der entdeckten Schwachstellen, der angewandten Ausnutzungstechniken und aller Empfehlungen für Abhilfemaßnahmen oder Schadensbegrenzung.
- Berichterstattung: Erstellen eines umfassenden Berichts sowohl für Sicherheitsverantwortliche als auch das Management mit den Ergebnissen der Bewertung, einschließlich einer Zusammenfassung, technischen Details der Schwachstellen, Risikobewertungen und Empfehlungen für Abhilfemaßnahmen oder Schadensbegrenzung.
- Planung von Abhilfemaßnahmen: Festlegung von Prioritäten und der Planung von Abhilfemaßnahmen auf der Grundlage der Ergebnisse der Bewertung sowie der Risikotoleranz und der geschäftlichen Prioritäten des Unternehmens.
- Erneute Bewertung: Durchführung von Folgebewertungen, um zu überprüfen, ob die Schwachstellen wirksam behoben wurden und um sicherzustellen, dass sich die Sicherheitslage der Systeme, Netzwerke und Anwendungen des Unternehmens verbessert hat.
- Kontinuierliche Überwachung: Implementieren von regelmäßigen Überwachungs- und Testprozessen, um neue Sicherheitslücken zu erkennen und zu beheben, sobald sie auftreten.