„Einzige Methode, die den aktuellen Sicherheitsstand aufzeigt“
Der DMB im Gespräch mit Keyan Raphael Shahni und Jakob Nussbaumer, beide Geschäftsführer der JakePoint GmbH. Sie erläutern, was unter „Pentest“ zu verstehen ist und welche Unternehmen diese durchführen sollten.
DMB: Was macht JakePoint und in welcher Form können Sie KMU unterstützen?
Shahni / Nussbaumer: JakePoint GmbH bietet im IT-Sicherheitsbereich unabhängige Beratung und Sicherheitsüberprüfungen an. Wir unterstützen Unternehmerinnen und Unternehmer durch Erkenntnisse über ihre IT-Umgebung dabei, ihre Sicherheit auf einer soliden Basis zu stellen. Dabei bieten wir nur individuelle Lösungen an.
Welche Präventivmaßnahmen empfehlen Sie kleineren Betrieben?
Gerade bei kleineren Betrieben ist die Vorbereitung wichtig, da nachträgliche Maßnahmen mehr Ressourcen binden. Planen Sie rechtzeitig mit dem Thema „IT-Sicherheit“, berücksichtigen Sie die Basis und Best Practices von Anfang an und Ihre IT ist so gut wie komplett abgesichert. Dennoch sollten auch Unternehmen, die bereits eingerichtet sind und keine Sicherheitsmaßnahmen getroffen haben, sich mit der Angelegenheit beschäftigen. Es ist bei der IT-Sicherheit wichtig, nichts dem Zufall zu überlassen. Der Aufwand für Vorsorge ist vielfach kleiner als die Wiederherstellung von angegriffenen und beschädigten Systemen. Welche Präventivmaßnahmen sinnvoll hinsichtlich dieser Vorsorge sind, ist im Einzelfall abzuwägen.
Wie funktioniert die Prävention über "Pentests"?
Leider ist der missverständliche Begriff „Penetrationstest“ (kurz: Pentest) mittlerweile in vielerlei Verwendung. Ganz klassisch gesehen ist ein Pentest der Versuch, Schutzmechanismen zu umgehen oder zu durchbrechen, um an ein bestimmtes Ziel zu gelangen. Viele definieren diesen Begriff als eine automatisierte Schwachstellenüberprüfung. Das verspricht leider eine Sicherheit, die automatisierte Tests nicht abbilden können. Das ist eben das Problem mit diesem Begriff, weshalb wir lieber den Begriff „Sicherheitsüberprüfung“ verwenden.
Auf technischer Ebene ist ein Pentest die Suche nach gängigen Schwachstellen und Sicherheitsmiskonfigurationen, mit denen ein Hacker stückweise immer mehr Systeme übernehmen kann, bis man an ein definiertes Ziel gelangt. Oft sind die Gründe, dass ein Pentester so etwas schafft, die allseits bekannten Themen wie veraltete Software, schwache Passwörter oder sensitive Daten, die nicht zugänglich sein sollten. Kurz: ein Pentest ist die Simulation eines Angriffs auf die Systeme eines Unternehmens, wobei der Hacker in diesem Falle auf Ihrer Seite ist und Ihre IT dadurch Schwachstellen schließen kann.
Welche Verfahrensarten des Pentestings werden häufig durchgeführt?
Klassisches Pentesting ist wie ein Lauf mit Hindernissen von einem Startpunkt zu einem Ziel. Erreicht der Pentester das vordefinierte Ziel, war es möglich die Hindernisse, also die Sicherheitsmaßnahmen, zu umgehen. Weitere gängige Verfahren sind Sicherheitsanalysen, bei denen man viel mehr den Fokus auf die gesamte Breite legt. Das heißt man hat das Ziel möglichst alle Schwachstellen einer spezifischen Software zu finden, im Normalfall sind das Webapplikationen oder mobile Applikationen. Dann gibt es noch Assessments oder Audits, was ohne technischen Zugang zu den Systemen funktioniert. Hier wird mithilfe von Interviews beziehungsweise Workshops nach Schwachstellen gesucht, was den Fokus mehr in den Bereich der organisatorischen Ebene legt. Zuletzt ist noch Red Teaming zu erwähnen, was sehr nahe dem Pentesting ist, weil es ebenfalls einen vordefinierten Start- und Endpunkt hat. Hier ist nur der Fokus ein anderer. Es geht nicht nur darum, das Ziel zu erreichen. Die Aufgabe ist, das Ziel zu erreichen, ohne dass es jemandem auffällt. Der Ansatz dabei ist diejenigen, die in der Verteidigung agieren, dadurch zu trainieren, die Angriffsmuster besser zu erkennen. Es gibt noch weitere Verfahrensarten, doch die sind meistens in eine der genannten vier Kategorien zuordenbar.
Für welche Unternehmen eignen sich Pentesting-Maßnahmen bzw. Sicherheitsüberprüfungen?
Im Grunde ist das Risiko bei einem möglichen Sicherheitsvorfall der entscheidende Faktor bzw. der Bedarf eines hohen Reifegrades der IT-Sicherheit. Gerne veranschauliche ich das an folgendem Beispiel: Ein Restaurant mit lediglich einer Speisekarte im Internet benötigt keinen Pentest. Das wäre Ressourcenverschwendung, da hier das Risiko nicht nennenswert ist. Wenn man jedoch eine gewisse Unternehmensgröße erreicht hat und beispielsweise Zahlungsverkehr über seine eigene Internetpräsenz anbietet, wird das Risiko höher und damit auch eine Überprüfung der IT-Sicherheit wichtiger. Es ist auch denkbar, dass für ein Restaurant die Speisekarte im Internet das Wichtigste überhaupt ist. Dann muss man dieses wichtige Gut schützen. Dementsprechend gibt es keine allgemeine Aussage. Es ist vielmehr eine individuelle Risikoeinschätzung notwendig, um herauszufinden, ob eine Sicherheitsüberprüfung überhaupt einen Nutzen hat. Dabei muss man auch immer berücksichtigen, welches Überprüfungsverfahren zu dem jeweiligen Risiko passt.
Welche Nutzen beziehen Unternehmen nach einem Pentesting und welche Gefahren bleiben bestehen?
Es ist die einzige Methode, die aufzeigt, wie der aktuelle Sicherheitsstand ist und das aus der Sicht eines Angreifers. Pentesting und andere zuvor genannte Verfahren sind hauptsächlich dazu da aufzuzeigen, ob die gefühlte und reale Sicherheit deckungsgleich sind. Das hat den Effekt, dass klar wird, wo aktuelle Probleme und Schwachstellen sind. Das selbst erhöht die IT-Sicherheit nicht, jedoch ist das Wissen über die aktuell bestehenden Schwachstellen und Risiken enorm wichtig, um die IT-Sicherheit auf ein neues Niveau anzuheben.
Allerdings muss betont werden, dass selbst wenn alle gefundenen Schwachstellen behoben wurden, ein Restrisiko immer noch besteht. Eine hundertprozentige Sicherheit gibt es nicht. Das liegt einfach daran, dass Sicherheitsüberprüfungen immer eine Momentaufnahme sind und Systeme sich ständig wandeln. Jede Schwachstelle, die ein Pentester findet, kann ebenfalls von Kriminellen ausgenutzt werden. Das Schließen dieser Schwachstellen führt zur Minimierung des Risikos.
Was plant JakePoint für die Zukunft?
Wir möchten besonders den kleinen und mittelständischen Unternehmen eine Lösung anbieten, wie sie ohne viel Aufwand qualitativ hochwertige Sicherheitsüberprüfungen erhalten können. Dafür wollen wir eine Plattform schaffen, auf der wenig Informationen übermittelt werden müssen und trotzdem ein für den Kunden optimales Angebot entsteht. Wir erkennen nämlich den Schmerzpunkt, dass oft ein Unternehmen schon wissen muss, was es benötigt, damit solch ein Angebot erstellt wird. Das benötigt wiederum Ressourcen, welche meist nicht verfügbar sind.
Vielen Dank für das Gespräch, Herr Shahni und Herr Nussbaumer!
Dieser Beitrag ist Teil des Themenschwerpunkts "Cybersicherheit im Mittelstand".