Lesezeit ca. 7 Min.

Ethical Hacking – darauf sollten Unternehmen achten


Logo von Computerwoche
Computerwoche - epaper ⋅ Ausgabe 23/2022 vom 03.06.2022
Artikelbild für den Artikel "Ethical Hacking – darauf sollten Unternehmen achten" aus der Ausgabe 23/2022 von Computerwoche. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: Computerwoche, Ausgabe 23/2022

Angesichts der rasant zunehmenden Cyberkriminalität ist es wichtig, dass Organisationen die Sicherheit ihrer Systeme regelmäßig kontrollieren. Ethical Hacker – auch White Hats genannt – helfen mit ihrem Fachwissen, Sicherheitsmängel aufzuspüren. Anders als Hacker mit kriminellen Motiven nutzen sie ihr Wissen, um Unternehmen und Regierungseinrichtungen vor Angriffen zu schützen.

Doch wie können die Betriebe Gewissheit haben, dass sie es tatsächlich mit der guten Seite der Macht zu tun haben? Ethisch motivierte Hacker können heute häufig mit Branchenzertifizierungen und Referenzen von vertrauenswürdigen Instanzen aufwarten, um ihre Kenntnisse und ihre integre Haltung unter Beweis zu stellen. Bei der Aufstellung eines sogenannten Red Teams ist es aber auch hilfreich, einen genaueren Blick auf die Lebensläufe der einzelnen Tester zu werfen. Weiterführende Informationen lassen sich oft im Netz finden. ...

Weiterlesen
epaper-Einzelheft 10,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von Computerwoche. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1000 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 23/2022 von Smart Farming – für Bauern allein kaum zu schaffen. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Smart Farming – für Bauern allein kaum zu schaffen
Titelbild der Ausgabe 23/2022 von 61 Milliarden Dollar: VMware geht an den Chiphersteller Broadcom. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
61 Milliarden Dollar: VMware geht an den Chiphersteller Broadcom
Titelbild der Ausgabe 23/2022 von Hannover Messe 2022: Unternehmen digitalisieren ihre Fabriken. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Hannover Messe 2022: Unternehmen digitalisieren ihre Fabriken
Titelbild der Ausgabe 23/2022 von ServiceNow-Chef McDermott sieht Türen zu den CEO-Offices geöffnet. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
ServiceNow-Chef McDermott sieht Türen zu den CEO-Offices geöffnet
Mehr Lesetipps
Blättern im Magazin
Der deutsche IT-Dienstleistungsmarkt profitiert vom Digitalisierungsdruck
Vorheriger Artikel
Der deutsche IT-Dienstleistungsmarkt profitiert vom Digitalisierungsdruck
Pure-Storage-Chef Charles Giancarlo: „Wir sind ganz anders als Dell und HPE“
Nächster Artikel
Pure-Storage-Chef Charles Giancarlo: „Wir sind ganz anders als Dell und HPE“
Mehr Lesetipps

... Der Security-Anbieter Lookout empfiehlt dazu, im Internet nach Open-Source-Beiträgen, gemeldeten Schwachstellen (Common Vulnerabilities and Exposures = CVEs) sowie einschlägigen Social-Media-Posts und Tweets zu suchen.

Lookout empfiehlt auch, Penetration-Tester aufzufordern, ihre Werkzeuge zu benennen und die Techniken und Taktiken zu beschreiben, wie sie diese einsetzen wollen. Außerdem könnten die veranschlagten Kosten für einen Test und auch der voraussichtlich benötigte Zeitaufwand Aufschluss geben. „Wer anbietet, einen Penetrationstest für Systeme jeder Größenordnung in einer Woche für ein paar tausend Dollar durchzuführen, wird keine gute Arbeit leisten“, betont das Sicherheitsunternehmen.

Auf definierten Testumfang achten

Die Aufgaben, für die ethische Hacker angeheuert werden, hängen davon ab, was ein Unternehmen erreichen möchte. Security-Spezialist Lookout empfiehlt, für jeden Test einen möglichst genauen Umfang zu definieren. Dieser kann beispielsweise bestimmte Systeme, das Netzwerk oder individuelle Webanwendungen miteinschließen. Oder der Auftrag bezieht sich auf eine klar umrissene Aufgabe wie: „Finde alle DNS-Einträge, die meinem Unternehmen gehören, und schau, was du mit all diesen öffentlichen Endpunkten machen kannst.“

In der Regel setzen die White Hats ihre Angriffe als Black-Box-Tests um. In diesen Fällen hat der Angreifer keinerlei Informationen über die Anwendung und gibt sein Bestes, um sie zu manipulieren. Die Meinungen der White Hats bezüglich der Sinnhaftigkeit eines solchen Vorgehens gehen auseinander. Boris Cipot, Senior Sales Engineer bei Synopsys, beobachtet, dass viele der gutwilligen Hacker vorab Details erfahren möchten, um gezielter angreifen und tiefer in die Systeme eindringen zu können. Andere meinen, dass zu viel Wissen ihr Vorgehen negativ beeinflussen könnte. „Deshalb versuchen sie es erst einmal mit einem Minimum an bereitgestellten Informationen“, erklärt der Experte.

Ein Ethical-Hacking-Programm kann auf verschiedene Weise und auf mehreren Ebenen implementiert werden. Unternehmen können externe Profis beauftragen, ein eigenes internes Programm verfolgen oder eine Mischform aus beidem wählen. „Unabhängig vom Umfang und der Tiefe des Vorgehens ist es besonders wichtig, sicherzustellen, dass das Programm kontinuierlich verfolgt wird und umsetzbare Ergebnisse liefert“, betont Etay Maor, Senior Director Security Strategy bei Cato Networks.

Ethische Hacker finden meistens grundlegende Schwachstellen wie Dateifreigaben mit übermäßigen Berechtigungen oder nicht gepatchte Systeme. Zusätzlich berücksichtigen sie nach Bedarf bestimmte „Flags“. Damit sind Aspekte gemeint, die Unternehmen gerade besonders interessieren oder ihnen Sorgen bereiten. Oft geht es dabei um den Zugriff auf Daten oder deren Manipulierbarkeit.

Im Mittelpunkt des Interesses stehen häufig mandantenübergreifende Datenzugriffe auf Systeme, normale User mit privilegierten Administrationsrechten oder auch Managementportale, die gegenüber dem Internet mehr oder weniger offen sind. „Im Grunde geht es fast immer um Orte, an denen ein Angreifer Zugriff auf Daten erhalten kann, die er nicht haben sollte“, fasst Lookout zusammen. Das betreffe in den meisten Fällen den Zugang zu Email-Systemen und Anwendungen für den Personalbereich, da Gehalts- und Finanzdaten besonders sensibel sind.

Auf Seiten der IT sind Bereiche interessant, die Persistenz und/oder laterale Bewegungen ermöglichen. Das sind insbesondere der Administrationszugang zu Identity- und Access-Management-Systemen (IAM) und Lösungen für die Multifaktor-Authentifizierung (MFA). Ebenso ist der Zugang zur Netzwerkinfrastruktur (Router/Firewalls/VPN) beliebt. Bei den Endgeräten schließlich geht es um alles, was die Installation von Malware ermöglicht und insbesondere laterale Bewegungen erlaubt.

Welche roten Linien gibt es?

Ethische Hacker sollten klar darauf hingewiesen werden, welche Systeme sie nicht anfassen und welche Taktiken sie nicht anwenden dürfen. „Um die besten Testergebnisse zu erzielen, sollten Unternehmen aber so wenige Beschränkungen wie möglich setzen, die über das allgemeine Gebot: ,Nichts Illegales tun‘ hinausgehen“, meinen die Lookout-Fachkräfte. Ob im Rahmen der Angriffe auch Distributed-Denial-of-Services-(DDoS)-Attacken stattfinden sollen, ist vorab festzulegen. Dabei werden IT-Infrastrukturen mithilfe von (simulierten) Botnetzangriffen gezielt mit einer enormen Anzahl an Anfragen überflutet. Die Internet-Leitung wird überlastet, Webseiten bauen sich nur noch verlangsamt oder gar nicht mehr auf.

Drei Hackertypen

→ Black Hat Hacker:

Diese kriminellen Angreifer dringen aus verschiedenen Motiven in Netzwerke und Computer ein. Sie wollen Malware in Umlauf bringen, persönliche Informationen wie Passwörter oder Kreditkartendaten abgreifen, Erpressungsangriffe (Ransomware) starten oder einfach nur zeigen, dass sie es können – also Macht ausüben.

→ White Hat Hacker:

Diese Ethical Hacker nutzen ihre Fähigkeiten, um Unternehmen zu helfen, ihre Schwachstellen zu erkennen und sich gegen böswillige Angreifer zu schützen. Sie handeln mit der Genehmigung von Unternehmen und helfen, Probleme zu beheben, bevor andere sie entdecken. Eine Untergruppe sind Penetrationstester („Pentester“), die auf das Auffinden von Schwachstellen und das Einschätzen von Risiken spezialisiert sind.

→ Grey Hat Hacker:

Eine Mischform zwischen Black und White Hats. Sie durchforsten Systeme unerlaubt nach Schwachstellen, führen aber nichts Böses im Schilde. Oft wenden Sie sich hinterher an ihre Opfer, weisen auf Sicherheitslücken hin und hoffen auf Anerkennung und eine kleine Entschädigung – beides bekommen sie in der Regel nicht.

Ethical Hacker brauchen einen Rahmen

Beschränkungen werden den White Hats in der Praxis meist durch die Definition des Umfangs von Aufgaben und durch die Methodik festgelegt, nicht durch das Aufzeigen von roten Linien. Doch manchmal möchten Unternehmen ausschließen, dass produktive Systeme zu Testzwecken angegriffen werden, weil sie Ausfallzeiten beim Kunden und potenzielle Probleme beim Datenzugriff vermeiden wollen. Hier sind also Einschränkungen denkbar.

Auch bei physischen Penetrations- oder Social-Engineering-Tests kann es rote Linien geben, da Sachschäden oder die Gefährdung der Sicherheit vermieden werden müssen. Phishing-Kampagnen, in deren Rahmen die Nutzer mit bestimmten Nachrichten getäuscht werden sollen, bedürfen ebenfalls der Abstimmung. Versuche, auf persönliche Email- oder Social-Media-Konten von Mitarbeitern oder Führungskräften zuzugreifen, sind ebenfalls kritisch, ebenso manche Täuschungsmanöver im Bereich Social Engineering.

Grundsätzlich sollten Tester aber größtmögliche Freiheiten genießen. Geldautomaten, Fahrzeugsteuerungen oder auch Waffensysteme müssen hundertprozentig sicher sein. „Hier sollten Betriebe den Testern auf jeden Fall freie Hand lassen und vollen Zugang zum Quellcode sowie zur Hardware gewähren“, empfehlen die Spezialisten von Lookout.

Kosten können beliebig ausufern

Eine natürliche Grenze beim Ethical Hacking stellen die Kosten dar. Je länger ein Test dauert, desto ausführlicher und genauer wird er. Die Wahrscheinlichkeit, dass die White Hats etwas finden, steigt. „Allerdings wird das dann schnell sehr teuer und erreicht bald einen Punkt, an dem der Nutzen wieder abnehmen kann. Praktische Tests sind in der Regel auf nicht mehr als ein paar Wochen ausgelegt“, betont der Security-Anbieter Lookout.

Diskussionswürdig ist auch die Frage, ob und in welchem Umfang ethischen Hackern der physische Zugang zu den Systemen vor Ort oder auch zu den Einrichtungen und Mitarbeitenden gewährt werden soll. Viele Betriebe beschränken sich auf Remote-Tests, um die Kosten im Griff zu behalten und möglichst viele Tester einbeziehen zu können.

Manchmal braucht es den Hacker vor Ort

Doch manche Checks sind ohne einen physischen Zugang nicht möglich. Das Testen von drahtlosen Netzwerken erfordert eine Person mit einem mobilen Gerät vor Ort. Auch das Prüfen von physischen Sicherheitsmaßnahmen macht persönliche Anwesenheit notwendig. Dennoch lassen sich die meisten Netzwerktests durch die Bereitstellung eines Hosts und das Einrichten eines Fernzugriffs vornehmen. Viele Dinge, auch die Hardware, können dorthin geliefert werden, wo sich die Tester gerade befinden. Unternehmen müssen auch festlegen, wie viel Insiderwissen den Testern mitgegeben werden soll. Es ist ein Unterschied, ob es sich bei einem Test um eine reine Verhaltensprüfung auf der Grundlage von Systemeingaben und -ausgaben handelt, oder ob der Tester über umfassende Kenntnisse und Einblicke in die internen Systeme und den Quellcode verfügt.

Bei dieser Entscheidung gilt es so oder so, Kompromisse zu machen. Ein Sicherheitscheck ohne Insiderwissen läuft Gefahr, bestimmte Probleme zu übersehen, die ein Test bei vollständiger Transparenz aufspüren könnte. Andererseits wird ein Test mit viel Basiswissen mehr Zeit in Anspruch nehmen und teurer werden. Es käme aber mit Sicherheit zu weniger falsch-positiven Ergebnissen.

Zu den Fällen, in denen ein vollständig transparenter Test mit dem damit verbundenen Zeit- und Kostenaufwand gerechtfertigt ist, gehören etwa kritische Systeme im Verkehrsoder Finanzbereich, deren Korrumpierung große Schäden verursachen würde. Vollständige Transparenz ergibt laut Lookout auch Sinn, wenn die Tester in Systemen auf etwas stoßen, das ein ernsthaftes Problem darstellen könnte, aber nur schwer zu bestätigen ist – zum Beispiel kryptografische Probleme.

Nicht zu schnell in Sicherheit wiegen

Aufgrund der Zeit- und Wissensbeschränkungen sind die Ergebnisse im Rahmen von White-Hat-Angriffen nicht erschöpfend. „Nur weil die ,Angreifer‘ keine Schwachstellen gefunden haben, heißt das nicht, dass es keine gibt“, so die Fachkräfte von Lookout. Allzu oft werde Ethical Hacking als „Beweis“ für die Sicherheit eines Systems angeführt. Wichtig sei nicht nur das Endergebnis des Tests, sondern das, was in dessen Verlauf gefunden wurde.

Die Ergebnisse der Penetrationstests lassen sich laut Lookout auf verschiedene Weise nutzen: Intern zur Verbesserung der Sicherheit der Systeme und extern, um anderen einen Sicherheitsnachweis vorzulegen. Kunden, Aufsichtsbehörden, Wirtschaftsprüfer etc. erwarten in der Regel, dass diese Art von Tests Teil des Sicherheitsprogramms sind. Vermutlich werden die meisten von ihnen zufrieden sein, wenn das Unternehmen einen Test vorgenommen hat und nachweisen kann, dass alle gefundenen Probleme behoben wurden.

Doch versiertere Prüfer werden sich einzelne Ergebnisse und die Methodik insgesamt genauer ansehen, um sicherzustellen, dass ein Test ausreichend war. Vor allem Unternehmen, die kritische Infrastrukturen (Kritis) betreiben, müssen damit rechnen, dass ihre Berichte besonders gründlich geprüft werden, und entsprechend planen.

Schon wenn Betriebe den Einsatz von ethischen Hackern planen und sich über mögliche Testgebiete Gedanken machen, sollten sie wissen, wie sie die späteren Ergebnisse verwenden wollen. Für die externe Weitergabe sollten die Testberichte Zusammenfassungen enthalten, ohne zu viele Informationen preiszugeben, empfehlen die Lookout-Experten. Zudem sollten alle falsch-positiven Ergebnisse oder Fehleinschätzungen des Schweregrads geklärt sein, bevor der endgültige Bericht erstellt wird.

So bilden Sie sich fort

Für IT-Sicherheitsexperten, die sich in Richtung Ethical Hacking weiterentwickeln wollen, gibt es jede Menge Angebote. Beispielsweise bietet der International Council of Electronic Commerce Consultants (EC Council) einen Kurs namens „Certified Ethical Hacking“ an. Das Infosec Institute veranstaltet das „Ethical Hacking Boot Camp“, und die Pentester von Offensive Security haben die Zertifizierung „Offensive Security Certified Expert“ (OSCE) im Angebot. Das weltweit angesehen SANS Institute wiederholt immer wieder den Kurs „Network Penetration Testing and Ethical Hacking“.

Mehr zum Thema

→ Wie Hacker Spuren verwischen Oft gelingt es Hackern, sich lange unbemerkt in den Netzwerken ihrer Opfer aufzuhalten, indem sie geschickt ihre Spuren verwischen. www.cowo.de/a/3551523

→ Intel lässt hacken Elite-Hacker spüren Bugs in Firmware, Grafikchips und Mainboard-Chipsätzen auf. cowo.de/a/3552631

→ Buffer-Overflow-Angriffe In Schwachstellen-Rankings, die von Angreifern ausgenutzt werden, sind „Buffer Handling Errors“ weit oben. www.cowo.de/a/3548378