In dieser kleinen Serie möchte ich eine kurze Einleitung zur theoretischen Vorgehensweise von Penetrationstests geben.
Aufgeteilt ist diese Serie in folgende Beiträge:
- #1 Was ist Penetrationtesting, Schutzziele, Täterprofile
- #2 Klassifikation von Penetrationtests
- #3 Phasen eines Penetrationstests
- #4 Bewertung von Schwachstellen
Diese Serie ist nicht vollständig und soll lediglich einen groben Überblick geben. Bei offenen Fragen zu einem Thema beantworte ich diese natürlich gerne in den Kommentaren oder schreibe einen weiteren Beitrag !
Bei einem Penetrationstest handelt es sich um eine Sicherheitsanalyse von Computersystemen.
Hierbei nutzt der Penetrationstester die Methoden, Werkzeuge und Taktiken eines böswilligen Angreifers [S.2 f.][1].
Ziel ist es Sicherheitslücken aufzudecken, um diese schließen zu können bevor ein böswilliger Angreifer diese Schwachstellen ausnutzen kann.
Des weiteren soll die Verwundbarkeit von Systemen demonstriert werden um die Aufmerksamkeit und Unterstützung des Managements für neue Sicherheitsprogramme zu erlangen[S.xiii][2]. Auch kann ein Penetrationstest eine Hilfe für Entscheidungen sein, worauf das Sicherheitsbudget verwendet werden soll.
Angriffspunkte können Netzkoppelelemente, Server, Telekommunikationsanlagen, Webanwendungen, Clients oder Infrastruktureinrichtungen sein [S.5][3].
Schutzziele der Informationssicherheit
Im Rahmen eines Penetrationstests sollen Schwachstellen bezüglich Schutzzielen der Informationssicherheit identifiziert und evaluiert werden.
Im Folgenden sollen die grundlegenden Schutzziele erläutert werden.
Vertraulichkeit
Unter Vertraulichkeit versteht man, dass bestimmte Informationen ausschließlich autorisierten Personen zustehen. Vertraulichkeit kann unter anderem durch Berechtigungskonzepte und Verschlüsselung erreicht werden [S.4][1].
Integrität
Informationen dürfen zu keinem Zeitpunkt von nicht dazu autorisierten Personen verändert werden. Ist dies doch der Fall sollte erkenntlich sein, dass eine Änderung vorgenommen wurde. Erreicht wird dieses Schutzziel durch Hash-Funktionen und kryptographische Signaturen.
Verfügbarkeit
Unter Verfügbarkeit versteht man, dass der Zugriff auf Informationen gewährleistet ist. Die Verfügbarkeit wird oftmals durch einen Prozentsatz angegeben, der die Zeit darstellt, in welcher die entsprechenden Informationen einsehbar sind.
Täterprofile
Um Angreifer von Computersystemen bezüglich ihres Kenntnisstandes und ihrer Absicht zu Kategorisieren unterscheidet [S.3][1] folgende Typen:
Script Kiddies
Hierbei handelt es sich um Angreifer mit wenig technischem Verständnis und Wissen. Oftmals bedienen sie sich bereits verfügbarer Scripte die Online verfügbar sind. Ohne die Scripte anzupassen werden diese aus Neugier ausgeführt.
White-Hat-Hacker
Unter einem White-Hat-Hacker versteht man Angreifer, die erfolgreiche Angriffe und entdeckte Schwachstellen ausschließlich dafür nutzen, die Hersteller und betroffene zu Informieren. Penetrationstester können dieser Kategorie zugeordnet werden.
Black-Hat-Hacker
Angreifer dieser Art dringen mutwillig in fremde Systeme ein um an vertrauliche Informationen zu gelangen oder Daten zu löschen. Oftmals stellt die finanzielle Bereicherung das Motiv dieser Täter dar. [S.6][3] definiert zusätzlich den Begriff insider, die als ehemalige Mitarbeiter betriebsinterne Informationen zum Angriff nutzen.
Cyberterroristen
Cyberterroristen greifen Systeme an um einen größtmöglichen Schaden zu erzeugen. Anders als Black-Hat-Hacker wird hierbei das Eindringen oftmals nicht verschleiert und die Vorgehensweise als sehr aggressiv eingeordnet.
Quellen
Vielen Dank fürs Lesen. Fragen beantworte ich wie immer gerne in den Kommentaren :)
