Was ist eigentlich…

Es gibt verschiedene Möglichkeiten, um die Sicherheit von Systemen, Anwendungen, Prozessen oder Organisationen zu überprüfen. Schwachstellenscans, Pentests, Social-Engineering-Angriffe und Red-Team-Assessments sind die wohl häufigsten Varianten für die Beantwortung der Frage nach der eigenen Verwundbarkeit. Dabei ist nicht jede Art der Überprüfung immer sinnvoll – oder bezahlbar.

Jenseits offizieller Definitionen

Sie möchten also wissen, mit welcher Überprüfung Sie feststellen können, ob Sie sicher sind? Dann versuchen wir mal zu verstehen, was eigentlich hinter den einzelnen Überprüfungen steckt.

Verlassen wir hierfür die IT. Stellen Sie sich vor:

  • Sie haben ein Haus. Ein schönes Haus.
  • Das Haus hat Fenster, eine Eingangstür, eine Gartentür.
  • Sie verfügen über einen Schornstein.
  • Ihr Auto parkt in einer Doppelgarage.
  • Um Ihr Grundstück herum haben Sie einen Zaun.
Haus mit Garten

So etwa könnte Ihr Haus aussehen.

Ist mein Haus sicher?

Diese Frage gilt möchten Sie gerne durch eine entsprechende Sicherheitsüberprüfung beantworten. Führen wir – im übertragenen Sinne – also die unterschiedlichen Überprüfungen mal durch.

Schwachstellenscan

Als erstes machen wir einen externen Schwachstellenscan. Der ist am einfachsten und günstigsten. In unserer bildlichen Darstellung bedeutet das etwa:

  • Wir kommen zu Ihrem Grundstück.
  • Wir schauen, ob wir auf dem Gartenzaun einen Hersteller, eine Chargen-Nummer oder Ähnliches finden können.
  • Haben wir etwas gefunden, dann prüfen wir in einschlägigen Datenbanken, ob es bekannte Fehler in der Konstruktion gibt.
  • Als nächstes schauen wir auf das Garagentor, die Fensterrahmen, die Haustür u.s.w. – mit dem gleichen Ziel.
  • Haben wir einen Fehler zu einem Produkt gefunden, dann haben wir einen Befund – der nicht immer tatsächlich stimmen muss.
  • Damit nicht genug der Prüfungen: wir wissen auch, dass Häuser in der Regel stabil stehen sollten: Wir drücken einmal gegen die Hauswand.
  • Ein weiteres Sicherheitsmerkmal: die Türen und Fenster. Auch hier drücken wir mal gegen und schauen, ob sie auf gehen.
  • Schließlich schauen wir noch, ob der Weg vom Gartentor zum Haus sicher ist, also etwa vor unbefugten Einblicken geschützt.

Das Ergebnis: Sie sind sicher.

Pentest

Da Sie planen sich einen neuen, modernen und sau teuren 8k-Fernseher zu kaufen, kommt Ihnen der Schwachstellenscan etwas wenig vor. Machen wir zusätzlich noch einen Pentest mit etwas mehr Aufwand und technischer Tiefe:

  • Wir kommen zu Ihrem Grundstück.
  • Wir prüfen, ob wir das Schloss vom Gartentor öffnen können: Mit einem Lock-Pick-Set.
  • Sind wir auf dem Gelände, fängt der Spaß erst richtig an.
    • Versuchen wir das Schloss der Tür zu knacken.
    • Prüfen wir ob Fenster offen stehen, über die wir Zugang zum Haus bekommen – oder ob sich das Fenster mit sanfter Gewallt öffnen lässt.
    • Eventuell ist die Garage ja nicht richtig zu. Schauen wir auch dort. Die Funkfernbedienung ist vielversprechend.
  • Haben wir einen Weg gefunden, dann schauen wir weiter. Steht der 8k-Fernseher schon da? Schnell ein Foto machen für den Bericht: Hier gibt es nachweislich ein Security-Problem; Keine False-Positives.

Social Engineering

Das Türschloss ist stabil, die Fenster geschlossen und der Gartenzaun vom Feinsten. Suchen wir uns also “weiche Ziele” fernab der Technik:

  • Wir kommen zu Ihrem Grundstück.
  • Mit einem Namensschild auf dem “Techniker” steht, klingeln wir an Ihrer Tür.
  • Wir versichern Ihnen, dass es einen Schaden an der zentralen Wasser-Hochdruckleitung der Stadt gab und wir dringend den Hausanschluss prüfen müssen.
  • Nach ein paar weiteren überzeugenden Argumenten lassen Sie uns rein.
  • Im Keller stellen wir fest, dass der Leitungsschaden Ihr Haus betroffen hat und wir zur Sicherheit alle Sanitäten Anlagen prüfen sollten.
  • Während der kostenfreien Führung durch Ihr Haus sehen wir einige spannende High-Tech-Geräte und Schmuck.
  • Während Sie auf unsere Bitte hin im Keller nachsehen, ob wir dort unseren Schraubenzieher liegen haben, schnappen wir was geht und sind weg.
  • Anschließend listen wir Ihnen auf, was alles schief gelaufen ist und durch Training und Übung korrigiert werden könnte.

Red-Team-Assessment

Das war Ihnen eine Lehre! Ohne Termin kommt kein Techniker mehr ins Haus.
Also: Keine Schwachstellen in den verwendeten Komponenten, kein offenes Fenster und kein simples Türschloss. Zeit für Red-Teaming:

  • Im Grundbuchamt erfahren wir Details zum Grundriss Ihres Hauses, dem Architekten und Bauträger.
  • Wir nehmen Kontakt auf, um unter einem Vorwand die konkreten Innenmaße des Schornsteins in Erfahrung zu bringen – vllt. könnte man sich ja abseilen…
  • Das würde ohnehin nur klappen, wenn Sie nicht da sind. Mit Hilfe Ihres Namens und Ihres Kennzeichens versuchen wir Ihre Facebook-, Xing- und Instagram-Accounts ausfindig zu machen – vllt. steht ja Urlaub an.
  • Etwas niedergeschlagen weil dies nicht gelingt schnappen wir uns ein paar Dosen Energy-Drink und parken mit unserem Auto für die nächsten Tage in der Nähe Ihres Hauses – Aufklärungsarbeit.
  • Am 2. Tag sehen wir, wie Ihre Nachbarin Ihr Haus betritt, um Mittags mit Ihrem neuen Wachhund spazieren zu gehen – die Dame hat einen Schlüssel.
  • Wir untersuchen das Haus Ihrer Nachbarin. Ein ähnlich hohes Sicherheitsniveau – Wird nicht leicht rein zu kommen.
  • Bei unserer Aufklärungsarbeit stellen wir fest, dass Ihre Nachbarin eine Putzfrau hat.
  • Bei einem fröhlichen Bar-Besuch passen wir die Putzfrau Ihrer Nachbarin ab und machen ihr ein Angebot, was sie nicht ablehnen kann – Geld gegen Haustürschlüssel.
  • Wenige Tage später bekommen wir von der Putzfrau die Schlüssel für unser Zielobjekt übergeben. Schnell fertigen wir mit etwas handwerklichem Geschick und Utensilien aus dem Bastelladen eine Kopie des Schlüssels an. Der Original-Schlüssel wird unbemerkt an seinen Ursprungsort zurück gelegt.
  • Am nächsten Tag zur Mittagszeit, wenn Ihre Nachbarin mit dem Hund spazieren ist brechen wir mit dem kopierten Schlüssel ins Haus ein.
  • Zunächst machen wir schnell ein paar Fotos – ohne sichtbare Spuren zu hinterlassen. Ein Bild vom Fernseher, ein Bild vom Terminkalender, …
  • Eine sorgfältige Auswertung der Aufklärungsarbeiten ergab, dass die wertvollsten Gegenstände im Schlafzimmer sind und Sie in einer Woche zu einer Party inklusive Haustieren mit Ihren direkten Nachbarn im Restaurant am anderen Ende vom Ort eingeladen sind.
  • Der perfekte Zeitpunkt…
  • Die aufwändigen Vorarbeiten werden akribisch dokumentiert und Ihnen in einem umfassenden Termin im Detail vorgestellt.

Ist mein Haus nun sicher?!

Sie haben nachgebessert und Ihre Nachbarn ausgetauscht. Wenige Monate nach dem Ende der Assessments kommen Sie abends nach Hause. Ihr Haus ist leer. Der Angreifer kam:

  • fuhr mit seinem Kleintransporter durch den Gartenzaun,
  • schlug mit einem Vorschlaghammer die Fensterscheibe zur Küche ein,
  • klaute die wertvollsten Gegenstände und
  • verschwand, ehe ihn ein Nachbar entdeckt hat.

Unterm Strich…

Sicherheitsüberprüfungen sind wichtig und sinnvoll. Das sollte bitte außer Frage stehen. 100% Sicherheit bringen sie aber nicht, da immer nur ein Angriff “simuliert” wird.
Blicken wir zurück, dann könnte man die Überprüfungsmethoden beispielsweise in die Kategorien Kosten, Aufwand, (primäres) Vorgehen und Ergebnis klassifizieren.

Schwachstellenscan

  • Kosten: kostengünstig
  • Aufwand: geringer Aufwand für Sie, hohe Automatisierung
  • Vorgehen: technisch
  • Ergebnisse: oberflächliche Ergebnisse, “Script-Kiddie-Niveau”
  • Geeignet für: Alle Unternehmen als Basis-Maßnahme für interne und externe Systeme

Penetration Test

  • Kosten: eher höher, schnell > 10k €
  • Aufwand: geringer Aufwand für Sie
  • Vorgehen: technisch, teilweise Automatisierung
  • Ergebnisse: detaillierte technische Ergebnisse, “Security-Professional-Niveau”
  • Geeignet für: Alle Unternehmen. Zu Beginn mit dem Schwerpunkt auf externe Systeme und Anwendungen

Social Engineering

  • Kosten: mäßig, je nach Fokus
  • Aufwand: Aufwändige Vorbereitung (ggf. Einbeziehung Betriebsrat, Geschäftsleitung …)
  • Vorgehen: organisatorisch / Faktor Mensch
  • Ergebnisse: eher “menschliche Fehler”, “Spam-und-Callcenter-Fraud-Niveau”
  • Geeignet für: Größere KMUs, die bereits technische Maßnahmen implementiert haben und über eine gute IT-Sicherheit verfügen

Red-Team-Assessment

  • Kosten: sehr teuer, schnell > 30k €
  • Aufwand: sehr hoher Aufwand für Sie in der Vorbereitung, lange Laufzeit
  • Vorgehen: technisch und organisatorisch mit Aspekten aus Schwachstellenscan, Social Engineering und Pentest und breitem Ansatzpunkt
  • Ergebnisse: detaillierte technische und organisatorische Ergebnisse, “Gezielter-Angreifer-Niveau”
  • Geeignet für: Fortgeschrittene Fragestellungen der IT-Sicherheit. Schwachstellenscans und Pentests sollten bereits durchgeführt und die Ergebnisse bearbeitet sein.

Nichts tun geht gar nicht!

Auch wenn es manchmal frustrierend ist: tun Sie etwas! Fangen Sie mit dem an, was Sie finanziell und organisatorisch leisten können.

Manchmal sind auch Ansätze, die über die technische Betrachtung hinaus gehen, etwa eine Rundum-Analyse durchaus ein hilfreicher Start um einen umfassenden Überblick über ihr aktuelles technisches und organisatorisches Sicherheitsniveau zu erhalten.