Penetrationstest, Netzwerksicherheits-Bootcamps und viele Antworten

Für das Thema IT-Sicherheit immer wieder zu sensibilisieren ist Teil unserer Informationspflicht. Elmar Harhoff von der Kramer & Crew GmbH & Co. KG erläutert einige Segmente im Gespräch, beispielsweise Erstzugriff, Persistenz, Privilegien Eskalation, Befehl und Kontrolle sowie die Penetrationstests. Daneben spricht er über Netzwerksicherheits-Bootcamps, Wissensframeworks und neben anderem über den Advanced MSSP Status der Fortinet.

WIRTSCHAFT ONLINE: Guten Tag, Herr Harhoff. In Vorbereitung des Cyber-Sicherheits-Tags Sachsen 2024 möchten wir die diversen Facetten des Themas beleuchten. In einigen vorherigen Interviews fiel der Begriff „Penetrationstests“. Sie sind hier der ausgewiesene Experte, Herr Harhoff. Deshalb gleich die Frage: Was meint der Begriff Penetrationstest ganz allgemein?

Herr Harhoff: Ein Penetrationstest ist eine gezielte und autorisierte Simulation von Angriffen auf IT-Systeme, Netzwerke oder Anwendungen, um Schwachstellen zu identifizieren und Sicherheitslücken aufzudecken. Das Hauptziel eines Penetrationstests besteht darin, die Sicherheit eines Systems zu bewerten und zu verbessern, indem die Vorgehensweise eines potenziellen Angreifers nachempfunden wird.

Während eines Penetrationstests versucht ein speziell geschulter Sicherheitsexperte, Schwachstellen in den Systemen zu finden und zu nutzen, um in diese einzudringen. Dies geschieht jedoch in einer kontrollierten Umgebung und mit vorheriger Zustimmung des Systemeigentümers. Es gibt verschiedene Arten von Penetrationstests, darunter externe Tests, bei denen von außen auf das System zugegriffen wird, interne Tests, die interne Schwachstellen überprüfen, und gezielte Tests, die sich auf bestimmte Anwendungen oder Systemkomponenten konzentrieren. Durch regelmäßige Durchführung von Penetrationstests können Unternehmen ihre Sicherheitsmaßnahmen stärken und besser auf potenzielle Bedrohungen vorbereitet sein.

Ein klassischer Anwendungsfall ist zum Beispiel ein Kunde, der ein Portal für eine große Handelskette betreibt. Als Dienstleister für die Handelskette, ist der Kunde hochgradig daran interessiert, dass das Portal rundum gegen unberechtigte Zugriffe abgesichert ist. Deshalb beauftragt er uns, als darauf spezialisierten externen Dienstleister, nach umfassenden eigenen Tests, um dadurch sicherzustellen, dass nichts vergessen wurde. Wir prüfen nach umfassenden Standards und dokumentieren die Tests und die Ergebnisse. Dabei werden gefundene Schwachstellen priorisiert und Vorschläge unterbreitet, diese zu beseitigen. Wenn gewünscht, übernehmen wir die Behebung.  

Der Penetrationstest hat dabei mehrere Funktionen: Einfallstore zu identifizieren, die Gefährdung zu klassifizieren, priorisieren und dient als Grundlage für die Beseitigung der Gefährdung. Darüber hinaus ist der Penetrationstest für viele unserer Kunden auch die Grundlage dafür, eine Cyber-Security-Versicherung zu bekommen, oder eine Akkreditierung für ein bestimmtes Geschäftsmodell oder im Rahmen einer Due Dilligence zur Einwerbung weiterer Investments z. B. für den Ausbau des Marktes mit dem vom Kunden geschaffenen Produkt.

WIRTSCHAFT ONLINE: Für die Kramer & Crew GmbH & Co. KG sind Sie in Bootcamps für Netzwerksecurity aktiv. Was geschieht in diesen Bootcamps?

Herr Harhoff: Die Netzwerksicherheits-Bootcamps von Kramer & Crew bieten umfassende Schulungen in verschiedenen Bereichen. Die Teilnehmenden erwerben Kenntnisse zu Netzwerktopologien, Protokollen, Firewalls und Intrusion Detection Systemen aber auch Malware, Phishing und Social Engineering, sowie die Nutzung von Ethical-Hacking-Tools.

Unser Fokus liegt auf der Penetrationstest-Methodik, inklusive Planung, Durchführung und Berichterstattung. Darüber hinaus erhalten die Teilnehmenden Einblicke in kryptografische Grundlagen und lernen die Anwendung von Verschlüsselungstechniken in der Netzwerksicherheit kennen. Notfallmanagement und Incident Response vervollständigen die Schulungen, indem die Teilnehmenden darauf vorbereitet werden, angemessen auf Sicherheitsvorfälle zu reagieren.

WIRTSCHAFT ONLINE: Innerhalb der Bootcamps wird mit MITRE ATT&CK ^® Framework gearbeitet. Was ist das denn ganz konkret?

Herr Harhoff: MITRE ATT&CK ^® ist ein Wissensframework, das entwickelt wurde, um die Taktiken, Techniken und Verfahren von Cyberangriffen zu dokumentieren und zu klassifizieren. Das Framework bietet eine umfassende Matrix, die verschiedene Phasen eines Angriffszyklus abdeckt, angefangen von der Initialisierung über die Ausnutzung von Schwachstellen, das Durchdringen von Netzwerken bis hin zu Aktivitäten nach einer erfolgreichen Kompromittierung.

Es gibt verschiedene Gruppen von ATT&CK-Matrizen, darunter für Betriebssysteme wie Windows, Linux und macOS, mobile Plattformen sowie Cloud-Umgebungen. Diese Matrizen sind äußerst hilfreich für Sicherheitsprofis, insbesondere für Ethical Hacker und Penetrationstester, um Angriffe zu verstehen, Schwachstellen zu identifizieren und die Abwehrfähigkeiten von Systemen zu verbessern.

WIRTSCHAFT ONLINE: Sie blicken auf die Sicht der Angreifer bei Ihrer Arbeit. Dabei kommen Schlagworte wie Erstzugriff, Persistenz, Privilegien Eskalation, Befehl und Kontrolle ins Spiel. Können Sie uns hierzu bitte etwas mehr verraten?

Herr Harhoff: Dies sind alles Fachbegriffe aus dem IT-Security-Jargon und Teile der sogenannten „Kill Chain“, einer Reihe von Aktivitäten, mit denen Angreifer gezielt in Systeme gelangen wollen. Der Erstzugriff ist dabei der erste Schritt eines Cyberangriffs, um in das Netzwerk überhaupt reinzukommen. Die Persistenz ist dann die Fähigkeit eines Angreifers, im System zu bleiben, nach dem Erstzugriff. Die Fähigkeit eines Angreifers, seine Zugriffsrechte in einem System oder Netzwerk zu erhöhen, um auf weitere Ressourcen zuzugreifen, nennt sich Privilegien Eskalation. Befehl und Kontrolle bezieht sich zu guter Letzt auf die Fähigkeit eines Angreifers, ein infiziertes System oder Netzwerk fernzusteuern und Anweisungen an Malware oder andere bösartige Programme zu senden.

Während Hacker früher unmittelbar nach dem Erstzugriff die IT-Systeme des betroffenen Unternehmens verschlüsselt haben, um Zahlungen zu erpressen oder Konkurrenten auszuschalten, erleben wir heute, dass die Eindringlinge sich länger in der IT-Umgebung bewegen, um Zahlungsströme, Informationen, Prozesse auszuspähen und ggf. zu verändern. Das hat dann z.B. solche Auswirkungen, dass Daten im Warenwirtschaftssystem geändert und Kontendaten abgewandelt werden, um unerkannt länger Gelder abzuziehen. Klassische Zeiten für Verschlüsselung von Infrastrukturen sind dann gern die Feiertage oder Wochenenden. Die Persistenz, also durchschnittliche Zeit des Angreifers im kontaminierten Netz, beträgt in der Zwischenzeit rd. 200 Tage, bevor eine Verschlüsselung erfolgt. Innerhalb dieser Periode nutzen die Hacker die Zeit, um diverse Änderungen vorzunehmen bzw. Schäden zu verursachen.

WIRTSCHAFT ONLINE: Vor knapp fünf Monaten haben Sie auf LinkedIn einen Post von Kramer & Crew geteilt, der besagt: „Wir dürfen heute voller Stolz verkünden, dass wir, als eins von neun Unternehmen in Deutschland, den Advanced MSSP Status der Fortinet erreicht haben.“ Was ist das denn für ein Status? Um was geht es hier?

Herr Harhoff: Bei der Fortinet, Inc. handelt es sich um den weltweit viertgrößten Anbieter von Netzwerksicherheitslösungen (bezogen auf den Jahresumsatz). Sie verfügen über eine umfassende Produkt-Palette zur Absicherung von IT-Netzwerk-Infrastrukturen, IT-Kommunikation und Endpunktsicherheit.  Der MSSP (Managed Security Service Provider) Status von Fortinet ist eine Bestätigung für unsere besonderen Qualifikationen, Schulungen und Fähigkeiten in Bezug auf die Fortinet Security Fabric. Dieser Partnerstatus ist nur wenigen, top ausgebildeten Partnern vorbehalten und erfüllt uns nicht nur mit Stolz, sondern ist auch ein Qualitätssiegel, das sinnbildlich für das Vertrauen unserer Kunden in unsere 360-Grad IT-Security-Kompetenz steht.

Der Advanced Status drückt aus, dass wir aufgrund unserer zahlreichen Kundenprojekte mit Fortinet-Lösungen ein Volumen erreicht haben, welches sich auch für unsere Kunden auszahlt. Es äußert sich in einer hohen Servicequalität, in besseren Preisen und dedizierten Ansprechpartnern auch auf Herstellerseite. Zusätzlich sind wir in Expertenrunden und Beta-Programmen an der Produktentwicklung beteiligt.

Fortinet ist für uns ein wichtiger Partner. Prinzipiell arbeiten wir jedoch herstellerunabhängig, da wo der Kunde uns benötigt. Wir haben die Produkte von Fortinet, aber auch gängige, andere im Markt verfügbare IT-Security-Produkte in unserer eigenen Infrastruktur intensiv getestet und im Einsatz. Unsere IT-Experten haben spezifische Schulungen, Zertifizierungen, Akkreditierungen durchlaufen und vielfältige Projektexpertise nachgewiesen. Damit sind sie autorisiert, die Technik unter anderem von Fortinet zu installieren, zu konfigurieren, zu warten und entsprechende Umgebungen für Fortinet beim Kunden zu betreuen.

Mit unseren Services reduzieren wir das Risiko und minimieren die Auswirkungen von Cyberangriffen. Damit schützen wir Infrastruktur, Daten und Anwender eines Unternehmens – unabhängig davon, wer, wo, wann und wie auf die IT-Ressourcen zugreift.

WIRTSCHAFT ONLINE: Welche Unternehmen sprechen Sie mit den Penetrationstests an? Wer sollte sich dringend mit diesem Thema auseinandersetzen?

Herr Harhoff: Grundsätzlich empfehlen wir Penetrationstests für Unternehmen, die ihre IT-Systeme schützen möchten und sich nicht sicher sind, welche Bereiche am meisten gefährdet sind. Durch einen Penetrationstest kann man hier gute Ergebnisse erzielen, wenn dieser gut gemacht ist. Insbesondere Unternehmen, die personenbezogene Daten oder andere vertrauliche Informationen verarbeiten, sollten sich mit diesem Thema auseinandersetzen, da hier die Gefahren und Haftungsrisiken deutlich größer sind. Penetrationstests sind zudem für Unternehmen mit kritischen Infrastrukturen gesetzlich vorgeschrieben. Zwischenzeitlich kann man auch nicht mehr davon sprechen, dass es besonders beliebte „Angriffszielgruppen“ gibt. Jedes Unternehmen kann von einem Cyberangriff betroffen sein. Die Fragen, die Sie sich stellen sind: Was sind meine Kronjuwelen, die es zu schützen gilt, damit mein Geschäftsbetrieb aufrechterhalten werden kann? Wie lange dauert es, meine IT wieder in Betrieb zu nehmen? Wie viel Geld kostet es mein Unternehmen pro Tag, wenn die IT stillsteht? Welchen Reputationsverlust hat mein Unternehmen mit diesem Angriff und welche Auswirkungen hat das auf mein Geschäft?

WIRTSCHAFT ONLINE: Zu Penetrationstests gibt es auch eine Gesetzeslage, sie werden förmlich verlangt und eingefordert. Können Sie unseren Leserinnen und Lesern bitte dazu etwas sagen?

Herr Harhoff: Ein Penetrationstest ist gesetzlich vorgeschrieben für Betreiber kritischer Infrastrukturen (KRITIS), die gemäß § 8a Absatz 1 des BSI-Gesetzes als solche gelten. Die KRITIS-Betreiber sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zum Schutz ihrer kritischen Infrastruktur zu treffen, einschließlich der Durchführung von Penetrationstests.

Für Unternehmen, die nicht als KRITIS-Betreiber gelten, gibt es keine gesetzliche Verpflichtung zur Durchführung von Penetrationstests. Allerdings kann es für Unternehmen sinnvoll sein, Penetrationstests durchzuführen, um Schwachstellen in ihren IT-Systemen zu identifizieren und zu beheben, bevor sie von Angreifern ausgenutzt werden können.

In Bezug auf Zertifizierungen gibt es verschiedene Zertifizierungen, die einen Penetrationstest erfordern. Ein Beispiel ist die ISO 27001-Zertifizierung, die eine regelmäßige Durchführung von Penetrationstests erfordert, um die Sicherheit von Informationssystemen zu gewährleisten. Eine weitere Zertifizierung, die einen Penetrationstest erfordert, ist die PCI-DSS-Zertifizierung für Unternehmen, die Kreditkartendaten verarbeiten.

WIRTSCHAFT ONLINE: Bei Kramer & Crew sprechen Sie von „360° IM BLICK ZUKUNFTSFIT“, wobei das I und das T andersfarbig abgesetzt werden. Dabei sind für Sie Menschen, Prozesse und Technologien im Fokus. Können Sie uns bitte mehr zu Ihrer Philosophie erzählen?

Herr Harhoff: Wir wissen aus langjähriger Erfahrung, dass IT Security nur funktionieren kann, wenn alle drei Ebenen einbezogen, sind: Die Menschen müssen die eingesetzten Technologien akzeptieren und die Prozesse leben, die für den effektiven Schutz gegenüber Cyber-Angriffen erforderlich sind. Dieser ganzheitliche Ansatz funktioniert natürlich nur, wenn sie das richtige Zusammenspiel von Technologien, die 360°-Sicht und die richtigen Prozesse etabliert haben, deswegen beginnt Security oftmals mit dem „Grundkonzept: Einführung eines Informations-Management-Systems (IMS) im Unternehmen“. Ach ja: Wenn Sie bereits eine gute IT-Defense im Einsatz haben, empfehlen wir ein SOC, Security-Operations-Center, bei dem alle Informationen zusammenlaufen und Probleme erkannt werden können, bevor sie entstehen.

WIRTSCHAFT ONLINE: Danke, Herr Harhoff, für Ihre Zeit und Ihre Aufklärungsarbeit.

Kramer & Crew

Cybersicherheits-Tag Sachsen 2024