Bei einem Penetration-Test schauen keine kriminellen Hackerinnen oder Hacker, sondern beauftragte Personen auf die Systeme und den Fußabdruck im Netz. Ein Test kann auf unterschiedlichsten Ebenen stattfinden und in unterschiedliche Tiefen hervordringen – angefangen mit einer sogenannten OSINT-Analyse.
OSINT bedeutet “Open Source Intelligence”, ein aus dem nachrichtendienstlichen Umfeld geprägter Begriff, der das Vorgehen recht gut beschreibt. Es werden öffentliche Quellen genutzt, um detaillierte Informationen über ein Unternehmen oder Personen zu erlangen. Dazu gehören öffentlich verfügbare Dokumente, E-Mail-Adressen, Bilanzen aber auch IP-Adressen und Informationen, die vielleicht gar nicht öffentlich einsehbar sein sollten, es aber trotzdem sind. Die häufigsten Funde sind interne Logins oder geheime Dokumente. Auch soziale Medien können wichtige Informationen liefern. Stellenausschreibungen können beispielsweise auf Personalmangel in kritischen Bereichen hinweisen oder als vorgeblicher Anlass für eine Phishing-Mail genutzt werden. Mittels unterschiedlicher künstlicher Intelligenzen (KI) können private Profile von im Unternehmen angestellten Personen gefunden werden – ein beliebtes Mittel Krimineller, um den Angriff abseits der hohen Sicherheitsvorkehrungen von Unternehmen zu beginnen. Dies ist jedoch kein Teil eines Penetration-Tests, um Mitarbeitende zu schützen.
Mit den gefundenen Daten kann nun weiter geforscht werden. Es wird mit Tools aktiv gescannt, welche Aktualität die Systeme haben. Anhand dieser Informationen können nun Warnungen und Empfehlungen ausgesprochen werden, um den Fußabdruck zu reduzieren und die Sicherheit zu erhöhen.
Neben dem Prüfen eines gesamten Unternehmens ist es sinnvoll, selbst entwickelte Anwendungen regelmäßig zu testen, denn Schwachstellen fallen hier häufig erst auf, wenn sie ausgenutzt werden. Das ist besonders kritisch, wenn die Anwendungen an Systeme mit schützenswerten Daten angebunden sind. Anhand der gefundenen Schwachstellen können die Anwendungen wirksam untersucht und gegen Angriffe von außen und innen geschützt werden.
Weitere Szenarien reichen von Überprüfungen der Netzwerkumgebung bis zu einem Besuch vor Ort, bei dem ein Penetration-Tester unter einem Vorwand das Unternehmen betritt und versucht, so viele Informationen wie möglich zu erhalten.
Sprechen Sie uns gerne an!