michael.eichberg@dhbw.de, Raum 149B
1.0
Angriffsarten:
Ransomware
Wirtschaftsspionage
Advanced Persistent Threats
(Distributed) Denial of Service (DoS/DDoS)
Spam und Phishing
Unterscheidung der Angreifer:
Hacker
Cracker („kriminelle Hacker“ oder Insider)
Script Kiddies
Sicherheitstest von einzelnen Rechnern oder von Netzwerke jeglicher Größe.
Prüft die Sicherheit von Systembestandteilen und Anwendungen.
Durchführung mit Hilfe des Einsatzes von Mitteln und Methoden, um unautorisierten Zugriff zu erhalten.
(D. h. mit Methoden, die auch Angreifer verwenden!)
erfordert Kenntnisse der Zielsysteme und der Zielumgebung
wesentliche Schritte:
Planung und Informationssammlung
Auswahl der passenden Methoden und Werkzeuge
Durchführung
Analyse der Ergebnisse und Erstellung eines Berichts
Ein einfacher Scan nach Schwachstellen ist kein Pentest.
Identifikation von Schwachstellen:
technischer Natur
organisatorischer Natur
Erhöhung der Sicherheit
Zertifizierung der IT Sicherheit durch einen Dritten
It wasn't raining when Noah built the ark.
-- Howard Ruff
Der erste Schritt ist es vorbereitet zu sein. Ein Angriff wird kommen und wird zu einem Sicherheitsproblem führen!
Ein Pentest ist immer nur eine Momentaufnahme!
Black-Box
Keine Informationen über das Zielsystem
Informationsgewinnung ist Teil der Aufgabe
„Simuliert einen Cyberangriff“
White-Box
Umfangreiche Informationen werden bereitgestellt
„Simuliert ggf. einen Insiderangriff“
Gray-Box
Informationen, die ein normaler Nutzer sich erarbeiten kann, werden bereitgestellt
„Simuliert einen Cyberangriff“
ggf. besseres Kosten-Nutzen-Verhältnis
Nicht Teil dieser LV
Pentests, die auf Social-Engineering basieren.
Red Team vs. Blue Team
Experten, die ein System angreifen.
IT Security Experten eines Unternehmens, die ein System verteidigen und dabei von entsprechenden Beratern unterstützt werden.
Ziel ist es, die Sicherheit des Systems zu erhöhen und festzustellen:
ob bzw. wie lange es gedauert hat bis der Angriff erkannt wurde,
wie lange es danach gedauert hat die Bedeutung des Angriffs einzuschätzen
und wie lange es abschließend gedauert hat bis das System wiederhergestellt und gesichert war.
Am Ende einer Übung müssen sich beide Teams austauschen, um den maximalen Lerneffekt zu erzielen!
Klassifikationsschema des BSI:
Black-Box ↔︎ White-Box
passiv scannend (keine Ausnutzung von Schwachstellen) ↔︎ aggressiv (Ausnutzung von Schwachstellen)
Punktuelle Tests oder vollständige Tests
verdeckt oder offensichtlich
Netzwerkzugang, physischer Zugang, Social Engineering
von außen oder innen
Pentests können zu Störungen der normalen IT Prozesse führen.
Pentester können auf unternehmenskritische Daten Zugriff erhalten.
Technische Risiken:
DoS Attacken
Systemabstürze
Computerkriminalität nimmt immer mehr zu
Schaffung neuer Straftatbestände zwecks Generalprävention bisher nicht erfolgreich
Strafrechtliche Verfolgung von Computerkriminalität ist schwierig; Beweisführung ist aufwendig und schwierig
„[...] sich unbefugten Zugang zu einem System zu verschaffen ist in Deutschland strafbar.“
(D.h. Pentests ohne explizite Erlaubnis sind illegal!)
Pentests verlangen explizite schriftliche Erlaubnis zwischen Auftraggeber und Auftragnehmer
Ein Auftraggeber kann nur für Systeme Pentests vergeben, für die er die Verantwortung trägt
Pentests sind gesetzlich nicht vorgeschrieben
Pentests sind jedoch geeignet um nachzuweisen, dass gesetzliche Vorgaben in Hinblick auf die IT Sicherheit eingehalten werden
Es handelt sich hierbei um keine Rechtsberatung!
Beim Einsatz von Cloud-Diensten ist es wichtig, dass der Auftraggeber die Erlaubnis hat, einen Pentest durchzuführen.
Pentests sind geeignet, um ggf. nachzuweisen, dass die rechtlichen Anforderungen in den folgenden Bereichen eingehalten werden:
Handelsgesetzbuch (HGB)
Bestimmungen zu internen Kontrollsystemen (Abschnitt 4 GoBS)
Bestimmungen zur Datensicherheit (Abschnitt 5 GoBS)
Bestimmungen in Hinblick auf den Schutz vor Verlust und unberechtigte Veränderung
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)
Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.
—§ 91 Abs 2 AktG
Kreditwesengesetz
Nach § 44 Abs. 1 KWG kann der Themenbereich Internet-Sicherheit zum Gegenstand einer Prüfung gemacht werden, wenn Finanzdienstleistungen über das Internet zur Verfügung gestellt werden.
Bundesdatenschutzgesetz (BDSG)
Datenschutzaudit[#]
Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und Daten verarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen.
Telekommunikationsgesetz (TKG)
Wer Telekommunikationsanlagen betreibt, die dem geschäftsmäßigen Erbringen von Telekommunikationsdiensten dienen, hat bei den zu diesem Zwecke betriebenen Telekommunikations- und Datenverarbeitungssystemen angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutze [...]
der [...]systeme gegen unerlaubte Zugriffe, [...]
gegen äußere Angriffe [...] zu treffen
—87 Abs. 1 TKG
GoBS: Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme AktG: Aktiengesetz
Zugangskontrolldiensteschutzgesetz
Verbot von gewerbsmäßigen Eingriffen zur Umgehung von Zugangskontrolldiensten
Verboten sind 1.) die Herstellung, die Einfuhr und die Verbreitung von Umgehungsvorrichtungen zu gewerbsmäßigen Zwecken, 2.) der Besitz, die technische Einrichtung, die Wartung und der Austausch von Umgehungsvorrichtungen zu gewerbsmäßigen Zwecken, 3.) die Absatzförderung von Umgehungseinrichtungen.
—§ 3 ZKDSG
Telekommunikationsgesetz
Einsatz von Netzwerk-Sniffern und das Abhören von Netzwerkverkehr ist ggf. strafbar, wenn keine Erlaubnis eingeholt wurde.
Betriebsverfassungsgesetz
Pentests sind ggf. dazu geeignet Überwachung und Leistungsbeurteilungen der Mitarbeiter (implizit oder explizit) durchzuführen. Eine Einbindung des Betriebsrats ist deswegen im Vorfeld erforderlich; auch wenn keine Intention oder Auswertung bzgl. Leistungsorientierung existiert!
Der Auftragnehmer hat die allgemeine Sorgfaltspflicht! (Wenn er „aus Versehen“, die falschen IP Adressen angreift, ist der Pentester schuldig.))
typischerweise handelt es sich um eine entgeltliche Geschäftsbesorgung mit Dienstleistungscharakter
Vertragsgegenstand:
Zielsetzung (z. B. Identifikation von Schwachstellen, Erlangung einer Zertifizierung, Erhöhung der technischen Sicherheit)
Art des Pentests (z. B. siehe Klassifikationsschema)
Einzusetzende und auszuschließende Methoden
Aufwand (z. B. in Personentage) und Umfang bzw. Zeitraum in dem die Tests durchgeführt werden.
ggf. durchführende Personen benennen (insb. bei Social-Engineering-Pentests)
nur ein vertretungsberechtigter des Auftraggebers (z. B. Prokurist, Geschäftsführer) kann den Vertrag wirksam abschließen
Der Aufwand muss nicht deckungsgleich mit dem Zeitraum sein. Insbesondere wenn umfangreiche, automatisierte Scans eingesetzte werden, kann der Zeitraum sehr viel länger sein.