Beiträge

VPN

Ein Penetrationstest, abgekürzt als PEN-Test bezeichnet, ist ein Test zur Bewertung der Sicherheit einer IT-Infrastruktur. Ein IT-Experte führt den Test durch indem er einen Angriff simuliert und damit die externen und internen Bedrohungen.

Ein PEN-Test beinhaltet eine aktive Analyse des Systems durch IT-Experten auf mögliche Sicherheitslücken. Sicherheitslücken in einer IT-Infrastruktur können durch eine falsche Systemkonfiguration, Hardware- oder Softwarefehler oder organisatorische Schwachstellen entstehen. Die im Laufe des Penetrationstests gefundenen Sicherheitsprobleme werden analysiert und im Hinblick auf mögliche Auswirkungen auf die gesamte Organisation bewertet. Auf Grundlage dieser Analyse und Bewertung können gegebenenfalls Maßnahmen zur Verbesserung der IT-Sicherheit vorgenommen werden.

Angriffe von außen verursachen schwerwiegende Schäden

Die Vorteile von Penetrationstest

Die wichtigsten Vorteile von Penetrationstests sind:

  • Identifizierung von Fehlern, die mit einer Fehlererkennungssoftware nicht oder nur schwer identifiziert werden können
  • Identifizieren von Fehlern mit einem hohen Risiko für das System, die sich aus einer Verkettung von Schwachstellen mit einem geringen Sicherheitsrisiko ergeben und von Angreifern in einer bestimmten Reihenfolge ausgenutzt werden können
  • Beurteilung, welche geschäftlichen und betrieblichen Auswirkungen ein erfolgreicher Angriff auf die IT-Infrastruktur haben kann
  • Testen der Fähigkeit von Netzwerkadministratoren und internen IT-Experten, Angriffe zu erkennen und auf diese Angriffe richtig zu reagieren

Wie wird ein Pentest durchgeführt?

Für die Durchführung eines PEN-Test werden drei verschiedene Testszenarien genutzt.

Der Black-Box Pen-Test

Bei einem Black-Box Test wird der Penetrationstester in die Rolle eines durchschnittlichen Hackers versetzt, dem das interne Zielsystem nicht bekannt ist. Die für den Test eingesetzten IT-Experten erhalten keine Architekturdiagramme, keine Systeminformationen oder Quellcodes, die nicht öffentlich verfügbar sind. Ein Black-Box Penetrationstest ermittelt die Schwachstellen in einem System, die von außerhalb des Netzwerks ausgenutzt werden können.

Dies bedeutet, dass ein Black-Box Penetrationstest auf einer dynamischen Analyse der aktuell ausgeführten Programme und Systeme innerhalb des Zielnetzwerks basiert. Black-Box Penetrationstester müssen mit automatisierten Scan-Tools und Methoden für manuelle Penetrationstests gleichermaßen vertraut sein. Zudem müssen sie als IT-Experten in der Lage sein, auf der Grundlage ihrer Beobachtungen eine eigene Karte eines Zielnetzwerks zu erstellen, da ihnen kein solches Diagramm zur Verfügung gestellt wird.

Der Hauptnachteil dieses Ansatzes besteht darin, dass alle Schwachstellen interner Services unentdeckt bleiben und nicht gepatcht werden, wenn die IT-Experten nicht in das System eindringen können.

Penetrationstest

Bei PEN-Tests werden Angriffe simuliert

Der Gray-Box Pen-Test

Bei dieser Testmethode kennt der Tester die Zugriffs- und Wissensebenen eines Benutzers, möglicherweise mit erhöhten Rechten auf einem System. Gray-Box Pentester haben normalerweise ein gewisses Wissen über die Interna eines Netzwerks, möglicherweise einschließlich der Design- und Architekturdokumentation und eines internen Accounts im Netzwerk.

Der Zweck des Gray-Box-Pentesting besteht darin, die Sicherheit eines Netzwerks gezielter und effizienter zu bewerten als bei einem Black-Box-Test möglich ist. Die IT-Experten können sich auf Grundlage der Vorkenntnisse von Anfang an auf die Systeme mit dem größten Risiko und dem größten Wert konzentrieren, anstatt diese Informationen selbst ermitteln zu müssen.

Der White-Box Pen-Test

White-Box-Tests werden unter verschiedenen Namen wie „Clear-Box„, „Open-Box„, „Auxiliary“ und „Logic-Driven“ durchgeführt. Die Penetration Tester erhalten bei dieser Methode vollen Zugriff auf Quellcodes, Architektur-Dokumentation, Anwendungssoftware, Hardwarespezifikationen und mehr. Die größte Herausforderung bei White-Box-Tests besteht darin, die große Menge an verfügbaren Daten zu durchforsten, um potenzielle Schwachstellen zu identifizieren. Whitebox-Pen-Test ist die zeitaufwendigste Art von Penetrationstests.

Im Gegensatz zu Black-Box– und Gray-Box-Tests sind Whitebox-Penetration-Tester in der Lage, statische Code-Analysen durchzuführen und sich mit Quellcode-Analysatoren, Debuggern und ähnlichen Tools vertraut zu machen, die für diese Art von Tests wichtig sind. Dynamische Analysewerkzeuge und –techniken sind jedoch auch für White-Box-Tester wichtig, da die statische Analyse Schwachstellen ausschließen kann, die durch Fehlkonfigurationen von Zielsystemen entstehen. Ein White-Box Penetrationstest ermöglicht eine umfassende Bewertung interner und externer Schwachstellen.

Die Vor- und Nachteile der verschiedenen Testmethoden

Die wichtigsten Unterschiede zwischen einem Blackbox-, Gray-Box– und White-BoxPEN-Test bestehen in der Genauigkeit des Tests sowie in seiner Geschwindigkeit, Effizienz und Abdeckung.

PEN-Tests sollen Schwachstellen aufzeigen

Der Zweck eines Penetrationstests besteht darin, Schwachstellen zu identifizieren und zu patchen, die von einem Angreifer ausgenutzt werden können. Daher wäre die ideale Form des Penetrationstests eine Blackbox, da die Mehrheit der Angreifer vor Beginn ihres Angriffs keine Kenntnis über die internen Abläufe ihres Zielnetzwerks hat. Der durchschnittliche Angreifer hat jedoch viel mehr Zeit für seinen Prozess als der durchschnittliche Pentester. Die anderen Arten von Penetrationstests wurden daher entwickelt, um die Eingriffszeit zu verkürzen, indem das dem Tester zur Verfügung gestellte Informationsniveau erhöht wird.

Das Gegenteil zum Black-Box-Test ist der White-Box-Test, bei dem die IT-Experten vollständige Informationen über das Zielsystem erhalten. Die Befürchtung bei dieser Art von PEN-Test besteht darin, dass die erhöhten Informationen dazu führen, dass die Tester sich anders verhalten als Blackbox-Hacker. Dies könnte dazu führen, dass sie Sicherheitslücken übersehen, die ein weniger informierter Angreifer ausnutzen würde.

Gray-Box-Tests sind ein Kompromiss zwischen White-Box– und Black-Box-Tests. Durch die Bereitstellung eines Testers mit begrenzten Informationen über das Zielsystem simulieren Gray-Box-Tests den Wissensstand, den ein Hacker mit langfristigem Zugriff auf ein System durch Forschung und System-Footprint erreichen könnte.

Geschwindigkeit, Effizienz und Reichweite von Penetartionstests

Die drei Penetrationstests stellen einen Kompromiss zwischen Geschwindigkeit, Effizienz und Reichweite her. Im Allgemeinen ist der Blackbox-Penetrationstest der schnellste Penetrationstest. Die begrenzten Informationen, die den Testern zur Verfügung stehen, erhöhen jedoch die Wahrscheinlichkeit, dass Verwundbarkeiten übersehen werden, und verringern die Effizienz des Tests. Die Tester verfügen nicht über die Informationen, die notwendig sind, um ihre Angriffe auf die wertvollsten oder wahrscheinlich verletzlichsten Ziele zu richten.

Beim Grey-Box-Test kommt es im Vergleich zu Black-Box Penetrationstest zu einem leichten Kompromiss im Hinblick auf höhere Effizienz und Abdeckung. Der Zugriff auf die Design-Dokumentation ermöglicht es den IT-Experten, ihre Bemühungen besser zu fokussieren und der interne Zugriff auf das Netzwerk erhöht die Abdeckung der Analyse. Dies gilt insbesondere im Vergleich zu Black-Box-Tests, bei denen Tester keine Schwachstelle finden, die ihnen den Zugriff innerhalb des Netzwerk-Perimeters ermöglicht.

White-Box-Tests sind die langsamste und umfassendste Form des PEN-Test. Die große Menge an Daten, die den IT-Experten zur Verfügung stehen, benötigt Zeit für die Verarbeitung und Analyse. Das hohe Zugriffsniveau verbessert jedoch die Wahrscheinlichkeit, dass sowohl interne als auch nach außen gerichtete Schwachstellen identifiziert und behoben werden können.

Die Attacken der Hacker zielen immer mehr auf die Finanzbranche

Die häufigsten Cyberattacken 2016

Anders als in den Jahren zuvor sind 2016 Behörden und Finanzinstitute wesentlich häufiger Opfer von Cyberattacken geworden als der Einzelhandel, der bisher den Spitzenrang beim Befall von Viren einnahm und nun auf Rang vier der Liste der häufigsten Angriffsziele zurück fällt.

Die Attacken der Hacker zielen immer mehr auf die Finanzbranche

Die Attacken der Hacker zielen immer mehr auf die Finanzbranche

Erst kürzlich wurde vom IT-Dienstleistungsunternehmen Dimension Data der „Global Threat Intelligence Report 2017“ veröffentlicht. Das Unternehmen gehört zum Telekommunikationsriesen NTT aus Japan und verwendet Datenquellen der Tochterunternehmen der NTT Group wie etwa NTT Security, NTT Communications, NTT Data sowie dem Global Threat Intelligence Center (GTIC). Die Information aus diesem Bericht basieren auf Daten von Netzwerken, die von über 10.000 Kunden stammen und auf fünf Kontinente verteilt sind. Es wurden insgesamt 6,2 Milliarden Angriffsversuche sowie 3,5 Billionen Sicherheitsprotokolle ausgewertet.

Den neuen Erkenntnissen zufolge nehmen Behörden und Finanzinstitute den neuen Spitzenplatz der häufigsten Ziele von Cyberattacken im Jahre 2016 ein. Sie sind damit wesentlich häufiger Ziele von einem Virus oder Cyberangriff geworden als im Jahr zuvor. Das beweist auch die erst kürzlich stattgefundene WannaCry(pt)-Attacke, deren Ziel die staatseigene Deutsche Bahn war.

Überhaupt hat sich der Anteil staatlicher Einrichtungen im Jahre 2016 im Vergleich zum Vorjahr mit 14 Prozent verdoppelt. Ebenfalls betroffen von einem enormen Anstieg an Attacken war auch der Finanzsektor. Waren es 2015 lediglich drei Prozent der Virusattacken, die den Finanzsektor betrafen, so stieg der Anteil der Angriffe auf Unternehmen aus dieser Branche im Jahre 2016 bereits auf 14 Prozent.

Mit einem Anteil von 13 Prozent nahm das produzierende Gewerbe den dritten Platz ein. Erst danach folgte der Einzelhandel, der ein Jahr zuvor noch der Spitzenreiter unter den Angriffszielen für Cyberattacken war. Der Anteil auf Produktionsbetriebe fiel 2016 auf 11 Prozent ab.

Weitere wichtige Fakten aus dem Cyberthreat Report von 2017:

Die Cyberattacken kommen oft aus den Vereinigten Staaten

Die Cyberattacken kommen oft aus den Vereinigten Staaten

Etwa zwei Drittel bzw. 63 Prozent aller Angriffe haben ihren Ursprung von IP-Adressen aus den Vereinigten Staaten. Danach folgen mit einem Anteil von vier Prozent Großbritannien und mit drei Prozent China. Dabei sind die USA weltweit der wichtigste Standort für eine cloudbasierte Infrastruktur. Cyberkriminelle greifen nicht zuletzt wegen der guten Stabilität und Geschwindigkeit der öffentlichen Cloudsysteme auf diese Infrastrukturen zurück, um ihre Angriffe zu planen und durchzuführen.

Im Bereich der Betriebstechnik ist es das „Internet der Dinge“ (Internet of Things, kurz IoT), welches sowohl mögliche Informationsquellen als auch Ziele von Angriffen darstellt. Im Jahre 2016 wurde bei rund zwei Dritteln der IoT-Angriffe versucht, auf ein bestimmtes Gerät zuzugreifen wie etwa eine Videokamera (66 Prozent). Weitere drei Prozent hatten es auf Webserver oder andere Arten von Server-Systeme abgesehen. Etwa zwei Prozent der Cyberattacken zielten auf Datenbanken ab.

Zu den wichtigsten Bedrohungen und Sicherheitsrisiken von Firmen zählen Phishing, Business E-Mail Compromise, IoT, DDoS (Distributed-denial-of-Service)-basierende Angriffe, Social Engineering sowie auf Endnutzer abzielende Angriffe.

Mehr zum Thema Cyber-Sicherheit, Virenschutz und Verschlüsselung im IT-Blog von Biteno:

 

Die Biteno GmbH erweitert ihr Leistungsportfolio im Bereich Hosting und Datenschutz ab sofort um einen weiteren Standort. Anfang August wird durch den Stuttgarter IT- Dienstleister ein weiteres Rechenzentrum in Betrieb genommen in Essen.Datensicherheit
Durch diese geografische Expansion wird die georedundante Datensicherung als zusätzlicher Sicherheitsaspekt für die Kunden der Biteno GmbH gewährleistet. Die sensiblen Daten können an geografisch weit voneinander entfernten Standorten redundant gesichert werden, was eine maximale Ausfallsicherheit garantiert.

Durch die Inbetriebnahme eines weiteren Rechenzentrums im Norden Deutschlands zeigt die Biteno GmbH, wie wichtig eine Datensicherung konform des Bundesdatenschutzgesetzes dem Unternehmen ist. Auch wird durch diesen Schritt deutlich, wie ernst das Unternehmen den Umgang mit sensiblen Firmendaten nimmt. Neben der ISO 9001 und ISO/ IEC 27001 Zertifizierung des IT-Dienstleisters Biteno GmbH ein weiterer konsequenter Schritt.
Möglichen technischen Defekten, Cyber- Angriffen und äußeren Einflüssen durch Naturkatastrophen wird hier durch eine durchgängig redundante Datensicherung an unabhängigen Standorten Deutschlands bestmöglich entgegengewirkt.
RechenzentrumDr. Ralf Schadowski, der Datenschutzbeauftragte des Unternehmens sagt zu diesem Schritt: „Bei der Biteno GmbH wird das Thema Datensicherheit groß geschrieben. Ich als Datenschutzbeauftragter des Unternehmens werte diesen Schritt als durchweg positiv und zusätzlichen Vorteil für die Kunden der Biteno.“ Selbstverständlich ist auch das Rechenzentrum in Essen technisch hervorragend ausgestattet, ebenso der bereits seit Jahren betriebene Standort in Stuttgart. Mit der Inbetriebnahme des TIER-3- Rechenzentrums in Norddeutschland ist die Biteno GmbH nun in der Lage eine jeweils 99,98 prozentige Verfügbarkeit an zwei geografisch unterschiedlichen Standorten zu garantieren. Dies entspricht in etwa einer maximalen Ausfallzeit von 1,6 Stunden im Jahr.

Fünf weitere Themen aus der IT-Welt die mittelfristig in fortschrittlichen Unternehmen nicht vernachlässigt werden dürfen, haben wir noch für Sie eingehend analysiert. Vielleicht wurde das ein oder andere Thema bisher noch als Spielerei abgetan, beleuchtet man es aber genauer wird ganz klar ersichtlich, warum hier doch ein zweiter Blick wichtig ist.

3D Drucken

3D Drucker werden erwachsen

3D Drucker werden erwachsen

Dieser Trend wird sich vermutlich nicht in den nächsten 2 Jahren überall etablieren, da der 3D-Drucker erst kürzlich den Kinderschuhen entschlüpft ist und hier auch die Kosten- Nutzenrechnung noch etwas unausgewogen erschien. Dennoch ist es bemerkenswert, wie ausgereift die Technik im 3D-Druck bereits nach so kurzer Zeit ist und was schon heute im 3D-Druck für bis dato ungeahnte Möglichkeiten stecken.

Ersatzteile oder Prototypen können mit dieser Technik völlig problemlos und ohne großen Aufwand hergestellt werden – gerade im konstruktiven und produktiven Bereich ist der Einsatz eines solchen Druckers früher oder später aus wirtschaftlicher Sicht unvermeidlich. Und auch im privaten Bereich stellt diese technische Neuerung durchaus einen Meilenstein der Entwicklung dar – wer kennt es nicht das fehlende Legoteil, oder ein Schräubchen, Handyersatzstecker uvm. All das lässt sich mit Hilfe eines 3D-Druckers ganz einfach rekonstruieren und erspart so unnötige Recherchen und Basteleien. Modelle und Entwürfe lassen sich wesentlich einfacher plastisch darstellen und das mit relativ geringem Aufwand – eine Neuerung, die wirklich Potential hat wie wir finden.

IT-Sicherheit und Datenschutz

Die Themen Datenschutz und IT-Sicherheit sollten zwar schon lange oberste Priorität haben im geschäftlichen Bereich, aber je weiter die Technik fortschreitet, desto mehr Sicherheitslücken und Angriffsflächen werden geschaffen und desto elementarer werden diese Faktoren. Ein Datenschutzbeauftragter (im Falle der Biteno GmbH Dr. Ralf Schadowski), egal ob extern oder aus den Reihen der eigenen Mitarbeiter, ist nicht nur gesetzlich vorgeschrieben, sondern auch dringend notwendig unabhängig von der Größe des Unternehmens! Bei neuen Mitarbeitern und auch beim Start neuer Projekte ist es absolut notwendig, direkt zu Beginn auf die für den Datenschutz relevanten Themen zu beachten und neue Mitarbeiter so zu schulen, dass erst gar keine zusätzlichen Sicherheitslücken durch leichtsinniges Verhalten entstehen können. Letztlich bedeutet jede zusätzliche intelligente Maschine und jeder neue Mitarbeiter ein weiteres potentielles Sicherheitsrisiko – bei diesem Thema sollte man also immer auf dem Laufenden bleiben und es nie aus den Augen verlieren.

Mobiles Bezahlen setzt sich durch

Mobil bezahlen mit dem Smartphone

Mobil bezahlen mit dem Smartphone

Bargeldloses Bezahlen ist mit Sicherheit ein Punkt, der sich schnell und branchenübergreifend durchsetzen wird. Schon heute ist dieses Thema durch den rasanten Wachstum der Onlineshops und den Trendsetter Apple groß im Kommen. Der logisch nächste und wichtigste Schritt ist das mobile Bezahlen, das Smartphone als „Geldbeutel“. Der kontaktlose Austausch der Daten via Funk ermöglicht das bargeldlose Einkaufen an immer mehr Kassenterminals – Geldbeutel vergessen ist also Schnee von gestern und ohne Smartphone geht in der heutigen Zeit ja ohnehin kaum einer aus dem Haus. Wenn in Ihrem Unternehmen Bezahlprozesse eine Rolle spielen ist dieser Trend auf jeden Fall unumgänglich und Sie sollten sich bereits jetzt Gedanken machen über die Digitalisierung solcher Vorgänge.

Wearables und Smartwatches

Samsung Smartwatch

Samsung Smartwatch

Auch hier ist Apple als Pionier vorne mit dabei mit der Einführung seiner „iWatch„, aber auch Google mit der Datenbrille. Bei diesen sogenannten Wearables verhält es sich ähnlich wie mit dem Internet der Dinge, immer mehr Gegenstände die täglich in Benutzung sind werden vernetzt, mit einer gewissen Form von Intelligenz versehen. Der Apfel-Gigant geht von 30 Millionen verkauften iWatches im Jahr 2015 aus – wenn nur die Hälfte davon real verkauft werden sollte ist das ein wahnsinniger Erfolg und wird mit Sicherheit zahlreiche Hersteller zur Nachahmung anregen. Denn schließlich hat sich bisher nahezu alles aus dem Hause Apple mit exorbitanter Geschwindigkeit am Markt durchgesetzt – das lässt vermuten, dass sich auch die iWatch etablieren wird und man als Nachahmer und Nutzer auf den Zug aufspringen sollte.

Für Unternehmen im Support, Verkauf oder auch im Service eröffnet aber vor allem die Datenbrille ganz neue Möglichkeiten. Diese wird sich im unternehmerischen Umfeld vermutlich schneller durchsetzen als die Smartwatch. Durch diese Brille können beispielsweise technische Zeichnungen ins Sichtfeld projeziert, oder die Kundendaten einfach im Blick behalten werden.

Windows 10, Office 2016

Die erste Preview von Office 2016Vergangenes Jahr war es Windows XP wofür seitens Microsoft der komplette IT-Service seitens des Herstellers eingestellt wurde, 2015 ist es der Windows Server 2003 für den die technische Unterstützung durch den Hersteller ausläuft. Dieses Server-Betriebssystem muss daher zeitnah durch eine aktuelle Version ersetzt werden sofern das noch nicht geschehen ist. Ansonsten ist das eine herzliche Einladung an Trojaner, Viren und kriminelle Hacker sich breit zu machen. Wer also in seinem Unternehmen noch Windows 2003 Server nutzt, sollte möglichst schnell handeln und eine Umstellung in die Wege leiten. Da hierbei häufig auch teilweise Software-Anwendungen umgestellt werden müssen und zahlreiche Prozesse damit verknüpft sein können kann man nicht früh genug mit der Umstellung beginnen.

Im Client-Bereich ist es Windows 10 und das neue Office Paket, Office 2016, die der Software-Gigant für dieses Jahr angekündigt hat. Das neue Betriebssystem soll als Allrounder für alle Geräteklassen funktionieren.

Das waren im zweiten Teil die unserer Meinung nach die Top-1o der wichtigsten IT-Themen mit denen sich Entscheider von mittelständischen Unternehmen in 2015 beschäftigen müssen. Sollten wir bei dem einen oder anderen Thema ihr Interesse geweckt haben , so kontaktieren Sie uns wir helfen gerne.

Die ersten 5 Top-Themen des Jahres finden sie nochmals zum nachlesen hier.