Für Überprüfungen der Cybersecurity werden viele Begriffe verwendet: Pentest (Penetrationstest), Vulnscan (Vulnerability-Scan), Sicherheitsanalyse, Red-Teaming, Security Audit und Security Assessment. In diesem Beitrag werden wir genauer erklären, woher welcher Begriff kommt und was sich dahinter verbirgt.
Automatisierte Überprüfungen werden grundsätzlich unter dem Begriff Schwachstellenscanner oder Vulnerability-Scanner, abgekürzt Vulnscanner, zusammengefasst. Häufig wird auch nur der Begriff Scanner dafür verwendet. Dabei handelt es sich um eine Software, die mit minimalen Benutzereingaben eine Applikation oder ein Netzwerk analysiert und gefundene Schwachstellen auflistet.
Vulnerability-Scanner unterstützen dabei, bekannte Schwachstellen in Systemen, Anwendungen und Netzwerken frühzeitig zu erkennen. Sie sind besonders nützlich für die regelmäßige Überprüfung großer Infrastrukturen und dienen als solide Grundlage für ein Patch- und Schwachstellenmanagement.
Eine regelmäßige Durchführung, z. B. monatlich bis quartalsweise, wird empfohlen, um eine kontinuierliche Abdeckung zu gewährleisten. Das regelmäßige Scannen ist für alle Unternehmen von Vorteil.
Der wichtigste Grund und Vorteil, warum Schwachstellenscanner verwendet werden, ist die Zeiteffizienz. Umso größer ein Netzwerk ist, desto wichtiger ist die automatisierte Auswertung aller Systeme. Jedes Unternehmen sollte regelmäßig einen Vulnerability-Scan durchführen, um rechtzeitig schwerwiegende Schwachstellen aufzudecken.
Bei automatisierten Überprüfungen besteht der größte Nachteil in der Qualität der Ergebnisse. Ein Vulnscanner liefert immer eine sehr große Liste an Befunden. Einige davon sind gar keine Schwachstellen, sondern falsche Angaben, sogenannte False Positives. Werden diese falschen Angaben reduziert, steigt das Risiko, dass Schwachstellen nicht erkannt und damit übersehen werden. Deswegen ist eine große Auflistung mitsamt False Positives noch immer die bessere Wahl.
Im Folgenden finden Sie eine Liste von Beispielen für Vulnerability-Scanner, aufgeteilt nach verschiedenen Anwendungsbereichen.
Der Begriff Penetrationstest beschreibt das gezielte Durchbrechen einer Verteidigung, um Zugang zu sensiblen Daten oder Systemen zu erlangen. Als Abkürzung wird dafür Pentest verwendet. Das Ziel eines Pentests ist es, von einem definierten Startpunkt zu einem Zielsystem zu gelangen. Dafür wird eine Kette von Schwachstellen gesucht und ausgenutzt, wodurch die Prüfung in die Tiefe geht.
Ein Unterschied dazu ist die Sicherheitsanalyse, bei der ein einzelnes System ganzheitlich untersucht wird. Hier geht es darum, möglichst viele Schwachstellen in der Breite zu identifizieren. In den meisten Fällen bezieht sich die Sicherheitsanalyse auf eine einzelne Applikation.
Sowohl bei Pentests als auch bei Sicherheitsanalysen erfolgt der Großteil der Arbeit manuell durch Fachpersonal. Tools unterstützen lediglich die Analyse. Die Entscheidung, welches Tool in welcher Situation eingesetzt wird und wie die Ergebnisse zu interpretieren sind, erfordert manuellen Aufwand und die Expertise von Fachpersonal.
Sicherheitsanalysen sind besonders für SaaS-Anbieter vor einem Major Release sinnvoll. Wird die Überprüfung in den Entwicklungsprozess integriert, trägt sie zu einem besseren Schutz der Applikation bei.
Ein Pentest ist für alle Unternehmen mit einer Internetpräsenz jenseits einer statischen Homepage empfehlenswert. Externe Pentests sollten jährlich oder alle zwei Jahre durchgeführt werden, interne Pentests nach Bedarf in einem ähnlichen Rhythmus.
Im Gegensatz zu den Ergebnissen eines Vulnerability-Scanners sind die Ergebnisse eines Pentests und einer Sicherheitsanalyse verifiziert, womit es so gut wie keine False Positives gibt. Zusätzlich können Schwachstellen aktiv ausgenutzt werden, um ein besseres Gesamtbild zu erhalten. Sei es, weil durch eine Schwachstelle neue Informationen aufkommen oder auf Systeme zugegriffen werden können, oder weil eine Wechselwirkung unterschiedlicher Konfigurationen erst ein Problem erzeugen.
Mit der erhöhten Qualität kommen logischerweise erhöhte Kosten. Ein professionell durchgeführter Penetrationstest kann deutlich teurer sein wie ein einmal schnell durchgeführter Schwachstellenscan. Das liegt unter anderem an dem fachlichen Know-how, welches für einen Vulnscan deutlich geringer ist als bei der Durchführung eines Pentests.
Der Begriff Red-Teaming kommt aus den Farbbegriffen des Militärs. Mit der Farbe Rot werden die Angreifer bezeichnet, mit Blau die Verteidiger. Wenn das Red-Team und das Blue-Team miteinander kooperieren, um sich gegenseitig weiterzubilden, so spricht man von Purple-Teaming.
Ein Red-Teaming ähnelt auf den ersten Blick einem Pentest, da auch hier ein definiertes Ziel erreicht werden soll. Dabei hat es einen anderen Fokus: Train the Blue-Team.
Es geht nicht darum, die einzelnen Schwachstellen aufzulisten, sondern so unerkannt wie möglich dabei zu sein, während sie ausgenutzt werden. Dass solch ein Angriff durchgeführt wird, wissen im Normalfall nur die Geschäftsführung und der CISO, manchmal noch IT-Leiter, SOC-Leiter oder Betriebsrat. Dadurch soll ein realistischer Angriff ohne Schaden stattfinden, bei dem das Können der verteidigenden Seite geprüft und trainiert wird.
In Deutschland wird Red-Teaming anders durchgeführt als in anderen Ländern. Der Hauptgrund ist die Gesetzgebung, die den Schutz der Privatsphäre strenger regelt. Ein Red-Teaming kann je nach Abstimmung verschiedene Angriffstechniken einsetzen, einschließlich Social Engineering, Phishing und physischem Eindringen. Deshalb müssen mehrere Regeln klar festgelegt werden, besonders Abbruch-Kriterien und zulässige bzw. verbotene Angriffszenarien.
Red-Teaming entfaltet seinen Nutzen nur, wenn ein erfahrenes Blue-Team vorhanden ist, z. B. ein SOC, CSIRT oder CERT. Je nach Größe und Sicherheitsanforderungen des Unternehmens sollte ein Red-Teaming zweimal pro Jahr bis alle zwei Jahre mit unterschiedlichem Fokus durchgeführt werden.
Eine realistischere Abbildung für einen Hackerangriff gibt es nicht. Es gibt keine effektivere Methode, um die Verteidigung zu prüfen, zu trainieren und Fortschritte zu erzielen.
Ein realistischer Angriff ist sehr zeit- und damit kostenaufwendig. Während ein Pentest in ein bis zwei Wochen abgeschlossen werden kann, dauert erfahrungsgemäß ein Red-Teaming für dasselbe Ziel ein bis zwei Monate und erfordert etwa doppelt so viel Personal.
Sowohl ein Security Audit als auch ein Security Assessment konzentrieren sich auf Prozesse und die organisatorischen Aspekte der Cybersecurity. Das ist der wesentliche Unterschied zu den zuvor genannten technischen Überprüfungen.
Der Begriff Security Audit wird im Kontext einer ISO-Zertifizierung verwendet. Dabei geht es darum, das Audit erfolgreich zu bestehen, um eine Zertifizierung zu erhalten. Im Normalfall führt diese Überprüfung ein externer ISO-Auditor durch.
Bei einem Security Assessment steht nicht die Zertifizierung im Fokus, sondern das Aufdecken von Schwachstellen und strukturellen Problemen. Inhaltlich ähneln sich beide Ansätze. Der wesentliche Unterschied liegt im eingesetzten Fachpersonal. Security Assessments werden von technischem Sicherheitspersonal, z.B. Ethical Hacker oder Pentester, durchgeführt.
Security Audits werden erforderlich, wenn eine ISO-Zertifizierung angestrebt wird, und dienen als Nachweis einer soliden Basis der Informationssicherheit.
Das Security Assessment ist sowohl als Vorbereitung auf ein Audit als auch zur allgemeinen Einschätzung des Standes der Cybersecurity nützlich. Auf Basis der Ergebnisse lässt sich eine Roadmap für die kommenden Jahre erstellen. Daher empfiehlt es sich, das Assessment alle paar Jahre zu wiederholen.
Mit einem Security Audit oder Security Assessment lässt sich in kurzer Zeit sehr viel einer Unternehmensstruktur analysieren. So erhalten Sie schnell einen weitreichenden Überblick Ihres Standes der Cybersecurity, womit die Aufgaben zur Erhöhung der Cybersecurity für die nächsten Jahre klar werden.
Der wichtigste Nachteil, gerade bei abgeschlossenen Zertifizierungen, ist der fehlende Einblick in die tatsächliche Cybersecurity. Selbst die besten Strukturen und Prozesse bieten keinen Schutz, wenn sie nicht aktiv gelebt und umgesetzt werden. Deswegen sind technische Sicherheitsüberprüfungen, wie Pentests, notwendig. Erst die Kombination aus prozessualen und technischen Überprüfungen ermöglicht ein genaues Bild des tatsächlichen Cybersecuritysniveaus.
Bei den vielen Möglichkeiten der Cybersecuritysüberprüfung kann es schwer sein, die passende auszuwählen. Deswegen haben wir einen Fachbeitrag geschrieben, mit dem erklärt wird, wer wann und was tun sollte, um die eigene Cybersecurity zu erhöhen: Cybersecurity : From Zero to Hero
Lassen Sie sich gerne von uns beraten, welche Überprüfungen für Ihr Unternehmen den größten Nutzen bringt.