Tipps zum Einsatz von ethischen Hackern

Angesichts der rasant zunehmenden Cyberkriminalität ist es wichtig, dass Organisationen die Sicherheit ihrer Systeme regelmäßig kontrollieren. Ethical Hacker - auch White Hats genannt - helfen mit ihrem Fachwissen, Sicherheitsmängel aufzuspüren. Im Vergleich zu kriminellen Hackern nutzen sie ihr Wissen, um Unternehmen und Regierungseinrichtungen vor Angriffen zu schützen.

Doch wie können die Betriebe die Gewissheit haben, dass sie es mit einem "guten Hacker" zu tun haben? Ethisch motivierte Hacker warten mittlerweile mit Branchenzertifizierungen und Referenzen von vertrauenswürdigen Instanzen auf, um ihre Kenntnisse und ihre integre Haltung unter Beweis zu stellen. Bei der Aufstellung eines sogenannten Red Teams kann es auch hilfreich sein, einen Blick auf die Lebensläufe der einzelnen Tester zu werfen. Zusätzliche Informationen lassen sich oft im Netz finden. Der Security-Anbieter Lookout empfiehlt dazu, im Internet nach Open-Source-Beiträgen, gemeldeten Schwachstellen (Common Vulnerabilities and Exposures = CVEs) sowie einschlägigen Social-Media-Posts und Tweets zu suchen.

Lookout empfiehlt auch, vorstellige Pentester aufzufordern, eine Reihe von Tools zu nennen und Taktiken zu beschreiben, wie diese eingesetzt werden können. Außerdem könnten die Kosten für einen Test und der veranschlagte Zeitaufwand Aufschluss geben. "Wer anbietet, einen Penetrationstest für Systeme jeder Größenordnung in einer Woche für ein paar tausend Dollar durchzuführen, wird keine gute Arbeit leisten", betont das Sicherheitsunternehmen.

Welche Vorgaben sollten Unternehmen machen?

Die Aufgaben für ethische Hacker hängen davon ab, was ein Unternehmen erreichen möchte. Laut Lookout sollte jeder Test einen definierten Umfang haben. Er kann beispielsweise bestimmte Systeme, das Netzwerk oder Webanwendungen einschließen. Oder der Auftrag bezieht sich auf eine klar umrissene Aufgabe wie: "Finde alle DNS-Einträge, die meinem Unternehmen gehören, und schau, was du mit all diesen öffentlichen Endpunkten machen kannst".

In der Regel werden die Angriffe von White Hats als Black-Box-Tests umgesetzt. Der Angreifer weiß dann nichts über die Anwendung und gibt sein Bestes, um sie zu knacken. Die Meinungen der ethischen Hacker über den Sinn eines solchen Vorgehens gehen auseinander. Laut Boris Cipot, Senior Sales Engineer bei Synopsys, finden es manche White Hats besser, mehr Details zu erfahren, um gezielter angreifen zu können. Andere meinen, dass zu viel Wissen ihr Vorgehen negativ beeinflussen könnte. "Deshalb versuchen sie es erst einmal mit einem Minimum an bereitgestellten Informationen", erklärt der Experte.

Ein Ethical-Hacking-Programm kann auf verschiedene Weise und auf mehreren Ebenen implementiert werden. Unternehmen können externe Profis beauftragen, ein eigenes internes Programm verfolgen oder eine Mischform aus beidem wählen. "Unabhängig vom Umfang und der Tiefe des Vorgehens ist es besonders wichtig sicherzustellen, dass das Programm kontinuierlich verfolgt wird und umsetzbare Ergebnisse liefert", betont Etay Maor, Senior Director Security Strategy bei Cato Networks.

Ethische Hacker finden meistens grundlegende Schwachstellen wie Dateifreigaben mit übermäßigen Berechtigungen oder nicht gepatchte Systeme. Zusätzlich berücksichtigen sie nach Bedarf bestimmte "Flags". Damit sind Aspekte gemeint, die Unternehmen gerade besonders interessieren oder ihnen Sorgen bereiten. Oft geht es dabei um den Zugriff auf Daten oder deren Manipulierbarkeit.

Im Mittelpunkt des Interesses stehen häufig mandantenübergreifende Datenzugriffe auf Systeme, normale User mit privilegierten Admin-Rechten oder auch Managementportale, die gegenüber dem Internet mehr oder weniger offen sind. "Im Grunde geht es fast immer um Orte, an denen ein Angreifer Zugriff auf Daten erhalten kann, die er nicht haben sollte", fasst Lookout zusammen. Fast immer betrifft das den Zugang zu E-Mail-Systemen und HR-Anwendungen, da Gehalts- und Finanzdaten besonders sensibel sind.

Auf Seiten der IT sind Bereiche interessant, die Persistenz und/oder laterale Bewegungen ermöglichen. Das trifft insbesondere für den Admin-Zugang zu IAM- und MFA-Systemen sowie zur Netzwerkinfrastruktur (Router/Firewalls/VPN) zu. Bei Endgeräten schließlich geht es um alles, was die Installation von Malware und insbesondere laterale Bewegungen ermöglicht.

Ethical Hacking: Welche roten Linien gibt es?

Ethische Hacker sollten klar darauf hingewiesen werden, welche Systeme sie nicht anfassen und welche Taktiken sie nicht anwenden dürfen. "Um die besten Testergebnisse zu erzielen, sollten Unternehmen aber so wenige Beschränkungen wie möglich setzen, die über das allgemeine Gebot: 'Nichts Illegales tun' hinausgehen", meinen die Lookout-Experten. Ob im Rahmen der Angriffe auch DDoS-Attacken stattfinden sollen, ist vorab festzulegen.

Beschränkungen werden in der Praxis meist durch die Definition des Umfangs und der Methodik festgelegt, nicht durch das Aufzeigen von roten Linien. Doch manchmal möchten Unternehmen nicht, dass produktive Systeme angegriffen werden, weil sie Ausfallzeiten beim Kunden und potenzielle Probleme beim Datenzugriff vermeiden wollen. Hier sind also Einschränkungen denkbar.

Auch bei physischen Penetrations- oder Social-Engineering-Tests kann es rote Linien geben, da Sachschäden oder die Gefährdung der Sicherheit vermieden werden müssen. Auch Phishing-Kampagnen, in deren Rahmen die Nutzer mit bestimmten Nachrichten getäuscht werden sollen, bedürfen der Abstimmung. Versuche, auf persönliche E-Mail- oder Social-Media-Konten von Mitarbeitern oder Führungskräften zuzugreifen, sind ebenfalls kritisch, ebenso manche Täuschungsmanöver im Bereich Social Engineering.

Grundsätzlich sollten Tester aber größtmögliche Freiheiten genießen. Geldautomaten, Fahrzeugsteuerungen oder auch Waffensysteme müssen hundertprozentig sicher sein. "Hier sollten Betriebe den Testern auf jeden Fall freie Hand lassen und vollen Zugang zum Quellcode sowie zur Hardware gewähren", empfehlen die Spezialisten von Lookout.

Weitere Beschränkungen und zeitlicher Rahmen

Eine natürliche Grenze beim Ethical Hacking stellen die Kosten dar. Je länger ein Test dauert, desto ausführlicher und genauer wird er. Die Wahrscheinlichkeit, dass die White Hats etwas finden, steigt. "Allerdings wird das dann schnell sehr teuer und erreicht bald einen Punkt, an dem der Nutzen wieder abnehmen kann. Praktische Tests sind in der Regel auf nicht mehr als ein paar Wochen ausgelegt", betont Security-Anbieter Lookout.

Diskussionswürdig ist auch die Frage, ob und in welchem Umfang ethischen Hackern der physische Zugang zu den Systemen vor Ort oder auch zu den Einrichtungen und Mitarbeitenden gewährt werden soll. Viele Betriebe beschränken sich auf Remote Tests, um die Kosten im Griff zu behalten und möglichst viele Tester einbeziehen zu können.

Doch manche Checks sind ohne einen physischen Zugang nicht möglich. Das Testen von drahtlosen Netzwerken erfordert eine Person mit einem mobilen Gerät vor Ort. Auch das Prüfen von physischen Sicherheitsmaßnahmen macht persönliche Anwesenheit notwendig. Dennoch lassen sich die meisten Netzwerktests durch die Bereitstellung eines Hosts und das Einrichten eines Fernzugriffs vornehmen. Viele Dinge, auch die Hardware, können dorthin geliefert werden, wo sich die Tester gerade befinden.

Unternehmen müssen auch festlegen, wie viel Insiderwissen den Testern mitgegeben werden soll. Es ist ein Unterschied, ob es sich bei einem Test um eine reine Verhaltensprüfung auf der Grundlage von Systemeingaben und -ausgaben handelt, oder ob der Tester über umfassende Kenntnisse und Einblicke in die internen Systeme und den Quellcode besitzt.

Bei dieser Entscheidung gibt es laut Lookout viele Kompromisse: Ein Sicherheitscheck ohne Insiderwissen könnte Probleme übersehen, die ein Test bei vollständiger Transparenz finden könnte. Ein Test mit viel Basiswissen würde viel mehr Zeit in Anspruch nehmen, aber es käme mit Sicherheit zu weniger falsch-positive Ergebnissen.

Zu den Fällen, in denen ein vollständig transparenter Test mit dem damit verbundenen Zeit- und Kostenaufwand gerechtfertigt ist, gehören etwa kritische Systeme im Verkehrs- oder Finanzbereich, deren Korrumpierung große Schäden verursachen würden. Vollständige Transparenz ergibt laut Lookout auch Sinn, wenn die Tester in Systemen auf etwas stoßen, das ein ernsthaftes Problem darstellen könnte, aber nur schwer zu bestätigen ist - zum Beispiel kryptografische Probleme.

Nicht zu schnell in Sicherheit wiegen

Aufgrund der Zeit- und Wissensbeschränkungen sind die Ergebnisse im Rahmen von White-Hat-Angriffen nicht erschöpfend. "Nur weil die 'Angreifer' keine Schwachstellen gefunden haben, heißt das nicht, dass es keine gibt", so die Experten von Lookout. Allzu oft werde Ethical Hacking als "Beweis" für die Sicherheit eines Systems angeführt. Wichtig sei nicht nur das Endergebnis des Tests, sondern das, was in dessen Verlauf gefunden werde.

Die Ergebnisse der Penetrationstests lassen sich laut Lookout auf verschiedene Weise nutzen: Intern zur Verbesserung der Sicherheit der Systeme und extern, um anderen einen Sicherheitsnachweis vorzulegen. Kunden, Aufsichtsbehörden, Wirtschaftsprüfer etc. erwarten in der Regel, dass diese Art von Tests Teil des Sicherheitsprogramms ist. Vermutlich werden die meisten von ihnen zufrieden sein, wenn das Unternehmen einen Test vorgenommen hat und nachweisen kann, dass alle gefundenen Probleme inzwischen behoben wurden.

Doch versiertere Prüfer werden sich einzelne Ergebnisse und die Methodik insgesamt genauer ansehen, um sicherzustellen, dass ein Test ausreichend war. Vor allem Unternehmen, die kritische Infrastrukturen (Kritis) betreiben, müssen damit rechnen, dass ihre Berichte besonders gründlich geprüft werden und entsprechend planen.

Schon wenn Betriebe den Ensatz von ethischen Hackern planen und sich über mögliche Testgebiete gedanken machen, sollten sie wissen, wie sie die späteren Ergebnisse verwenden wollen. Für die externe Weitergabe sollten die Testberichte Zusammenfassungen enthalten, ohne zu viele Informationen preiszugeben, empfehlen die Lookout-Experten. Zudem sollten alle falsch-positiven Ergebnisse oder Fehleinschätzungen des Schweregrads geklärt sein, bevor der endgültige Bericht erstellt wird.