• © shutterstock.com by Myvisuals

Technische Sicherheitsprüfung

Penetrationstest / Pentest

Cyber-Angriffe nehmen weltweit stetig zu und werden durch Darknet-Angebote, wie z.B. Ransomware-as-a-Service (RaaS), immer ausgefeilter, zielgerichteter und aggressiver. Abhängig von den unterschiedlichsten Zielen, welche die Angreifer verfolgen, resultieren die Angriffe primär in der Erpressung von Lösegeldern, oder den Diebstahl von Ressourcen und Informationen. Dabei werden höchst kreativ unzählige Schwachstellen und Angriffsvektoren ausgenutzt – von ungepatchten Systemen, Fehlern in selbstentwickelten Anwendungen und Systemkonfigurationen bis hin zur „Schwachstelle Mensch“.

Pentest bei der Aurasec – Ihr Mehrwert

Was wird bei einem Penetrationtest getestet?

Angepasst an die speziellen Anforderungen unserer Kunden bieten wir ein umfangreiches Portfolio, um Sie in jeglicher Hinsicht präventiv auf einen möglichen Cyber-Angriff vorzubereiten. In der Regel gehen all unseren Penetrationstests automatisierte Schwachstellenscans voraus. Aufbauend auf diesen ersten Ergebnissen erkennen und eliminieren unsere mehrfach zertifizierten Penetrationstester mögliche „False Positives“ und gehen anschließend bei manuellen Tests in die Tiefe. Dabei versetzen sie sich durch ihre langjährige Erfahrung in die Rolle eines realen Angreifers, identifizieren die größten Gefahren und Risiken für das System und Ihr Unternehmen, und suchen gezielt nach den entsprechenden Schwachstellen.

Abhängig davon, ob Sie uns ein Testsystem zur Verfügung stellen können, oder wir „am offenen Herzen operieren“, passen unsere Penetrationstester individuell ihr Vorgehen an, um z.B. an einem Livesystem die Systemstabilität oder die Konsistenz der reellen Daten nicht zu gefährden.

Mobile Geräte

Mobile Geräte wie z.B. Handgeräte zur mobilen Kommissionierung oder Mobiltelefone sind erfahrungsgemäß besonderen Gefahren ausgesetzt. Sie können entwendet oder angegriffen werden. Die Absicherung dieser Geräte muss daher besonders sorgfältig sein. Die Penetrationstester prüfen, ob die getroffenen Sicherheitsmaßnahmen für das jeweilige Anwendungsszenario ausreichend sind. Dabei werden neben den technischen Maßnahmen auch organisatorische Maßnahmen berücksichtigt und bewertet.

Physischer Penetrationtest

 

Auch die strengsten technischen Sicherheitsmaßnahmen gegen Angriffe über das Netzwerk sind schnell umgangen, wenn ein potenzieller Angreifer ohne großen Aufwand Zutritt zu sensiblen Bereichen oder physischen Zugriff auf Industrieanlagen, Server oder andere wichtige Komponenten erlangen kann. Bei einem physischen Penetrationstest stehen vor allem Gebäudezugänge, Zutrittskontrollsysteme und Überwachungsmaßnahmen im Fokus.

Social Engineering

Als „Social Enginering“ werden Angriffe bezeichnet, die sich nicht gegen technische Systeme, sondern gegen Menschen richten. Die „Qualität“ solcher Angriffe und ihr Scharpotenzial haben sich in den vergangenen Jahren immer weiter erhöht. Angreifer schaffen sich dabei eine glaubwürdige Legende und provozieren darüber Fehler auf der Seite von Mitarbeitern und Dienstleistern. Auf diesem Wege kann Schadsoftware eingeschleust werden. Angreifer können Zugangsdaten erlangen. Betrüger erschleichen sich Geldbeträge. 

Bei dieser Form der Prüfung nehmen die erfahrenen Prüfer der AuraSec GmbH die Rolle der Angreifer an. Es gilt die Frage zu klären, wie die Mitarbeiterinnen und Mitarbeiter auf solche Angriffe reagieren. Geben Sie vertrauliche Daten preis? Erlauben Sie unbefugten Personen den Zutritt zu Sicherheitsbereichen? Dabei ist wichtig, dass sich die durchgeführten Prüfungen nicht gegen einzelne Mitarbeiterinnen und Mitarbeiter des Unternehmens richten. Ihre Daten werden in jedem Fall vertraulich behandelt. Zielsetzung der Überprüfung ist das Erkennen von Verbesserungspotenzialen, die das gesamte Unternehmen und nicht Einzelne betreffen. Dementsprechend können im Anschluss an die Prüfung angepasste Sensibilisierungsmaßnahmen und Schulungen konzipiert werden, um so das Sicherheitsniveau der gesamten Organisation gezielt zu verbessern.

Red Team Audit

Bei dieser Form der Prüfung werden der klassische Penetrationstest sowohl mit dem physischen Penetrationstest als auch dem Social Engineering kombiniert, um ein möglichst umfangreiches und realistisches Angriffsszenario zu schaffen. Das Besondere bei dieser Prüfung ist, dass in der Regel nur ein sehr kleiner Kreis von Personen auf der Seite des Unternehmens eingeweiht wird.  Dadurch kann überprüft werden, ob ein potenzieller Angriff einem Sicherheitsteam oder der ITAbteilung auffällt, die korrekten Melde- und Eskalationswege eingehalten werden, eine sachgerechte Reaktion zeitnah erfolgt und der Angriff im Idealfall erfolgreich abgewehrt werden kann. Zielsetzung ist es also, die Gesamtkonzeption der Sicherheitsmaßnahmen und ihr Zusammenspiel zu überprüfen.

WLAN-Zugang

WLAN-Zugänge, z.B. für Mitarbeiter, Gäste oder im Produktionsbereich, sind erfahrungsgemäß Einfallspunkte für Angreifer, die auf diesem Wege einen Zugang zu internen Netzwerken erlangen wollen. Bei dieser Prüfung wird neben der Absicherung des Zugangs zu den WLAN-Netzwerken auch deren Absicherung gegen andere, geschützte Netzwerksegmente überprüft.  

Sonstige Geräte und Komponenten

Es gibt eine Vielzahl an weiteren wichtigen Geräten und Komponenten mit Netzwerkanbindung, die erfahrungsgemäß nicht immer im Fokus einer informationssicherheitstechnischen Betrachtung stehen. Dazu zählen zum Beispiel Schließanlagen, Einbruchmeldeanlagen, Brandmeldeanlagen, Überwachungssysteme, und viele mehr. Spezifische

Sicherheitsüberprüfungen können gerade auch im Zusammenhang mit einer Inbetriebnahme oder bei erheblichen Änderungen der Systeme einen wertvollen Beitrag zur Gesamtsicherheit der Organisation leisten. Wir beraten Sie gerne bei der Konzeption von spezifischen Sicherheitsüberprüfungen Ihrer Systeme. 

Mobile App Analyse

Im Bereich der Produktion und Logistik kommen verstärkt mobile Anwendungen zum Einsatz.

Abhängig von der jeweiligen mobilen Anwendung kann sich der Nutzerkreis über Mitarbeiter und Dienstleister erstrecken. Mobile Anwendungen können für Geschäftsprozesse kritisch sein.  Diese Applikationen und dahinter liegende Systeme sollten auf ihre Resistenz gegen Angriffe überprüft werden. Die erfahrenen Prüfer der AuraSec GmbH bewerten das Sicherheitsniveau von mobilen Applikationen ganzheitlich. Dabei werden neben den Aspekten der IT-Sicherheit auch weitere technische und organisatorische Maßnahmen bewertet. 

White-Box Penetration Test

Reale Angreifer verfügen vor der Aufklärungsphase in der Regel nicht über detaillierte Informatio-
nen über die Zielsysteme bzw. die Zielorganisation. Aus diesem Grund ist für reale Angreifer, wie
für Penetrationstester die Aufklärungsphase in einem sogenannten Black-Box-Szenario von ent-
scheidender Bedeutung für den erfolgreichen Verlauf der Prüfung bzw. des Angriffs. Dementspre-
chend werden von Angreifern, wie von Prüfern in die Aufklärungsphase im Verhältnis zu den anderen Phasen relevante Ressourcen des vorhandenen Budgets investiert.

Beim White-Box-Testing auf der anderen Seite verfügen die Prüfer über alle Informationen des je-
weils zu prüfenden Systems. Dieses Szenario entspricht daher in der Regel nicht einem realen An-
griffsszenario. Es wird jedoch darauf hingewiesen, dass für Angriffe gegen IT-Systeme bzw. Penet-
rationsprüfungen auch das sogenannte Kerckhoffs’sche Prinzip der modernen Kryptographie sinn-
gemäß angewendet werden kann: Verschlüsselungssysteme müssen auch dann noch sicher sein,
falls alle Informationen über das System bzw. den Algorithmus bekannt sind, der jeweils verwen-
dete Schlüssel jedoch geheim ist. Diesem Grundsatz folgend muss ein System gegenüber einem
Angriff auch dann noch sicher sein, falls dem Angreifer alle Informationen über das System vorlie-
gen, er jedoch nicht über Passworte bzw. geheime kryptographische Schüssel verfügt. Aus diesem
Blickwinkel betrachtet, wird White-Box-Testing als sinnvolle Vorgehensweise bewertet, obwohl sie
in der Regel nicht einem realen Angriffsszenario entspricht.

Externer Penetrationstest

 

Öffentlich erreichbare Dienste und Geräte sind täglichen Angriffen ausgesetzt und müssen bestens geschützt sein, um keine Angriffsfläche zu bieten. Bei einem externen Penetrationstest geht es vorrangig um die Identifikation von Schwachstellen von Netzwerkkomponenten, Servern, Diensten und Applikationen, die über öffentliche IP-Adressen erreichbar sind. Dabei muss Systemen mit einer solchen öffentlichen IP-Adresse, die in den internen Netzwerken Ihres

Unternehmens betrieben werden, eine besonders hohe Priorität eingeräumt werden: Die

Erfahrung zeigt, dass Angreifer gerade über solche Systeme bereits oft genug Zugang auf interne

Netzwerke erlangt und dort Schaden angerichtet haben. Penetrationstests gegen öffentliche IPAdressen werden von Penetrationstestern sowohl manuell als auch unter Zuhilfenahme von automatisierten Werkzeugen durchgeführt.

Webapplikations-Penetrationstest

 

Eine Webapplikation stellt in der Regel eine Schnittstelle zwischen einem Benutzer und einem technischen System dar. Abhängig davon, ob es sich um die Webseite, also das Aushängeschild Ihres Unternehmens handelt, oder um eine interne Webapplikation, die eine spezifische Aufgabe erfüllt, können Schwachstellen in solchen Systemen ggf. gravierende Auswirkungen auf ihr Unternehmen haben. Ein erfolgreicher Angriff auf Ihre Webseite kann neben den finanziellen Folgen auch die Reputation Ihres Unternehmens schädigen. Über einen erfolgreichen Angriff auf Webapplikationen, die eine Schnittstelle zu internen Systemen darstellen, kann ein Angreifer gegebenenfalls Zugang zu anderen Systemen erlangen und auf diesem Wege größtmöglichen Schaden verursachen. In einem solchen Szenario ist die Funktionsfähigkeit der im jeweiligen Netzwerksegment betriebenen Infrastruktur gefährdet. Ein Angreifer kann auch diesem Wege gegebenenfalls auch Zugriff auf sensible Unternehmensdaten erlangen. Ein WebapplikationsPenetrationstest dient dazu, Schwachstellen in den technischen Systemen aufzudecken, über die die jeweilige Webapplikationen realisiert wird. Die erfahrenen Penetrationstester der AuraSec GmbH geben, wo immer dies sinnvoll ist, auch Empfehlungen, wie die jeweiligen Schwachstellen geschlossen werden können. Auf diese Weise lassen sich Ihre Webapplikationen und Ihr Unternehmen auch gegen versierte Angreifer schützen. 

Interner Penetrationstest

Das Rückgrat Ihres Unternehmens ist das interne Netzwerk. Kann ein Angreifer sich hier ausbreiten, kann der wirtschaftliche Schaden schnell in die Millionenhöhe gehen. Unter Umständen ist auch die Produktion gefährdet. Ein Penetrationstest gegen die Systeme im internen Netzwerk kann Sicherheitslücken aufdecken und Schwachstellen aufzeigen, bevor diese von einem Angreifer ausgenutzt werden können. Penetrationstests gegen Systeme in internen Netzwerken werden sowohl manuell als auch unter Zuhilfenahme von automatisierten Werkzeugen durchgeführt. Dabei ist eine enge Abstimmung zwischen den Penetrationstestern und den jeweiligen Ansprechpartnern in Ihrer IT-Abteilung erforderlich.

Industrielle Steuerungen

Die industrielle Steuerung Ihrer Produktionsanlagen erfordert den Einsatz zahlreicher Computer. Oftmals sind diese als solche nicht unmittelbar erkennbar und verbergen sich als kleine Komponenten in Schaltschränken. Dienstleister können auf diese Schaltanlagen gegebenenfalls online Zugriff nehmen. Sofern die Steuerungscomputer schwachstellenbehaftet sind, können sie Angreifern ein Ziel bieten. Auf diesem Wege können Angreifer unter Umständen die Produktion eines Standorts lahmlegen. Dementsprechend müssen auch in den internen Netzwerken der Produktionsanlagen schwachstellenbehaftete Steuerungscomputer erkannt werden. Die Schwachstellen müssen von den zuständigen Dienstleistern zeitnah geschlossen werden. Dies gilt auch dann, falls die Steuerungscomputer nicht unmittelbar über das Internet erreicht werden können: Die Härtung dieser Systeme reduziert den Schaden, den Angreifer anrichten können, sofern diese bereits Zugang auf ihre Netzwerke erlangt haben. Die erfahrenen Prüfer der AuraSec GmbH untersuchen Ihre Steuerungsanlagen auf gefährliche. Sie übernehmen auf Wunsch die Kommunikation mit den für die jeweilige Steuerungsanlagen zuständigen Dienstleistern. 

Client Geräte

Geräte, die durch Mitarbeiter genutzt werden und über einen Zugang zum internen Netzwerk und verfügen, können ein Einfallstor für Angreifer darstellen. Auch unbeabsichtigte Bedienungsfehler durch Mitarbeiter können in Kombination mit einer fehlerhaften Konfiguration der Geräte zu großem Schaden führen. Wertvolle Daten können verloren gehen. Sensible Unternehmensdaten können kompromittiert werden.  Die getroffenen Sicherheitsmaßnahmen, die Konfiguration der Geräte und die Aktualität der auf ihnen betriebenen Software (Patchlevel) werden überprüft und bewertet. Ferner wird geprüft, ab ein „Ausbruch“ eines Nutzers oder eines Angreifers z.B. aus Terminal-Sitzungen heraus in andere Netzwerksegmente erfolgen kann, die eigentlich geschützt sein sollten.

Interne Server

Die internen Server Ihres Unternehmens stellen kritische Komponenten Ihrer Geschäftsprozesse dar und müssen zur Aufrechterhaltung des Geschäftsbetriebs angemessen geschützt werden. Diese Server gewährleisten zum Beispiel den Betrieb der ERP-Anwendungen, der Anwendungen zur Überwachung und Steuerung von technischen Prozessen (Produktionsanlagen, Kühlsysteme, Gebäudeleittechnik), Anwendungen zur 

Warenwirtschaft und Lagerverwaltung, zur Auftragsannahme, zur Fakturierung, zur Verwaltung der Kundenstammdaten und nicht zuletzt zur internen und externen Kommunikation. Gelingt es einem Angreifer, sich hier einzunisten, gefährdet er unter Umständen den gesamten Geschäftsbetrieb. Bei der Überprüfung der internen Server werden die Systeme auf bekannte Schwachstellen und sicherheitsrelevante Konfigurationsfehler getestet.

Firewalls und Netzwerksegmentierung

Die Segmentierung der verschiedenen Netzwerke, wie zum Beispiel zur Anlagensteuerung oder für die Verwaltung, soll im Falle eines erfolgreichen Angriffs auf Systeme in einem Netzwerkssegment die Ausbreitung des Angreifers auch auf andere Netzwerksegmente verhindern. Auf diese Weise wird der durch den Angriff verursachte Schaden begrenzt. Ohne eine ausreichende Netzwerksegmentierung und die korrekte Konfiguration der eingesetzten Firewalls kann ein erfolgreicher Angriff gegen einzelne Systeme verheerende Folgen für das gesamte Unternehmen haben. Die erfahrenen Penetrationstester der AuraSec GmbH prüfen, ob die einzelnen Netzwerksegmente ausreichend vor dem Übergriff aus anderen Segmenten heraus geschützt sind. Dabei verifizieren sie, ob die Konfigurationen der Firewalls fehlerfrei sind und die Firewalls korrekt funktionieren.

Black-Box Penetration Test

Bei einem GreyBoxTest werden dem Prüfer von Seiten seiner Ansprechpartner Informationen
über die zu prüfenden Systeme zur Verfügung gestellt, soweit der Prüfer diese für die Optimierung
der Prüfung benötigt wird und diese dem Auftraggeber bzw. Ansprechpartner selbst bekannt sind.
Dieses Vorgehen hat den Vorteil, dass Ressourcen statt für die Ermittlung von Informationen im
Rahmen der Aufklärungsphase, die dem Auftraggeber ggf. ohnehin zur Verfügung stehen, für aus-
führlichere Prüfungen bei den anschließenden Phasen verwendet werden können.


Für die technischen Prüfungen werden GreyBoxTests empfohlen, um die Prüfungen möglichst
effizient realisieren zu können.

Dies gilt insbesondere für die Prüfung von medizinischen Geräten: Bei der Prüfung von medizini-
schen Geräten ist eine enge Abstimmung zwischen einem kompetenten Ansprechpartner auf der
Seite des Auftraggebers und dem Prüfer zwingend erforderlich, um sicherzustellen, dass der Prüfer
nicht ggf. Geräte prüft bzw. angreift, während diese für die medizinische Versorgung von Patienten
verwendet werden.


Informationen über die Zielsysteme, die auf Seiten des Auftraggebers bzw. der Ansprechpartner
nicht zur Verfügung stehen, werden von Seiten der Prüfer, sofern möglich, im Rahmen der Aufklä-
rungsphase selbst ermittelt.

Jahrelang erfahren und vielfach zertifiziert.

Die Aurasec als Ihr branchenerfahrener Pentest Anbieter


Wenn nicht anders mit Ihnen abgesprochen, werden in unseren Penetrationstests relativ selten tatsächliche Exploits gegen Ihre Systeme angewendet. Einer der Gründe ist, dass bei einem Exploit nie die Systemstabilität garantiert werden kann – die Wahrung der Schutzziele hat vor Allem in Produktivumgebungen für uns höchste Priorität. Bei regulären Penetrationstests liegt unser Fokus also primär in der Auffindung möglichst vieler, für Sie und Ihre Systeme relevanter Angriffsvektoren.

Bei speziellen Anforderungen Ihrerseits können wir ebenfalls tiefergehende Penetrationstests anbieten, bei denen die Schwachstellen Ihrer Systeme tatsächlich ausgenutzt und öffentlich verfügbare Exploits angewandt werden.

Darüber hinaus bieten wir Ihnen an die Awareness Ihrer Mitarbeiter durch eine auf Sie und Ihre Firma zugeschnittene Social Engineering Kampagnen zu überprüfen. In einem weiterführenden RedTeam Penetrationstest, der die Königsdisziplin unter den Penetrationstests darstellt, können Sie uns damit beauftragen jegliche Perimeter Ihres Unternehmens in Bezug auf die IT- und Informationssicherheit zu testen.

Anschließend an sämtliche Penetrationstest-Module liefern wir Ihnen einen umfangreichen Bericht mit den von uns identifizierten und verifizierten Schwachstellen. Neben der technischen Beschreibung der Schwachstelle und einer Empfehlung ihrer Beseitigung führen wir themenspezifische Referenzen auf, um ihren technischen Mitarbeitern weiterführenden Quellen für das Verständnis und Behebung der Schwachstellen an die Hand zu geben. In einer sogenannten „Management Summary“ fassen wir außerdem die Kernergebnisse des Penetrationstests verständlich und kurz für die Managementebene zusammen.

Penetrationstest im Krankenhaus

Krankenhäuser und viele andere Einrichtungen des Gesundheitswesens tragen in mehrfacher Hinsicht eine besondere Verantwortung für die Resilienz ihrer IT-Infrastrukturen. Die Versorgung von Patientinnen und Patienten mit Unterstützung modernster IT-Systeme muss ebenso zuverlässig gewährleistet sein wie der Schutz sensibler Patientendaten. Öffentlich bekannt gewordene IT-Sicherheitsvorfälle in Kliniken und Krankenhäusern zeigen, dass medizinische Einrichtungen zunehmend gezielt aber auch ungezielt Opfer eines Cyber-Angriffs werden können.

Laut Bundesregierung gab es in 2020 bis Anfang November 2020 43 erfolgreiche Angriffe! Und das sind nur jene, die festgestellt/entdeckt und an das BSI oder die Strafverfolgungsbehörden gemeldet wurden. Das Unternehmen Check Point Research hat die Zunahme von Cyberangriffen gegen Krankenhäuser in den letzten zwei Monaten des Jahres 2020  ermittelt. Stärker als in Deutschland mit 220 Prozent war der Anstieg nur in Kanada mit 250 Prozent zu verzeichnen. Eine Sicherheitsanalyse von Alpha Strike Labs der extern erreichbaren Firewalls von 1555 Krankenhäusern im November und Dezember 2020 ergab Defizite bei 36% der Kliniken/Krankenhäuser. Mehr als 900 „kritische Schwachstellen“ wurden identifiziert. Ein potenzielles Angriffspotenzial für Cyberkriminelle!

Technische Schwachstellenanalyse ab 2022 verpflichtend

Nicht zuletzt aufgrund der zunehmenden Digitalisierung im Bereich der medizinischen Versorgung stehen vor allem Krankenhäuser vermehrt vor großen Herausforderungen im Hinblick auf die Absicherung und die Resilienz ihrer IT-Systeme, -Prozesse und -Komponenten, die für die medizinische Versorgung relevant sind.

Diesen Handlungsbedarf hat auch der Gesetzgeber erkannt und bereits mit dem IT-Sicherheitsgesetz in 2015 bzw. der BSI-Kritis-Verordnung in 2017 Universitätskliniken und Großkrankenhäuser dazu verpflichtet entsprechende Sicherheitsmaßnahmen umzusetzen und die effektive Umsetzung ggü. dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachzuweisen. Doch auch für Krankenhäuser unterhalb des Schwellenwertes aus der BSI-KritisV, der aktuell bei 30.000 stationären Patienten p.a. liegt, rückt IT- und Informationssicherheit immer stärker in den Fokus. So hat der Gesetzgeber mit dem im Oktober 2020 veröffentlichten Patientendatenschutzgesetz den § 75c SGB V ergänzt.

Somit sind nunmehr alle Kliniken/Krankenhäuser verpflichtet bis 01.01.2022 angemessene Maßnahmen zur Erhöhung der IT-Sicherheit umzusetzen und können hierzu nach § 8a Abs. 2 BSI-Gesetz vom Bundesamt für Sicherheit in der Informationstechnik bestätigten branchenspezifische Sicherheitsstandards (B3S) für die Gesundheitsversorgung im Krankenhaus anwenden. Unter „angemessenen organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit“ wird ein sogenanntes Informationssicherheitsmanagementsystem (ISMS) verstanden. Solch ein ISMS beschreibt auch der in § 75c SGB V Abs. 2 genannte branchenspezifische Sicherheitsstandard für die medizinische Versorgung (B3S).

In diesem Zusammenhang wird es auch zukünftig zwingend notwendig sein, dass Krankenhäuser als wichtiger Bestandteil der medizinischen Versorgung der Bevölkerung verstärkt den Prozess ihrer kritischen Dienstleistung analysieren, um diesen durch die Umsetzung von technischen und organisatorischen IT-Sicherheitsmaßnahmen bestmöglich schützen zu können. Dazu gehört auch die regelmäßige Durchführung von Schwachstellenscans und Penetrationstests.

Senden Sie uns gerne eine unverbindliche Anfrage

info@aurasec.de 030 408173352 Schau vorbei. Informiere dich!