Pentester:innen hacken sich im Kundenauftrag in IT-Systeme und verbessern so die IT-Security in Unternehmen. Im MARI€-Interview mit dem Pentester Stefan Viehböck von SEC Consult erfährst du, wie das abläuft.
Gehackt zu werden ist ein Albtraum für Unternehmen – es sei denn, es geschieht im Eigenauftrag. Pentesting (kurz für Penetration Testing) heißt diese Dienstleistung und wird von zahlreichen Cybersecurity-Unternehmen angeboten. Das Ziel: Durch erfolgreiche Angriffe auf die IT-Infrastruktur zahlender Kund:innen Schwachstellen offenlegen und so die Sicherheit erhöhen.
Beim Pentesting gilt es, Schwachstellen in Software, Hardware oder gleich ganzen IT-Landschaften zu finden. Für einen umfangreichen Angriff darf es auch etwas aufwendiger sein – beim Red Teaming geht es darum, mit physischen, sozialen und psychologischen Tricks Zugang zu sensiblen Unternehmensbereichen und Daten zu erhalten.
Wir haben uns mit Stefan Viehböck, Pentester und Teamlead bei SEC Consult, über die Methoden des Ethical Hacking unterhalten.
IT-SAFE.AT
Gefahren erkennen, Sicherheitsstrategien entwickeln und Maßnahmen umsetzen - hier erfährst du, wie's geht.
Hol dir jetzt deine Infos zum Thema Cybersecurity!Wie gehst du beim Pentesting von Web-Applikationen und vernetzten Geräten (Internet of Things, IoT) vor?
Stefan Viehböck: In der ersten Phase nutzen wir automatisierte Tools für Scans, um einen Überblick über die vorhandenen Schnittstellen und die Systemkommunikation zu bekommen. Dabei zeigen sich bereits häufig Schwachstellen, "low hanging fruits", die recht simpel ausgenutzt werden können. Anschließend geht es mit manuellen Tests daran, komplexe Systeme gründlich zu untersuchen, da ist viel logisches Denken, Kreativität und Tüftelei gefragt.
Beim Thema Internet of Things (IoT) und Komponenten für Industrieanlagen gibt es eine besondere Vorgehensweise: Wir lassen uns die Geräte zur Verfügung stellen, öffnen diese und greifen die verwendeten Komponenten mit verschiedenen Hardware-Angriffen an. Die Tools der Wahl sind in diesem Fall Lötkolben, Heißluft und Oszilloskop in unserem Hardware-Hacking Labor.
Welche Sicherheitsrisiken treten am häufigsten auf?
Bei IoT-Systemen ist das Sicherheitsniveau häufig sehr niedrig, da nur die Hersteller wissen, was in den Geräten steckt und die Hürden deshalb wesentlich höher als bei herkömmlicher Software sind. Erst vor kurzem haben wir eine Schwachstelle in der Programmierung eines Steuergeräts für Energieautomatisierung/Smart-Grid von Siemens entdeckt. Ein Angreifer kann damit ohne große Vorkenntnisse die Kontrolle über das Stromnetz übernehmen, daraufhin wurde in Rekordzeit ein Emergency Patch entwickelt. Häufig finden wir auch von Herstellern "vergessene" Backdoors in IoT-Systeme, die noch aus der Entwicklung der Geräte stammen, aber auch Angreifern den Zugriff ermöglichen.
Bei IoT-Systemen ist das Sicherheitsniveau sehr niedrig, da nur die Hersteller wissen, was in den Geräten steckt.
Typische Schwachstellen und Fallstricke bei der Entwicklung von Web-Applikationen sind oft seit mehr als 10 Jahren bekannt, treten aber immer noch auf. Web-Applikationen bieten die mit Abstand größte Angriffsfläche für Unternehmen, insbesondere wenn sie über das Internet zugänglich sind. Selbst eine kleine Applikation kann ein potenzielles Einfallstor für Angriffe sein.
Wie können Unternehmen die Sicherheit Ihrer Anlagen und Apps erhöhen?
Einerseits durch Pentests, um das allgemeine Sicherheitsniveau zu erheben. Für Operational Technology (OT), zu der Smart Grids oder Kläranlagen gehören, gibt es auch aber regulatorische Prozesse auf EU-Ebene. Die EU-Verordnung NIS 2 (Network and Information Systems Directive) sieht zum Beispiel empfindliche Strafen für kritische Infrastrukturen vor, die diese Anforderungen nicht erfüllen. Und auch der Cyber Resilience Act der EU wird die Hersteller von Produkten zu mehr Sicherheit zwingen.
Für Inhouse-Entwicklungen empfiehlt sich ein SLDC (Software Development Lifecycle), der bereits während des Entwicklungsprozesses die Sicherheit berücksichtigt. Schulungen für Mitarbeiter und Entwickler:innen sind auch wichtig, um sich in die Denkweise eines Angreifers hineinversetzen. Und: Besondere Vorsicht bei Drittanbieter-Software, selbst Produkte von namhaften Softwareunternehmen sollten unbedingt gründlich getestet werden.
Was war die gravierendste Sicherheitslücke, auf die du gestoßen bist?
Wir führen häufig Sicherheitstests bei Krankenhäusern und Gesundheitsdienstleistern durch. Einmal haben wir über das WLAN für Patient:innen Zugang zum Netzwerk der Labor- und Operationsgeräte erhalten und hätten dort Endoskope steuern und Krankenakten einsehen können. Das war heftig, aber wir betrachten solche Entdeckungen positiv, da die Lücke auf diese Weise schnell geschlossen werden konnte.
Das Wichtigste in Kürze
- Pentesting ist eine Dienstleistung, bei der die IT-Sicherheit von Unternehmen durch Angriffe getestet wird.
- Besonders IoT-Geräte und Industrieanlagen sind schlecht gegen Angriffe gesichert.
- Auch Web-Applikationen sind ein beliebtes Angriffsziel – Abhilfe schafft ein +Secure Software Development Lifecycle und Vorsicht bei Drittanbieter-Software.