Mobile Geräte
Mobile Geräte wie z.B. Handgeräte zur mobilen Kommissionierung oder Mobiltelefone sind erfahrungsgemäß besonderen Gefahren ausgesetzt. Sie können entwendet oder angegriffen werden. Die Absicherung dieser Geräte muss daher besonders sorgfältig sein. Die Penetrationstester prüfen, ob die getroffenen Sicherheitsmaßnahmen für das jeweilige Anwendungsszenario ausreichend sind. Dabei werden neben den technischen Maßnahmen auch organisatorische Maßnahmen berücksichtigt und bewertet.
Physischer Penetrationtest
Auch die strengsten technischen Sicherheitsmaßnahmen gegen Angriffe über das Netzwerk sind schnell umgangen, wenn ein potenzieller Angreifer ohne großen Aufwand Zutritt zu sensiblen Bereichen oder physischen Zugriff auf Industrieanlagen, Server oder andere wichtige Komponenten erlangen kann. Bei einem physischen Penetrationstest stehen vor allem Gebäudezugänge, Zutrittskontrollsysteme und Überwachungsmaßnahmen im Fokus.
Social Engineering
Als „Social Enginering“ werden Angriffe bezeichnet, die sich nicht gegen technische Systeme, sondern gegen Menschen richten. Die „Qualität“ solcher Angriffe und ihr Schadenpotenzial haben sich in den vergangenen Jahren immer weiter erhöht. Angreifer schaffen sich dabei eine glaubwürdige Legende und provozieren darüber Fehler auf der Seite von Mitarbeitern und Dienstleistern. Auf diesem Wege kann Schadsoftware eingeschleust werden. Angreifer können Zugangsdaten erlangen. Betrüger erschleichen sich Geldbeträge.
Bei dieser Form der Prüfung nehmen die erfahrenen Prüfer der HBSN GmbH die Rolle der Angreifer ein. Es gilt die Frage zu klären, wie die Mitarbeiterinnen und Mitarbeiter auf solche Angriffe reagieren. Geben Sie vertrauliche Daten preis? Erlauben Sie unbefugten Personen den Zutritt zu Sicherheitsbereichen? Dabei ist wichtig, dass sich die durchgeführten Prüfungen nicht gegen einzelne Mitarbeiterinnen und Mitarbeiter des Unternehmens richten. Ihre Daten werden in jedem Fall vertraulich behandelt. Zielsetzung der Überprüfung ist das Erkennen von Verbesserungspotenzialen, die das gesamte Unternehmen und nicht Einzelne betreffen. Dementsprechend können im Anschluss an die Prüfung angepasste Sensibilisierungsmaßnahmen und Schulungen konzipiert werden, um so das Sicherheitsniveau der gesamten Organisation gezielt zu verbessern.
Red Team Audit
Bei dieser Form der Prüfung werden der klassische Penetrationstest sowohl mit dem physischen Penetrationstest als auch dem Social Engineering kombiniert, um ein möglichst umfangreiches und realistisches Angriffsszenario zu schaffen. Das Besondere bei dieser Prüfung ist, dass in der Regel nur ein sehr kleiner Kreis von Personen auf der Seite des Unternehmens eingeweiht wird. Dadurch kann überprüft werden, ob ein potenzieller Angriff einem Sicherheitsteam oder der IT-Abteilung auffällt, die korrekten Melde- und Eskalationswege eingehalten werden, eine sachgerechte Reaktion zeitnah erfolgt und der Angriff im Idealfall erfolgreich abgewehrt werden kann. Zielsetzung ist es also, die Gesamtkonzeption der Sicherheitsmaßnahmen und ihr Zusammenspiel zu überprüfen.
WLAN-Zugang
WLAN-Zugänge, z.B. für Mitarbeiter, Gäste oder im Produktionsbereich, sind erfahrungsgemäß Einfallspunkte für Angreifer, die auf diesem Wege einen Zugang zu internen Netzwerken erlangen wollen. Bei dieser Prüfung wird neben der Absicherung des Zugangs zu den WLAN-Netzwerken auch deren Absicherung gegen andere, geschützte Netzwerksegmente überprüft.
Sonstige Geräte und Komponenten
Es gibt eine Vielzahl an weiteren wichtigen Geräten und Komponenten mit Netzwerkanbindung, die erfahrungsgemäß nicht immer im Fokus einer informationssicherheitstechnischen Betrachtung stehen. Dazu zählen zum Beispiel Schließanlagen, Einbruchmeldeanlagen, Brandmeldeanlagen, Überwachungssysteme, und viele mehr. Spezifische Sicherheitsüberprüfungen können gerade auch im Zusammenhang mit einer Inbetriebnahme oder bei erheblichen Änderungen der Systeme einen wertvollen Beitrag zur Gesamtsicherheit der Organisation leisten. Wir beraten Sie gerne bei der Konzeption von spezifischen Sicherheitsüberprüfungen Ihrer Systeme.
Mobile App Analyse
Im Bereich der Produktion und Logistik kommen verstärkt mobile Anwendungen zum Einsatz. Abhängig von der jeweiligen mobilen Anwendung kann sich der Nutzerkreis über Mitarbeiter und Dienstleister erstrecken. Mobile Anwendungen können für Geschäftsprozesse kritisch sein. Diese Applikationen und dahinter liegende Systeme sollten auf ihre Resistenz gegen Angriffe überprüft werden. Die erfahrenen Prüfer der HBSN GmbH bewerten das Sicherheitsniveau von mobilen Applikationen ganzheitlich. Dabei werden neben den Aspekten der IT-Sicherheit auch weitere technische und organisatorische Maßnahmen bewertet.
White-Box Penetration Test
Reale Angreifer verfügen vor der Aufklärungsphase in der Regel nicht über detaillierte Informationen über die Zielsysteme bzw. die Zielorganisation. Aus diesem Grund ist für reale Angreifer, wie für Penetrationstester die Aufklärungsphase in einem sogenannten Black-Box-Szenario von entscheidender Bedeutung für den erfolgreichen Verlauf der Prüfung bzw. des Angriffs. Dementsprechend werden von Angreifern, wie von Prüfern in die Aufklärungsphase im Verhältnis zu den anderen Phasen relevante Ressourcen des vorhandenen Budgets investiert.
Beim White-Box-Testing auf der anderen Seite verfügen die Prüfer über alle Informationen des jeweils zu prüfenden Systems. Dieses Szenario entspricht daher in der Regel nicht einem realen Angriffsszenario. Es wird jedoch darauf hingewiesen, dass für Angriffe gegen IT-Systeme bzw. Penetrationsprüfungen auch das sogenannte Kerckhoffs’sche Prinzip der modernen Kryptographie sinngemäß angewendet werden kann: Verschlüsselungssysteme müssen auch dann noch sicher sein, falls alle Informationen über das System bzw. den Algorithmus bekannt sind, der jeweils verwendete Schlüssel jedoch geheim ist. Diesem Grundsatz folgend muss ein System gegenüber einem Angriff auch dann noch sicher sein, falls dem Angreifer alle Informationen über das System vorliegen, er jedoch nicht über Passworte bzw. geheime kryptographische Schlüssel verfügt. Aus diesem Blickwinkel betrachtet, wird White-Box-Testing als sinnvolle Vorgehensweise bewertet, obwohl sie in der Regel nicht einem realen Angriffsszenario entspricht.
Externer Penetrationstest
Öffentlich erreichbare Dienste und Geräte sind täglichen Angriffen ausgesetzt und müssen bestens geschützt sein, um keine Angriffsfläche zu bieten. Bei einem externen Penetrationstest geht es vorrangig um die Identifikation von Schwachstellen von Netzwerkkomponenten, Servern, Diensten und Applikationen, die über öffentliche IP-Adressen erreichbar sind. Dabei muss Systemen mit einer solchen öffentlichen IP-Adresse, die in den internen Netzwerken Ihres Unternehmens betrieben werden, eine besonders hohe Priorität eingeräumt werden: Die Erfahrung zeigt, dass Angreifer gerade über solche Systeme bereits oft genug Zugang auf interne Netzwerke erlangt und dort Schaden angerichtet haben. Penetrationstests gegen öffentliche IP-Adressen werden von Penetrationstestern sowohl manuell als auch unter Zuhilfenahme von automatisierten Werkzeugen durchgeführt.
Webapplikations-Penetrationstest
Eine Webapplikation stellt in der Regel eine Schnittstelle zwischen einem Benutzer und einem technischen System dar. Abhängig davon, ob es sich um die Webseite, also das Aushängeschild Ihres Unternehmens handelt, oder um eine interne Webapplikation, die eine spezifische Aufgabe erfüllt, können Schwachstellen in solchen Systemen ggf. gravierende Auswirkungen auf ihr Unternehmen haben. Ein erfolgreicher Angriff auf Ihre Webseite kann neben den finanziellen Folgen auch die Reputation Ihres Unternehmens schädigen. Über einen erfolgreichen Angriff auf Webapplikationen, die eine Schnittstelle zu internen Systemen darstellen, kann ein Angreifer gegebenenfalls Zugang zu anderen Systemen erlangen und auf diesem Wege größtmöglichen Schaden verursachen. In einem solchen Szenario ist die Funktionsfähigkeit der im jeweiligen Netzwerksegment betriebenen Infrastruktur gefährdet. Ein Angreifer kann auch diesem Wege gegebenenfalls auch Zugriff auf sensible Unternehmensdaten erlangen. Ein Webapplikations-Penetrationstest dient dazu, Schwachstellen in den technischen Systemen aufzudecken, über die die jeweilige Webapplikationen realisiert wird. Die erfahrenen Penetrationstester der HBSN GmbH geben, wo immer dies sinnvoll ist, auch Empfehlungen, wie die jeweiligen Schwachstellen geschlossen werden können. Auf diese Weise lassen sich Ihre Webapplikationen und Ihr Unternehmen auch gegen versierte Angreifer schützen.
Interner Penetrationstest
Das Rückgrat Ihres Unternehmens ist das interne Netzwerk. Kann ein Angreifer sich hier ausbreiten, kann der wirtschaftliche Schaden schnell in die Millionenhöhe gehen. Unter Umständen ist auch die Produktion gefährdet. Ein Penetrationstest gegen die Systeme im internen Netzwerk kann Sicherheitslücken aufdecken und Schwachstellen aufzeigen, bevor diese von einem Angreifer ausgenutzt werden können. Penetrationstests gegen Systeme in internen Netzwerken werden sowohl manuell als auch unter Zuhilfenahme von automatisierten Werkzeugen durchgeführt. Dabei ist eine enge Abstimmung zwischen den Penetrationstestern und den jeweiligen Ansprechpartnern in Ihrer IT-Abteilung erforderlich.
Industrielle Steuerungen
Die industrielle Steuerung Ihrer Produktionsanlagen erfordert den Einsatz zahlreicher Computer. Oftmals sind diese als solche nicht unmittelbar erkennbar und verbergen sich als kleine Komponenten in Schaltschränken. Dienstleister können auf diese Schaltanlagen gegebenenfalls online Zugriff nehmen. Sofern die Steuerungscomputer schwachstellenbehaftet sind, können sie Angreifern ein Ziel bieten. Auf diesem Wege können Angreifer unter Umständen die Produktion eines Standorts lahmlegen. Dementsprechend müssen auch in den internen Netzwerken der Produktionsanlagen schwachstellenbehaftete Steuerungscomputer erkannt werden. Die Schwachstellen müssen von den zuständigen Dienstleistern zeitnah geschlossen werden. Dies gilt auch dann, falls die Steuerungscomputer nicht unmittelbar über das Internet erreicht werden können: Die Härtung dieser Systeme reduziert den Schaden, den Angreifer anrichten können, sofern diese bereits Zugang auf ihre Netzwerke erlangt haben. Die erfahrenen Prüfer der HBSN GmbH untersuchen Ihre Steuerungsanlagen auf gefährliche. Sie übernehmen auf Wunsch die Kommunikation mit den für die jeweilige Steuerungsanlagen zuständigen Dienstleistern.
Client Geräte
Geräte, die durch Mitarbeiter genutzt werden und über einen Zugang zum internen Netzwerk und verfügen, können ein Einfallstor für Angreifer darstellen. Auch unbeabsichtigte Bedienungsfehler durch Mitarbeiter können in Kombination mit einer fehlerhaften Konfiguration der Geräte zu großem Schaden führen. Wertvolle Daten können verloren gehen. Sensible Unternehmensdaten können kompromittiert werden. Die getroffenen Sicherheitsmaßnahmen, die Konfiguration der Geräte und die Aktualität der auf ihnen betriebenen Software (Patchlevel) werden überprüft und bewertet. Ferner wird geprüft, ab ein „Ausbruch“ eines Nutzers oder eines Angreifers z.B. aus Terminal-Sitzungen heraus in andere Netzwerksegmente erfolgen kann, die eigentlich geschützt sein sollten.
Interne Server
Die internen Server Ihres Unternehmens stellen kritische Komponenten Ihrer Geschäftsprozesse dar und müssen zur Aufrechterhaltung des Geschäftsbetriebs angemessen geschützt werden. Diese Server gewährleisten zum Beispiel den Betrieb der ERP-Anwendungen, der Anwendungen zur Überwachung und Steuerung von technischen Prozessen (Produktionsanlagen, Kühlsysteme, Gebäudeleittechnik), Anwendungen zur Warenwirtschaft und Lagerverwaltung, zur Auftragsannahme, zur Fakturierung, zur Verwaltung der Kundenstammdaten und nicht zuletzt zur internen und externen Kommunikation. Gelingt es einem Angreifer, sich hier einzunisten, gefährdet er unter Umständen den gesamten Geschäftsbetrieb. Bei der Überprüfung der internen Server werden die Systeme auf bekannte Schwachstellen und sicherheitsrelevante Konfigurationsfehler getestet.
Firewalls und Netzwerksegmentierung
Die Segmentierung der verschiedenen Netzwerke, wie zum Beispiel zur Anlagensteuerung oder für die Verwaltung, soll im Falle eines erfolgreichen Angriffs auf Systeme in einem Netzwerkssegment die Ausbreitung des Angreifers auch auf andere Netzwerksegmente verhindern. Auf diese Weise wird der durch den Angriff verursachte Schaden begrenzt. Ohne eine ausreichende Netzwerksegmentierung und die korrekte Konfiguration der eingesetzten Firewalls kann ein erfolgreicher Angriff gegen einzelne Systeme verheerende Folgen für das gesamte Unternehmen haben. Die erfahrenen Penetrationstester der HBSN GmbH prüfen, ob die einzelnen Netzwerksegmente ausreichend vor dem Übergriff aus anderen Segmenten heraus geschützt sind. Dabei verifizieren sie, ob die Konfigurationen der Firewalls fehlerfrei sind und die Firewalls korrekt funktionieren.
Black-Box Penetration Test
Bei einem Grey–Box–Test werden dem Prüfer von Seiten seiner Ansprechpartner Informationen über die zu prüfenden Systeme zur Verfügung gestellt, soweit der Prüfer diese für die Optimierung der Prüfung benötigt wird und diese dem Auftraggeber bzw. Ansprechpartner selbst bekannt sind. Dieses Vorgehen hat den Vorteil, dass Ressourcen statt für die Ermittlung von Informationen im Rahmen der Aufklärungsphase, die dem Auftraggeber ggf. ohnehin zur Verfügung stehen, für ausführlichere Prüfungen bei den anschließenden Phasen verwendet werden können.
Für die technischen Prüfungen werden Grey–Box–Tests empfohlen, um die Prüfungen möglichst effizient realisieren zu können. Dies gilt insbesondere für die Prüfung von medizinischen Geräten: Bei der Prüfung von medizinischen Geräten ist eine enge Abstimmung zwischen einem kompetenten Ansprechpartner auf der Seite des Auftraggebers und dem Prüfer zwingend erforderlich, um sicherzustellen, dass der Prüfer nicht ggf. Geräte prüft bzw. angreift, während diese für die medizinische Versorgung von Patienten verwendet werden.
Informationen über die Zielsysteme, die auf Seiten des Auftraggebers bzw. der Ansprechpartner nicht zur Verfügung stehen, werden von Seiten der Prüfer, sofern möglich, im Rahmen der Aufklärungsphase selbst ermittelt.
