DE | EN

Tipp KW 42 – 2020

Penetrationstests als Absicherung Ihrer Customer Service-Systemumgebung

Wie schön war doch die alte Technik. Man besaß eine TK- oder ACD-Anlage. Alle Telefone waren fest verdrahtet und über ein Kabel verbunden und nach außen hin gab es ebenfalls eine feste Verkabelung auf ISDN oder Primärmultiplexer des Providers zur Anbindung an das öffentliche Fernsprechnetz. Sorgen um Cyberkriminalität musste man sich nicht machen.

In der neuen modernen Welt angekommen begegnen uns All-IP-Verbindungen über SIP-Trunks der Provider. Telefonie per Softphone aus dem Homeoffice heraus oder eine Anbindung von externen Dienstleistern unter Einsatz von WebRTC bestimmen das heutige Bild. 

Urplötzlich ist alles von überall erreichbar und einfach zu bedienen. Jegliche Erweiterungen sind nur wenige Mausklicks entfernt. Nur noch die Menge der notwendigen Server bestimmt die Anzahl von Agenten, Nebenstellen und Leitungsmengen.

Genau hier liegt die neue Gefahr, Angriffe auf Ihr Unternehmensnetzwerk zu erleiden.

Um dem entgegen zu wirken, sollten Sie Ihre Systemlandschaft testen und sie mit einem Penetrationstest auf „Herz und Nieren“ prüfen.

Aber was genau ist ein Penetrationstest?

Ein Penetrationstest, kurz Pen-Test, ist ein umfassender Sicherheitstest einzelner Rechner oder Netzwerke jeglicher Größe. 

Unter einem Penetrationstest versteht man die Prüfung der Sicherheit möglichst aller Systembestandteile, Netzwerke sowie Softwaresysteme mit Mitteln und Methoden, die ein Angreifer (ugs. „Hacker“) anwenden würde, um unautorisiert in das System einzudringen (Penetration). 

Bedenken Sie hierbei, dass es sich sowohl um Angriffe von außen als auch innerhalb Ihres Firmennetzes handeln kann. 

Pen-Tests können den Versuch beinhalten, eine beliebige Anzahl von Anwendungssystemen (z. B. Anwendungsprotokollschnittstellen (APIs), Frontend- / Backend-Server) zu verletzen, um Schwachstellen wie nicht bereinigte Eingaben aufzudecken, die für Angriffe anfällig sind.

Die durch den Penetrationstest gewonnenen Erkenntnisse können verwendet werden, um Ihre Unternehmenssicherheitsrichtlinien zu optimieren und erkannte Schwachstellen zu beheben.

Was ist das Ziel eines Pen-Tests?

  • die Identifikation von Sicherheitslücken und Schwachstellen 
  • das Aufdecken potentieller Fehler, die sich aus der (fehlerhaften) Bedienung ergeben
  • die Erhöhung der Sicherheit auf technischer und organisatorischer Ebene und
  • die Bestätigung der IT-Sicherheit durch einen externen Dritten (Bei großen Unternehmen kann dieser kann auch der vorhandenen Security-Abteilung angehören)

Ein Penetrationstest ist immer als Momentaufnahme zu sehen und sollte im besten Falle regelmäßig wiederholt werden, da verschiedenste Faktoren sich im Laufe der Zeit verändern, wie z.B. Änderungen im Betriebssystem, Upgrades, Updates, etc.

Im Extremfall kann ein System unmittelbar nach dem Beheben der durch den Test aufgedeckten Schwachstellen durch eine neue Sicherheitslücke wieder verwundbar sein.

Die fünf Stufen eines Penetrationstests:

1. Planung und Aufklärung

Definieren des Umfangs und der Ziele eines Tests, einschließlich der zu adressierenden Systeme und der zu verwendenden Testmethoden.

Sammeln von Informationen (z. B. Netzwerk- und Domänennamen, Mailserver), um die Funktionsweise eines Ziels und seine potenziellen Schwachstellen besser zu verstehen.

2. Scannen

Der nächste Schritt besteht darin, zu verstehen, wie die Zielanwendung auf verschiedene Einbruchsversuche reagiert. 

3. Zugang erhalten

In dieser Phase werden verschiedenste Techniken verwendet, um die Schwachstellen eines Ziels aufzudecken. Tester versuchen dann, diese Sicherheitsanfälligkeiten auszunutzen, indem sie normalerweise Berechtigungen eskalieren, Daten stehlen, Datenverkehr abfangen usw., um den Schaden zu verstehen, den sie verursachen können.

4. Aufrechterhaltung des Zugangs

Das Ziel dieser Phase ist es, herauszufinden, ob die Sicherheitsanfälligkeit verwendet werden kann, um eine dauerhafte Präsenz im ausgenutzten System zu erreichen – lange genug, um einen detaillierten Zugriff zu erhalten.

Die Idee ist, fortgeschrittene persistente (langanhaltende) Bedrohungen zu imitieren, die oft monatelang in einem System verbleiben, um die sensibelsten Daten eines Unternehmens zu stehlen.

5. Analyse

Die Ergebnisse des Penetrationstests werden in einem Bericht zusammengefasst und beinhalten spezifische Sicherheitslücken, die ausgenutzt wurden,

sensible Daten, auf die zugegriffen wurde sowie die Zeit, die der Pen-Tester unentdeckt im System bleiben konnte.

Fazit:

Eins ist sicher! Es gibt kein sicheres System!

Dass diese Tests sinnvoll sein können, zeigen eigene Erfahrungen aus realen Projekten:

In einer neu eingeführten Omni-Channel-Umgebung hat es ein technisch versierter Mitarbeiter geschafft, sich nach Anmeldung an einem Web-Softclient mit User-Berechtigungen durch eine Attacke über Fehlbedienung und verschiedensten Tastenkombinationen plötzlich Administrator-Rechte zu verschaffen. Er hätte das gesamte System löschen können! Niemand hatte mit so einem Szenario gerechnet.

Alle Informationen und Erkenntnisse aus dem Pen-Test dienen der Sicherheit Ihrer Systeme und erhöhen den Schutz vor zukünftigen Angriffen deutlich.

Ein Pen-Test ist somit immer zu empfehlen, egal, ob es sich um ein Bestands-System handelt oder um die Einführung einer neuen Systemumgebung.

Udo Ociepka –  Senior Berater

 junokai

Um den Tipp der Woche zu abonnieren, klicken Sie hier.