Penetrationtest: Hacking im Dienste der IT-Sicherheit

• Hafnium Exploit März 2021
• TU Berlin April 2021 Ransomware-Angriff
• Verlagsgruppe Madsack April 2021 Ransomware-Angriff
• Brenntag SE Mai 2021 Ransomware-Angriff
• Toshiba Mai 2021Ransomware-Angriff
• Colonial Pipeline Mai 2021 Ransomware-Angriff
• Tegut Mai 2021 Art der Attacke unbekannt
• AXA Versicherung Mai 2021 Ransomware-Angriff
• Versandhändler Pearl Juni 2021 Art der Attacke unbekannt

Im Bundeslagebild Cybercrime 2020 vom Bundeskriminalamt wird das Gefühl bestätigt, dass die IT-Sicherheitsvorfälle stark zugenommen haben. Im Vergleich zu 2019 erhöht sich die Anzahl der gemeldeten Cybercrime-Fälle in Deutschland um 7,92% auf 108.474 – die Dunkelziffer liegt hier noch deutlich höher.

Die Prognose im Bericht des BKA legt nahe, dass die Cyberkriminalität weiterhin zunehmen wird. Das liegt zum einen an der fortschreitenden Digitalisierung in allen Bereichen und zum anderen an der stärkeren Vernetzung der Hackergruppen und Cyberkriminellen. So gibt es schon heute richtige Wertschöpfungsketten im Bereich von Malware, was dazu führt, dass pro Tag ca. 314.000 Malware-Varianten weltweit in Umlauf gebracht werden. Mittlerweile muss ein Cyber-Erpresser keine tiefgreifenden technischen Kenntnisse mehr haben - er kann die Erpressersoftware als Dienst ganz einfach buchen, genannt Ransomware as a Service (RaaS).

Die meisten Notfall-Pläne sehen bei einem Befall mit Malware oder einem erfolgreichen Hackerangriff vor, sämtliche Systeme herunterzufahren und vom Netz zu nehmen. Die anschließende Untersuchung der Systeme auf eine Kompromittierung kostet Zeit und schränkt das Unternehmen je nach Branche und Digitalisierungsgrad in der Produktivität ein. Im schlimmsten Fall müssen alle Systeme komplett neu aufgesetzt werden (z.B. Ransomware-Attacke auf die TU Berlin). Durch die teils sehr langen Ausfallzeiten sind viele Unternehmen gewillt, die Lösegeldforderungen von Ransomware-Erpressern zu entrichten. Falls die Verschlüsselung der Systeme nicht zu der geforderten Lösegeldzahlung führt, werden bei vielen Sicherheitsvorfällen Daten gestohlen und anschließend mit der Veröffentlichung dieser Daten gedroht.

Die Attraktivität dieser Art der Kriminalität kann mit folgenden Zahlen gut verdeutlicht werden:

• Die Aufklärungsquote von Cybercrime-Fällen in Deutschland liegt bei 32,6% (Stand 2020)
  (Straftatbestand „Warenbetrug“ bei 71,4%, Polizeiliche Kriminalstatistik, Grundtabelle v1.0 vom 21.01.2021)
• Laut einer Unternehmensbefragung 2018/19 liegt die Spannweite von Lösegeldforderungen nach Ransomware-Attacken zwischen 10 und 100 Mio. Euro.
• CNA Financial zahlt angeblich 40 Millionen US-Dollar Lösegeld nach Ransomware-Vorfall
• Weltgrößter Fleischproduzent JBS zahlt Hackern rund 11 Millionen US-Dollar Lösegeld

Da die Zahlungen von Lösegeld nach Ransomware-Angriffen stark ansteigen, versuchen viele Versicherungsgesellschaften derartige Zahlungen aus den Cyber-Versicherungen auszuschließen. AXA Versicherungen hat dies in ihrem Heimatmarkt Frankreich bereits umgesetzt und verkaufen nur noch Cyber-Versicherungen unter Ausschluss der Lösegeldzahlungen nach Ransomware-Angriffen.

Die meisten Sicherheitslücken entstehen durch den Einsatz veralteter Software in Unternehmen. Diese öffnen Angreifern die Tür in IT-Systeme, die mit einem Update einfach geschlossen werden können. Aber auch kostengünstig programmierte Software mit einer Vielzahl an Programmierfehlern können zu Schwachstellen im System führen. Deshalb ist eine genaue Prüfung vor dem Einsatz einer neuen Software in einem Unternehmen unerlässlich. Die größte Schwachstelle ist oftmals der Faktor Mensch. Das Einfallstor für Schadsoftware ist häufig ein unüberlegter Klick auf einen Link aus einer Phishing-Mail, der zu einer Internetressource führt. Hier wir dann im Hintergrund Malware auf den Computer des Mitarbeiters heruntergeladen und diese kann sich von dort aus durch Sicherheitslücken im Unternehmensnetzwerk verbreiten, Systeme kompromittieren und Daten abgreifen. Um die Mitarbeiter zu sensibilisieren kann ein Awarnesstest durchgeführt werden.

Unternehmen stehen verschiedene Möglichkeiten zur Verfügung, um Schwachstellen in Ihrer IT-Infrastruktur zu finden und zu beheben. Die wohl effektivste Methode ist die Durchführung eines Penetrationtests. Dieser ist ein simulierter Angriff auf ein Unternehmensnetzwerk und wird meist von einem zertifizierten Dienstleister durchgeführt. Im Gegensatz zu einem Schwachstellenscan oder einer Schwachstellenanalyse, werden die Schwachstellen nicht nur gefunden und bewertet, sondern auch ausgenutzt, um die IT-Infrastruktur weiter zu kompromittieren. Da der Angriff simuliert wird, leiden Unternehmen nicht an den Konsequenzen einer realen Attacke.

Ein Penetrationtest kann entweder von extern oder intern durchgeführt werden. Bei einem externen Test werden die vom Internet aus zugänglichen Teilen einer Infrastruktur getestet, z. B. Webserver, Mail-Server, Firewall, Router, etc. Ein interner Penetrationtest zielt auf die Ressourcen innerhalb einer IT-Infrastruktur ab, die nicht direkt aus dem Internet zugänglich sind, und überprüft deren Sicherheit. Ein typischer Malware-Vorfall findet im Inneren einer IT-Landschaft statt, indem z. B. per Phishing-Mail ein Verschlüsselungstrojaner eingeschleust wird.
Die Vorgehensweise von Pentestern wird in Black-box, Grey-box oder White-box testing unterschieden:

• Black-box testing: Dabei verhält sich der Pentester wie ein Hacker – ohne Kenntnisse über das zu infiltrierende System versucht er einzudringen, um sich dann dynamisch und flexibel im System zu bewegen.
• White-box testing: Das White-box testing ist das genaue Gegenteil zum Black-box testing und ermöglicht dem Pentester vollen Zugriff auf die Informationen und Dokumentation der IT-Landschaft. Hier ist die Herausforderung, die Fülle der Informationen zu analysieren und Schwachstellen zu erkennen. Da der Tester hier aber alle Informationen hat, ist der Soll-Ist-Vergleich effektiver.
• Grey-box testing: Hier wird der Mittelweg zwischen black-& white-box testing angewendet. Es stehen dem Pentester gewisse Informationen zur Verfügung, um Systeme als Ziel zu definieren oder andere Systeme beim Test außen vor zu lassen. Die restlichen Systeme werden dann, wie bei einem blackbox testing, dynamisch getestet.

Die gefundenen Schwachstellen lassen sich anschließend durch den internationalen Standard CVSS (Common Vulnerability Scoring System) in Schweregrade einstufen und über Unternehmensgrenzen hinweg standardisiert vergleichen.
Im Anschluss zum Pentest findet eine Bewertung der Sicherheitslücken und Festlegung von Maßnahmen statt, die dazu führen sollen, die Sicherheitslücken zu schließen und die IT-Infrastrukturen sicherer zu machen. Da viele Sicherheitslücken durch veraltete Softwareversionen entstehen, ist es sinnvoll einen Penetrationtest in regelmäßigen Abständen zu wiederholen.