Autonomes Penetration Testing
Angreifen und angreifen lassen
Um die Robustheit von IT-Netzwerken wirklich testen zu können, sind die Augen eines Hackers nötig. Denn nur er sieht Schwachstellen, die erst dann auffallen, wenn es zu spät ist. Autonomes Pentesting nutzt die gleichen Methoden wie Hacker, bedingt keine Wartezeiten wie ein Profi-Pentester und lässt sich zudem jederzeit nutzen, um die Infrastruktur laufend zu überwachen.
Ein erfolgreicher Cyberangriff kann nicht nur das Abfließen von Daten bedeuten, sondern auch einen Produktionsstopp nach sich ziehen. Im Extremfall führt dies zur Zahlungsunfähigkeit eines Unternehmens und bedingt so eine Insolvenz. Der Schaden, der zuletzt für die deutsche Wirtschaft durch Angriffe auf IT entstanden ist, liegt laut Bitkom bei 203 Milliarden Euro. Neun von zehn Unternehmen waren davon betroffen und meldeten Datendiebstahl, Spionage und Sabotage. Angreifer gehen dabei immer professioneller vor, sind organisiert und überwachen auch die IT-Security-Branche. So geben etliche Unternehmen regelmäßig Advisories zu aufgefundenen Schwachstellen heraus, die die Angreiferseite im Anschluss sofort ausnutzt. Dabei gilt: Wer zu spät patcht, verliert den Wettlauf mit der Zeit. Der Druck auf IT-Fachkräfte und -Abteilungen ist dementsprechend hoch. Laut einer Bitkom-Umfrage stieg die Zahl freier Stellen für IT-Fachkräfte schon im Jahr 2021 auf 96.000. Dieser Fachkräftemangel setzt IT-Abteilungen von Unternehmen somit zusätzlich stark unter Druck, während die Zahl der auftretenden Sicherheitslücken steigt. Zwar ist mit dem Cyber Resilience Act der EU-Kommission ein Gesetz in Aussicht, das Hersteller von Technik mit digitalen Elementen deutlich mehr in die Pflicht nimmt, doch bis das Gesetz in Kraft tritt, wird noch Zeit vergehen. Hinzu kommt, das Bestandstechnik davon nicht abgedeckt ist, aber ebenfalls geschützt sein muss.
IT-Abteilungen stehen unter Druck
Vulnerability-Management-Tools melden täglich lange Listen priorisierter Schwachstellen, die das IT-Team überprüfen und abarbeiten muss. Die Kapazitäten dazu sind in den meisten Unternehmen aber nicht gegeben. Daher kann das IT-Team nur ein Bruchteil der relevanten Meldungen tatsächlich untersuchen und die zugrunde liegende Schwachstelle beheben. Am wirksamsten im Kampf gegen Angriffe ist dabei der Blickwinkel eines Angreifers: Mit Penetrationstests versuchen IT-Experten durch gezielt ausgeführte Angriffe die Empfindlichkeit von Netzwerken oder IT-Systemen gegenüber Einbruchs- und Manipulationsversuchen festzustellen. Sie verwenden dafür die Methoden und Techniken, die auch die Angreiferseite einsetzt, um ohne Autorisierung und oft auch ohne Spuren in ein System einzudringen. Professionelle Pentester sind jedoch rar gesät – die Dienstleistung ist mit langen Wartezeiten verbunden und meist bleibt es bei einem einmaligen Angriffsversuch, der zwar als Momentaufnahme gelten kann, aber in der schnelllebigen IT-Branche keinesfalls als dauerhafte Absicherung.
Das Eindringen in eine IT-Infrastruktur selbst großer Unternehmen ist denkbar einfach. Dies ergaben umfangreiche Versuche eines Softwareherstellers für autonomes Pentesting. Bei einem Test in einem großen Unternehmen gelang es durch clevere Hacks, die Rechte eines Domänenadministrators zu erlangen und gleichzeitig das geschäftliche E-Mail-System des Unternehmens zu kompromittieren. Die Ausführung des autonomen Pentest-Angriffs dauerte 30 Minuten, der Angriffspfad ist typisch für APTs (AdvancedPersistent Threat) und Kriminelle, die Ransomware einschleusen. Um Security-Fachkräfte zu entlasten, bietet Automatisierung einen deutlichen Gewinn an Effizienz und Zeitersparnis. In der IT-Security gewinnt daher autonomes Pentesting immer mehr Bedeutung – nimmt es doch den Fachabteilungen den Kern der Arbeit ab.
Statt Sicherheitstools einzusetzen, deren Wirksamkeit nicht klar ist, oder wahllos Geräte innerhalb der Infrastruktur zu patchen, basiert autonomes Pentesting auf den neuesten Erkenntnissen aus der Angreiferszene und greift mit deren Handwerkszeug von außen an. Für die moderne Ausführung eines autonomen Pentests benötigt man keine spezielle Hardware oder Expertise: Eine moderne Plattform für autonomes Pentesting greift aus der Cloud an – unter Einhaltung aller Datenschutzrichtlinien in Deutschland und Europa. Eine Betriebsunterbrechung ist nicht nötig, der Test arbeitet wie ein Profi-Hacker und im Zweifel auch am helllichten Tag. Die Software geht dabei genauso vor, wie es ein Angreifer tun würde. Dabei simuliert die Software das Infiltrieren des Systems nicht nur, sondern testet alle bekannten Exploits unter realen Bedingungen.
- Angreifen und angreifen lassen
- Hacken am hellichten Tag
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
