Pentests: Fusionen, Übernahmen und Expansionen absichern
Das schnelle Wachstum von Unternehmen, sei es durch Fusionen, Übernahmen oder einfach durch Expansion, kann zu unbekannten Schwachstellen führen. Penetrationstests sind der Schlüssel zur Identifizierung dieser Sicherheitslücken.
In der heutigen schnelllebigen Geschäftswelt ist Wachstum oft gleichbedeutend mit Erfolg. Unternehmen streben danach, ihren Marktanteil zu vergrößern, ihr Angebot zu diversifizieren und international präsent zu sein. Doch dieses rasante Wachstum bringt auch Herausforderungen mit sich, vor allem wenn es darum geht, die Informationstechnologie auf dem neuesten Stand zu halten.
IT-Systeme müssen skaliert, integriert und oft in kürzester Zeit aktualisiert werden, um mit der Geschäftsentwicklung mitzuhalten. Das kann zu Situationen führen, in denen IT-Sicherheit als nachrangig betrachtet wird – ein riskantes Unterfangen in einer Zeit, in der Cyberbedrohungen stetig zunehmen.
Das Erbe der Expansion
Jede Expansion, sei es durch internes Wachstum, Fusionen oder durch die Erschließung neuer Märkte, führt zu einem Anstieg der eingesetzten IT-Systeme. Unternehmen sehen sich plötzlich mit einer Vielzahl unterschiedlicher, oft nicht kompatibler Systeme konfrontiert. Viele davon sind maßgeschneidert oder ältere Lösungen, die speziell für bestimmte Geschäftsprozesse entwickelt wurden. Dieser Flickenteppich kann eine echte Herausforderung für die IT-Sicherheit darstellen.
Das vergessene Altsystem
Legacy-Systeme, die trotz Einführung neuerer Technologie weiterhin betrieben werden, sind oft ein konkretes Beispiel für Sicherheitsrisiken in rasant wachsenden Unternehmen. Ein typisches Szenario hierfür sind ältere SAP-Installationen, die oft aus Gründen der Kompatibilität mit spezialisierten Prozessen oder wegen des Archivierungszwangs von Altdaten beibehalten werden.
Diese Systeme gleichen einer verlassenen Industrieanlage, die noch mit alter, potenziell funktionsfähiger Ausrüstung bestückt ist. Diese überholten Systeme, die oft mit einfachen Login-Bildschirmen ausgestattet sind, verfügen nicht über moderne Sicherheitsmerkmale wie Multi-Faktor-Authentifizierung und Verschlüsselung, die heute zum Standard gehören.
Während ihre Software möglicherweise seit Jahren nicht aktualisiert wurde, haben sich die Fähigkeiten der Cyberkriminellen stetig verbessert. Die altgedienten IT-Lösungen, die einst das Rückgrat von Unternehmensabläufen bildeten, könnten sich nun in gefährliche Sicherheitsrisiken verwandeln, wenn sie nicht angemessen geschützt werden.
Das Risiko wird noch dadurch erhöht, dass solche Legacy-Systeme für aktuelle Sicherheitsmaßnahmen oft nicht ausreichend sichtbar sind, da diese für neuere Technologien ausgelegt sind. Unternehmen müssen also gezielte Penetrationstests einsetzen, um die Sicherheit dieser älteren Systeme zu gewährleisten. Nur durch solche spezialisierten Tests lassen sich verborgene Schwachstellen aufdecken und angemessen adressieren, um die IT-Landschaft eines Unternehmens auch in Zeiten des Wandels und Wachstums sicher zu halten.
Die Werkzeuge der Angreifer
Cyberkriminelle nutzen eine Vielzahl von Werkzeugen, einschließlich Open-Source-Intelligence-Tools (OSINT) und eine Fülle von kostenlosen sowie kommerziellen Softwarelösungen, um systematisch nach veralteten Systemen und Sicherheitslücken zu suchen. Sie durchforsten Netzwerke nach der metaphorischen „offenen Tür“ in der IT-Sicherheitsmauer eines Unternehmens.
Solche Werkzeuge ermöglichen es ihnen, weitverbreitete Schwachstellen schnell und effizient zu identifizieren. Ein prägnantes Beispiel dafür ist, wenn man einen eigenen Server mietet und die Serverlogs hinsichtlich der Zugriffe überwacht. Schon innerhalb weniger Minuten nach der Inbetriebnahme können Netzwerkscanner in den Logs identifiziert werden.
Diese Scanner stammen aus dem globalen und weitläufigen Internet und gehören verschiedenen Akteuren, die fortwährend versuchen, die auf dem Server laufenden Dienste zu analysieren und Schwachstellen zu finden. Sobald sie eine Schwachstelle entdeckt haben, nutzen sie diese aus, um Zugang zu erhalten, Daten zu entwenden oder andere schädliche Aktivitäten auszuführen.
Der Wert des Penetrationstests
Penetrationstests – oft als „Pentest“ bezeichnet – sind die gezielte und methodische Vorgehensweise, um IT-Systeme auf Herz und Nieren zu prüfen. Diese Tests ahmen die Taktiken und Methoden echter Angreifer nach, verwenden jedoch das Arsenal eines ethischen Hackers, um Schwachstellen zu identifizieren, bevor Cyberkriminelle oder staatliche Akteure sie ausnutzen können.
Bei einem Penetrationstest sammelt man zunächst Informationen über das Ziel – ein Prozess, der als „Reconnaissance“ bekannt ist. IT-Sicherheitsexperten nutzen dabei öffentlich verfügbare Daten sowie OSINT-Tools, um ein umfassendes Bild des Zielsystems zu erstellen. Die nächste Phase, das „Scanning“, involviert den Einsatz fortgeschrittener Tools wie Nessus oder nmap, um die Systeme nach bekannten Sicherheitslücken zu durchsuchen und zu analysieren. Hierbei werden nicht nur die Schwachstellen selbst identifiziert, sondern auch Informationen über die installierten Systeme und Anwendungen gesammelt.
In der Phase des „Gaining Access“ versuchen die Pentester, in die Systeme einzudringen, indem sie gefundene Schwachstellen ausnutzen. Das kann das Überwinden von Sicherheitsmaßnahmen, das Ausführen von Code oder das Erhalten unerlaubter Zugriffe umfassen. Dabei kommen oft spezialisierte Werkzeuge wie Metasploit zum Einsatz, die es ermöglichen, bekannte Exploits gegen identifizierte Verwundbarkeiten anzuwenden.
Sobald der Zugang erlangt wurde, geht es in der Phase des „Maintaining Access“ darum, diesen Zugriff aufrechtzuerhalten, um zu demonstrieren, wie ein Angreifer dauerhaften Schaden anrichten könnte. In dieser Phase wird auch die Tiefe der Kontrolle beurteilt, die ein Angreifer erhalten könnte, einschließlich des Potenzials für Datenexfiltration und Persistenz im Netzwerk.
Schließlich umfasst das „Covering Tracks“ das Verbergen der Spuren, um zu zeigen, wie ein geschickter Angreifer seine Anwesenheit in einem Netzwerk verschleiern könnte. Das ist von entscheidender Bedeutung, um Sicherheitsteams zu lehren, nach subtilen Anzeichen einer Sicherheitsverletzung zu suchen.
Penetrationstests bieten somit mehr als nur einen simplen Sicherheitscheck; sie liefern eine detaillierte Analyse von Schwachstellen und Risiken. Sie ermöglichen es den Unternehmen, proaktiv Maßnahmen zur Stärkung der Sicherheitsarchitektur zu ergreifen und sowohl alte als auch neue Elemente der IT-Landschaft gegen die immer raffinierteren Angriffstechniken zu wappnen.
Es ist eine kontinuierliche Übung im Wettlauf um IT-Sicherheit, die eine strategische Planung, eine gründliche Durchführung und eine detaillierte Nachbereitung erfordert, um die Sicherheitslage eines wachsenden Unternehmens effektiv zu verwalten und zu verbessern.
Ein Aufruf zur Wachsamkeit
In unserer vernetzten Welt, wo das rasante Unternehmenswachstum oft zu einer undurchsichtigen IT-Landschaft führt, dürfen wir uns nicht der Illusion hingeben, dass Verwirrung auf unserer Seite gleichbedeutend mit Unklarheit aufseiten der Angreifer ist. Tatsächlich ist es so, dass gerade die Systeme oder Dienste, die einem Unternehmen aus den Augen geraten sind, von Webcrawlern und -scrapern, die unermüdlich das Internet durchforsten, schnell aufgespürt werden können.
Diese Tools sind darauf ausgelegt, genau jene vernachlässigten oder vergessenen Elemente zu finden und auszubeuten. Deshalb ist es umso wichtiger, dass Unternehmen einen klaren Überblick behalten und sich kontinuierlich um die Sicherheit jedes einzelnen Teils ihrer digitalen Infrastruktur kümmern. Indem sie in effektive Sicherheitsmaßnahmen investieren, schützen sie nicht nur ihre eigenen Ressourcen, sondern auch das Vertrauen ihrer Kunden und die Integrität ihrer Geschäftsprozesse.
Mert Sendur ist Assistant Manager, Consulting – Cyber Security bei der KPMG AG Wirtschaftsprüfungsgesellschaft.