Wenn es um Unternehmenssicherheit geht, sind Penetrationstests essenziell. Denn sie sind eine wirkungsvolle Möglichkeit, Schwächen in der Cyberabwehr einer Organisation sicher und kontrolliert aufzudecken.
Gastbeitrag von Tod Beardsley, Forschungsdirektor, Rapid7
Im vergangenen Jahr haben wir die Ergebnisse von über 250 Penetrationstests gesammelt. Das waren hauptsächlich externe Tests, in denen wir die Rolle eines Hackers spielten, um Zugang zu den Netzwerken und Systemen der Organisation zu erhalten. Das Ergebnis? Bei 84% der Aufträge konnte mindestens eine Schwachstelle erfolgreich ausgenutzt werden. Bei Organisationen, bei denen interne Penetrationstests durchgeführt wurden (zum Beispiel durch die Nutzung ihres Wi-Fi‘s oder eines digitalen Zugangs in ihrem Gebäude), stieg diese Prozentzahl auf 94%.
Bei den 250 Penetrationstests konnten einige Trends festgestellt werden. Denn wenn es um Cybersecurity geht, verfolgen die meisten Organisationen ähnliche Strategien.
Unternehmen nehmen die Insiderbedrohung endlich ernster
Im Jahr 2017 konzentrierten sich nur 21% der Penetrationstests-Aufträge ausschließlich interne Bedrohungen, 2018 waren es immerhin schon 32%. Es ist klar, dass Unternehmen einer größeren Anzahl externer Bedrohungen ausgesetzt sind als von internen. Aber auch interne Abwehrsysteme dürfen nicht vernachlässigt werden. Denn die Folgen von Mitarbeiteraktionen – ob bösartig oder nicht – können oft monatelang unbemerkt bleiben. Es gibt nur wenige Technologien, die genau erfassen, was ein legitimer Mitarbeiter in einem Netzwerk tut, wenn er sich anmeldet. Aber angesichts der aktuellen Häufigkeit von öffentlichen Beiträgen über hochkarätige, auf interne Fehler zurückzuführende Angriffe schenken Unternehmen diesem Problem heute mehr Aufmerksamkeit.
Doch auch Software-Schwachstellen zu entdecken ist eine der Hauptaufgaben von Penetrationstests. 2018 nahm die Anzahl der gefundenen Schwachstellen deutlich zu. Zu 84% konnte durch die Ausnutzung einer Schwachstelle die Kontrolle über eine kritisch vernetzte Ressource erlangen werden. 2017 waren es nur 68%. Tatsächlich ist diese Entwicklung nicht überraschend. Denn leider steigt mit zunehmender Komplexität und Vernetzung von Softwarecode und Systemen die Wahrscheinlichkeit auf nahezu 100%, dass solche Schwachstellen entstehen.
Was jedoch überraschte, waren die Schwachstellenarten, die aufgedeckt wurden. Da die meisten Angriffe von extern ausgeführt werden, war ein Übergewicht an webbasierten Schwachstellen zu erwarten: Cross-Site-Scripting (XSS), Cross-Site-Request-Forgery (CSRF) und SQL-Injektion (SQLi). Dies war jedoch nicht der Fall. Die Penetrationstester berichteten, dass sie neben den genannten vor allem auf „andere Schwachstellen“ stießen (die hier nicht genannt werden können), normalerweise in Kombination mit mindestens einer der genannten Schwachstellenkategorien. Aber klar ist, dass Netzwerk-Fehlkonfigurationen ein ernsthaftes Problem sind. Sie beruhen in der Regel auf Implementierungsfehlern der IT-Mitarbeiter einer Organisation. Die Penetrationstester konnten zwar in etwa 84% der Fälle Software-Schwachstellen ausnutzen, doch die Quote der Nutzung von Fehlkonfigurationen war mit 80% nur wenig geringer.
Die am weitesten verbreitete Fehlkonfiguration ist die sogenannte „Service-Misconfiguration“. Dabei handelt es sich in der Regel um Network Services mit einer Standardkonfiguration, die für das jeweilige Netzwerk nicht geeignet ist, oder sie ist so konfiguriert, dass einige Security Features deaktiviert wurden. Wenn beispielsweise ein Kryptografie-Service einen Rückgriff auf einen schwachen, leicht zu knackenden Verschlüsselungsalgorithmus zulässt, dann ist das eine Fehlkonfiguration. Es kann zwar sein, dass diese Funktionalität tatsächlich beabsichtigt war, doch leider ignoriert sie aktuelle Sicherheitsstandards.
„Unternehmenssicherheit bleibt ein ständiger Kampf.“
Autor Tod Beardsley
Als Forschungsdirektor bei Rapid7 verfügt er über mehr als 20 Jahre praktisches Sicherheitswissen und Erfahrung. Er war in IT-Operations und IT-Sicherheitspositionen in großen Organisationen wie 3Com, Dell und Westinghouse tätig. Heute spricht Beardsley oft auf Sicherheits- und Entwicklerkonferenzen.
Anmeldedaten waren einfach zu erbeuten und zu erraten
In Aufträgen, in denen die vernetzten Ressourcen der Organisation Teil des Aufgabenbereichs waren, konnten die Penetrationstester in 53% aller Fälle die Anmeldeinformationen erfolgreich kompromittieren. Der Angreifer konnte mindestens einen autorisierten Benutzer im Netzwerk nachahmen. Die meisten der kompromittierten Anmeldeinformationen stammten aus dem Cache und aus den Auflistungen von Gruppenmitgliedschaften. Oft jedoch konnten die Passwörter einfach erraten werden, weil sie so schwach waren.
Gebräuchlich sind besonders drei Passwort-Arten. Das erste Passwort kann schnell erraten werden, denn es ist: „Password“. Davon gibt es dann viele Varianten: Password1, Password123, Password2, Password1! und viele andere. Bei Passwörtern mit diesem populären Muster ist Password1 das häufigste. Generell ist das Passwort „Password“ samt aller Variationen und einigen kleinen Dekorationen das häufigste Passwortmuster mit etwa 3% aller Passwörter.
Das nächste Passwortmuster ist vielleicht nicht so offensichtlich, aber wenn man an den Denkprozess des Benutzers denkt, macht es Sinn. Die gängigsten Firmen-Passwortrichtlinien verlangen, dass die Mitarbeiter das Passwort etwa alle drei Monate ändern. Und was ändert sich noch alle drei Monate? Die Jahreszeit! Viele Menschen haben ein System „erfunden“, bei dem sie ein Passwort verwenden, das leicht zu merken ist und sich nie wiederholt, da sie einfach die aktuelle Jahreszeit wählen und das Jahr anhängen: Winter2018, Summer2017! und Spring16! Etwa 1,4% aller Passwörter entsprechen diesem Muster.
Das dritte Passwortmuster ist kein bestimmtes Wort, aber das häufigste Muster aller Passwörter: der Name des Unternehmens. Knapp 5% aller Passwörter entsprechen dieser Form: Sie enthalten den Firmennamen und dann Variationen ähnlich wie bei „Password“. Beispiele sind Firma123!, Firma1, C0mp@ny1 und Firma2018. Während also „Password“ das häufigste Passwortmuster in unserem Datensatz ist, gehört die Dekoration des Unternehmensnamens als Passwort zur meist verwendeten Strategie.
Damit sind fast 10% aller Passwörter gemäß den oben aufgeführten Passwortarten ganz einfach zu erraten. Für professionelle Hacker ist das ein Kinderspiel.
Aus Penetrationstests lernen
Diese Ergebnisse sollten für Unternehmen alarmierend sein – nicht zuletzt, weil Penetrationstests eine zeitlich begrenzte Methode zur Aufdeckung von Schwachstellen sind. Sie haben in der Regel ein Start- und Enddatum, was bei Kriminellen selten der Fall ist. Noch dazu wissen die Organisationen bei Penetrationstests natürlich, dass sie im Begriff sind, gehackt zu werden. Das bedeutet, sie sind während dieses Zeitraums in höchster Alarmbereitschaft. Hacker sind nicht durch solche Restriktionen eingeschränkt und werden es wahrscheinlich sogar noch einfacher finden als die Tester, Unternehmenssysteme zu kompromittieren.
Tatsächlich hat jede Organisation irgendwo Sicherheitsschwachstellen und es entstehen auch immer wieder neue. Die Verbesserung der Cybersicherheit beginnt damit, dass diese Tatsache als erstes akzeptiert wird und dass dann die notwendigen Schritte unternommen werden, die Schwachstellen immer wieder zu verifizieren und sie anschließend so weit wie möglich zu beseitigen. Unternehmenssicherheit bleibt ein ständiger Kampf.
Aufmacherbild / Quelle / Lizenz
