Viele Neukunden wenden sich an uns, um einen externen Penetrationstest durchführen zu lassen. Im Scope-Gespräch wird für uns oft aber schnell klar: der Kunde braucht eigentlich einen internen Test. In diesem Artikel wollen wir klären, was ein externer Penetrationstest überhaupt leisten kann und wann ein interner Test sinnvoller wäre.
Ein typischer externer Test
Zunächst ist es wichtig zu verstehen, worum es bei einem Penetrationstest eigentlich geht. Das tieferliegende Ziel ist es, die schützenswerten Daten des Kunden abzusichern. Ein Penetrationstest trägt zu diesem Ziel bei, indem bestehende Schwachstellen identifiziert werden, damit diese geschlossen werden können.
Bei einem externen Penetrationstest testen wir dabei die exponierten Dienste des Kunden, also die Systeme im Netz des Kunden, die von außen erreichbar sind. Dies scheint also auf den ersten Blick der sinnvollste Test zu sein, da ein Angreifer ja auch von außen angreift.
Wenn wir einen externen Penetrationstest durchführen, haben wir oft ein sehr ähnliches Bild. Der Kunde hat fast keine Dienste nach außen exponiert. Alle kritischen Dienste werden nur im internen Netz bereitgestellt oder es wird direkt auf Clouddienste zurückgegriffen. Teilweise sehen wir von außen lediglich einen VPN-Tunnel ins interne Netz.
Schwachstellen finden wir in einem solchen Fall natürlich wenige bis gar keine und ins interne Netzwerk können wir erst recht nicht gelangen. Der Kunde ist also gut aufgestellt, oder?
Leider ist dies eine Fehlannahme, denn die exponierten Serverdienste sind nicht der einzige Weg für einen Angreifer ins interne Netzwerk. Noch viel wichtiger ist der Faktor Mensch.
Andere Wege ins interne Netz
Phishing-Mails sind mittlerweile das häufigste Einfallstor für Cyberangriffe, und das zeigen auch die üblichen Klickraten bei unseren Phishing-Kampagnen. Bei besonders “guten” Phishing-Kampagnen kann es durchaus vorkommen, dass über die Hälfte der Belegschaft auf einen bösartigen Link klickt.
Auch in der am besten geschulten Belegschaft wird es früher oder später passieren, dass jemand auf eine Phishing-Mail hereinfällt. Dies liegt in der Natur des Menschen und lässt sich nicht vermeiden.
Zudem muss man sich darüber im Klaren sein, dass ein Penetrationstest nur eine Momentaufnahme darstellt. Angreifer reagieren mittlerweile innerhalb weniger Tage oder sogar Stunden auf neue Schwachstellen und greifen potentielle Opfer an. Ein Penetrationstest, der schon Monate zurück liegt, bringt dann natürlich nichts.
Das interne Netz als Fokus
In der aktuellen IT-Sicherheitslandschaft muss man also damit planen, dass ein Angreifer irgendwann Zugriff auf das interne Netzwerk erlangt. Das IT-Sicherheitsniveau im internen Netzwerk muss also genauso hoch sein wie bei den exponierten Diensten.
Dieses sogenannte Defense-in-Depth-Prinzip kann mit folgender Analogie verdeutlicht werden: Auch wenn Sie einen Zaun um Ihr Haus gebaut haben, würden Sie trotzdem immer Ihre Haustür abschließen.
In unseren internen Tests sehen wir allerdings meist das genaue Gegenteil. Statt einer abgeschlossenen Tür finden wir eher ein offenes Scheunentor vor. Wenn ein Unternehmen noch nie einen internen Penetrationstest durchgeführt hat, rechnen wir ehrlichgesagt damit, dass wir am ersten Testtag das gesamte Netzwerk übernehmen.
Die Gründe dafür sind immer die gleichen: Unsichere Default-Konfigurationen in Windows, Altlasten aus 20 Jahren IT-Betrieb, schlechter Umgang mit Passwörtern oder fehlende Updates.
Wenn wir diese Schwachstellen identifizieren und in einem strukturierten Report mit praktikablen Maßnahmenempfehlungen aufbereiten, können wir dem Kunden einen wesentlich höheren Wert bieten als mit einem externen Test.
Ein externer Penetrationstest kann ein wichtiger Teil Ihrer IT-Sicherheitsstrategie sein, insbesondere wenn Sie viele Serverdienste nach außen exponieren. Für die allermeisten Kunden hat ein Test der internen Infrastruktur aber mit Abstand den größten Wert und sollte priorisiert werden.
In einem Scope-Gespräch finden wir gerne gemeinsam mit Ihnen heraus, welche Art von Penetrationstest am besten zu Ihnen passt.