Immer wieder kursiert die bekannte Aussage: „Kein System ist zu 100 Prozent sicher“. Diese Aussage ist wahlweise von der IT-Abteilung, dem IT-Dienstleister oder auch dem Berater zu hören. Oft genug klingt dieser Satz dabei wie eine Absicherung. Natürlich ist diese Aussage korrekt. Bei komplexen IT-Systemen ist es kaum möglich, eine 100 prozentige Sicherheit zu gewährleisten. Zumindest nicht, wenn mit dem System produktiv gearbeitet werden soll.
Jeder unserer Berater würde genau diese Aussage bestätigen. Trotzdem lohnt es sich, diese scheinbare Tatsache auf den Prüfstand zu stellen.
Ausgehend von dieser Aussage drängen sich zwei Fragen auf:
- Warum gibt es keine 100 prozentige Sicherheit?
- Und wie hoch ist das vorhandene Sicherheitsniveau wirklich?
Die erste Frage wurde bereits in diversen Fachveröffentlichungen und auch in allgemeinen Medien mehr oder weniger umfassend betrachtet. Die Antwort ist gleichwohl komplex als auch unbefriedigend.
Die Entwicklungszyklen moderner IT-Systeme sind derart kurz oder agil, dass die Hersteller nicht in der Lage sind, ihre Produkte umfassend zu testen und auf mögliche Sicherheitslücken zu überprüfen. Die zunehmende Komplexität von IT-Systemen sowie veränderte Arbeitsweisen bei der Entwicklung, wie z.B. verteilte Teams, sind vielleicht nicht die Hauptgründe, sollten aber nicht unerwähnt bleiben.
Und selbst wenn die Hersteller ihr Produkte umfassend testen würden, dann ist der Einsatz in jedem Unternehmen individuell. Ein Hersteller kann weder die unzähligen Kombinationen aus Hard- und Software kennen, noch berücksichtigen. Auch wenn es sich oft um Standardsysteme handelt, so setzt doch jedes Unternehmen die IT-Systeme in einer ganz individuellen Konfiguration und Umgebung ein. Um diesen Kurzüberblick abzurunden, muss natürlich der Faktor Mensch Erwähnung finden. Uns allen passieren Fehler. Eine unbekannte E-Mail wird geöffnet, ein Link wird geklickt oder eine Meldung wird nicht bis zum Ende gelesen. Jede dieser Handlungen kann die Sicherheit eines Systems massiv beeinflussen.
Zusammenfassend sind viele Gründe dafür verantwortlich, dass Systeme nicht zu 100 Prozent sicher sind. Und auch wenn diese Gründe nicht gefallen, so müssen sie doch akzeptiert werden.
Die zweite Frage nach dem vorhandenen Sicherheitsniveau ist aus den soeben aufgeführten Gründen für jedes Unternehmen, sogar für jedes System, individuell. Erschwerend kommt der zeitliche Faktor hinzu. Das Sicherheitsniveau ist alles andere als konstant. Konfigurationen ändern sich laufend, Systeme werden an neue Anforderungen angepasst und jedes Update kann die Situation wieder verändern.
Ähnlich wie bei uns Menschen müssen IT-Systeme regelmäßig geprüft werden. Ist ein Mensch sich bzgl. seines Gesundheitszustandes unsicher, geht er zum Arzt seines Vertrauens und lässt sich durchchecken. Auch ohne akute Symptome wird der Arzt nach dem Risikoprinzip individuelle und auf den Patienten zugeschnittene Tests durchführen. Raucher erhalten sicherlich eine andere Überprüfung als Nichtraucher und Leistungssportler wiederrum andere Tests als unsportliche Personen.
Der Check des Arztes ist sozusagen der Penetrationstest (Pentest) bei IT-Systemen. Auch bei einem solchen Test wird nach dem Risikoprinzip vorgegangen. Je nach System werden unterschiedliche Prüfungen zusammengestellt. Der Pentest eines Webservers unterscheidet sich bspw. deutlich von dem eines Datenbankservers. Die Prüfung sollte dabei so individuell wie möglich sein.
Ein Pentest berücksichtigt alle denkbaren Gründe für unsichere Systeme, insbesondere aber die in diesem Artikel dargestellten. Er überprüft die Sicherheit des konkreten Systems in der individuellen Konfiguration und Umgebung unter Berücksichtigung des Faktors Mensch und den möglichen Sicherheitslücken des Herstellers.
Ebenso wie bei einem Arzt gilt auch bei einer solchen Prüfung: Je mehr Zeit investiert und je mehr Tests durchgeführt werden, desto mehr Ergebnisse resultieren daraus. Ein Pentest muss immer individuell durchgeführt werden. Ein automatischer Security-Scan zählt nicht zu einem solchen Test und hat eine vollkommen andere Ausrichtung. Natürlich werden entsprechende Tools genutzt, aber die Interpretation der Ergebnisse kann keine Software zuverlässig übernehmen. Insbesondere müssen Ergebnisse aus mehreren Tools sowie von manuellen Tests korreliert werden. Hier hilft nur viel Erfahrung und ein hohes technisches Know-how über die Systeme und Methoden.
Dabei muss berücksichtigt werden, dass ein Pentest immer mit beschränkten Ressourcen durchgeführt wird. Es gibt Grenzen bei der zur Verfügung stehenden Zeit sowie bei den technischen Ressourcen. Dies gilt in der Regel aber nicht für professionelle Angreifer. Hier spielt die Zeit meist keine Rolle und finanzielle und technische Ressourcen sind oftmals umfassend verfügbar. Für wenige Dollar sind ganze Bot-Netze im Internet zu mieten. Solche Methoden würde ein Pentester aber niemals anwenden.
Es gibt noch eine weitere Analogie: Das beste Ergebnis bei einem Arzt ist, wenn nichts gefunden wird. Das gleiche gilt für einen Pentest. Sicherlich bedeutet das Ergebnis weder bei einem Arzt, dass ein Patient vollkommen gesund ist, noch bei einem IT-System, dass es vollkommen sicher ist. Aber das Resultat ist eine Einschätzung der Sicherheit. Sie bewegt sich folglich nicht mehr zwischen 0 und 100 Prozent, sondern kann eingeschränkt werden.
Die Auswahl der zu testenden Systeme ist eine wichtige Grundlage für jeden Test. Langjährige Erfahrung und eine gute Vorbereitung ermöglichen eine umfassende Bewertung. Der Best-Practice-Ansatz empfiehlt selbstverständlich alle extern erreichbaren Systeme zu überprüfen. Dabei sollten interne Systeme aber nicht vergessen werden. Angriffe auf die IT werden selten auf offensichtliche Ziele ausgeführt.
Ein erfolgreicher Angreifer wird sich eher den sekundären Zielen widmen. Die Chance, dass hier nicht entdeckte Sicherheitslücken vorhanden sind, ist deutlich größer und daher vielversprechender. Wenn Unternehmen eine belastbare Einschätzung ihres technischen Sicherheitsniveaus benötigen, werden sie einen Pentest nicht vermeiden können. Nur ein solcher Test kann die konkrete Sicherheit eines Unternehmens unter Berücksichtigung aller individuellen Besonderheiten bewerten. Er fungiert als die Vorsorgeuntersuchung für die eigene IT. Regelmäßige Überprüfungen der IT-Systeme helfen kritische Sicherheitslücken zu finden und diese zu beheben, bevor es zu schwerwiegenden Problemen kommt.
Sowohl der Arzt als auch der Pentester sagen: Wir sollten uns regelmäßig wiedersehen.