Penetration Testing

"Die Kompetenzen müssen klar geregelt sein"

Uhr | Aktualisiert
von Simon Zaugg

Wie geht ein Unternehmen vor, das seine Website auf Sicherheitslücken testen will? Welche juristischen Fallen gibt es? Was sind die Trends bei den Angriffen? Das hat die Netzwoche den langjährigen Penetration-Tester und IT-Sicherheitsexperten Lukas Ruf von Consecom gefragt.

Lukas Ruf von Consecom hat sich 1998 auf Penetration-Testing spezialisiert und bietet heute weitere IT-Sicherheitsdienstleistungen an. (Quelle: Consecom)
Lukas Ruf von Consecom hat sich 1998 auf Penetration-Testing spezialisiert und bietet heute weitere IT-Sicherheitsdienstleistungen an. (Quelle: Consecom)

Herr Ruf, ganz generell: Wie beurteilen Sie das heutige Sicherheitsniveau von Schweizer Websites?

In den letzten ein bis zwei Jahren ist der Schweizer Markt deutlich reifer geworden, sowohl auf Seiten der Anwender wie auch bei den professionellen Website-Programmierern. Dennoch gibt es nach wie vor eine Zweiklassengesellschaft: In hochsensiblen Branchen, bei denen das Geschäft stark von der Sicherheit der Website abhängt, ist das Bewusstsein für die Gefahren sehr gross. Branchen wie Banken und Versicherungen sind deshalb auf einem guten Niveau. Dagegen sind sich einige KMUs der Gefahren im Web nicht oder wenig bewusst.

Was sind denn die häufigsten Lücken?

Bei den klassischen Angriffen ist es immer wieder das Gleiche: SQL-Injection, schlechte Data-Input-Validierung und Session-Binding-Probleme. Das Ganze verkompliziert sich dadurch, dass die meisten Websites heute dynamisch sind und Social-Media-Anbindungen haben, die auf Javascript und weiteren nativen Interfaces basieren und beliebig viele Input-Variablen haben. Wer hier nicht die Entwicklungen verfolgt und Updates macht, der hat Lücken, die mit Bestimmtheit auch ausgenutzt werden.

Das heisst, Sicherheitsaspekte sollten in Webprojekten relativ früh behandelt werden?

Es ist klar, dass Sicherheit in Webprojekten von Anfang an eine Rolle spielen muss. Erstens geht es darum, in der Betatestphase die wesentlichen Schwachstellen zu prüfen und zu beheben. Zweitens gehört vor dem Going-Live ein Abnahmetest dazu. Das sollte in Projekten sowohl zeitlich wie auch finanziell eingeplant werden.

Was genau macht denn ein Penetration-Tester?

Penetration-Tester liefern eine Überprüfung einer spezifischen Installation, das heisst, einer Version einer Website in einer bestimmten Konfiguration.

Wie sieht der Markt in der Schweiz aus?

Der Markt ist grundsätzlich härter geworden. Ausländische Anbieter drängen vermehrt in den Schweizer Markt, und grössere Consulting-Firmen bieten Penetration-Testing zum Teil auch an. Zudem ist auf dem Heimmarkt selbst weitere Konkurrenz entstanden.

Inwiefern haben sich die Kundenbedürfnisse verändert?

Insgesamt haben wir festgestellt, dass die Auftraggeber eine stärkere Spezialisierung wünschen. Zudem werden vermehrt wieder Standarddienste wie E-Mail-Server oder Lync-Installationen Penetration-Tests unterzogen.

Wie findet ein Unternehmen den "richtigen" Penetration-Tester?

Das ist sehr schwierig. Referenzangaben gibt es in diesem Business nicht, weil es immer um vertrauliche Dinge geht. Viel läuft über Mund-Propaganda, das stellen wir selbst fest. Für Unternehmen, die keine Kontakte oder Empfehlungen haben, sind Informationssicherheitsverbände wie ISSS oder auch OWASP gute Anlaufstellen.

Welche rechtlichen Punkte muss ein Unternehmen besonders beachten, wenn es Penetration-Tester beauftragt?

Hacken darf nur, wer die schriftliche Einwilligung des Website- und Infrastrukturbetreibers hat. Die Kompetenzen müssen klar geregelt sein. Man muss zudem sicher sein, wer der Besitzer der Website ist und wo sie läuft. Wird eine Website zum Beispiel bei einem Dritthoster angeboten, muss nicht nur der Eigentümer der Website, sondern auch dieser Hoster einverstanden sein.

Trotzdem kommt es vor, dass Unternehmen von Hackern unaufgefordert Berichte über Sicherheitslücken bekommen. Wie sollten diese sich verhalten?

Ich würde die Arbeit honorieren und den Hacker belohnen. Google oder Facebook gehen da sehr pragmatisch vor: Sie setzen Prämien aus für Hacker, die Sicherheitslücken finden. Solange es sich nicht um Erpressung handelt, rate ich davon ab, den Hacker anzuklagen. Die Exploits machen diese dann ohnehin weiterhin. Zudem werden sie die Lücken womöglich im Untergrund weiter verbreiten, wodurch das Risiko von erneuten Angriffen steigt.

Kommentare

« Mehr