You are here:
  1. Home
  2. Cyber Security
  3. Methodik
  4. Testvorgehen

Testvorgehen

Unser ausgereiftes und standardisiertes
Vorgehen führt zu präzisen Ergebnissen

Effiziente Prozesse. Verlässliche Ergebnisse.

Ziel

Das Ziel eines Penetrationstests besteht in der Identifikation von sicherheitsrelevanten Schwachstellen in IT-Systemen oder Prozessen der Kundenorganisation, welche die Schutzziele der Vertraulichkeit, Integrität oder Verfügbarkeit von Daten oder Systemen gefährden.

 

Arbeitsergebnis

Im Ergebnis der durchgeführten Analysen erhält der Kunde einen detaillierten Abschlussbericht, in dem sowohl die Schwachstellen detailliert beschrieben als auch konkrete Gegenmaßnahmen zu deren Beseitigung dargelegt sind. Der Bericht enthält weiterhin eine Management-Zusammenfassung zu den Ergebnissen, die ebenfalls Handlungsempfehlungen beinhalten. Der Abschlussbericht wird zum Abschluss des Projekts gegenüber dem Auftraggeber vorgestellt, um ein gemeinsames Verständnis für das Arbeitsergebnis zu erhalten. Weitere Details zum Ergebnisbericht haben wir Ihnen im folgenden Artikel zusammengefasst. Sprechen Sie uns gerne über das Kontaktformular oder via E-Mail an, wenn Sie an einem Beispielbericht der SmartTECS Cyber Security GmbH interessiert sind!

Im Folgenden wird der Prozess der Durchführung von Penetrationstests durch Security Consultants der SmartTECS Cyber Security GmbH beschrieben.

 

Phasen

Der Ablauf eines Projektes gliedert sich in verschiedene Phasen, die sequenziell durchlaufen werden. Das Vorgehen orientiert sich an den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und wurde entsprechend den Projekterfahrungen der Security Consultants der SmartTECS Cyber Security GmbH über mehrere Jahre an das reale Projektgeschehen angepasst und verbessert.

Phase 1: Vorbereitung

In der Vorbereitungsphase des Tests wird gemeinsam mit den relevanten Projektverantwortlichen auf Kundenseite ein Kickoff-Termin absolviert. Dabei werden die Ziele des Penetrationstests definiert und organisatorische Punkte, wie bspw. die Ansprechpartner während der Testdurchführung, der Durchführungszeitraum, die benötigte Zugänge und Anforderungen an den Bericht festgelegt.

Die zu prüfenden Systeme und Anwendungen innerhalb des Untersuchungsumfangs werden dokumentiert, sowie die Systeme und Funktionen bestimmt, die explizit vom Test ausgeschlossen sind.

Abhängig von der Komplexität des Testobjekts erfolgt eine Vorstellung des Systems durch den Auftraggeber. Um das Risiko von Verzögerungen im Projektablauf zu reduzieren, findet wenige Tage vor Testbeginn ein sogenannter Smoketest statt, in dem die Zugänge und Testvoraussetzungen zusammen mit dem Auftraggeber geprüft werden.

Phase 2: Informationsbeschaffung und -auswertung

In der Informationsbeschaffungsphase werden Informationen über die definierten Systeme und/oder IP-Adressbereiche im Geltungsbereich gesammelt, um weitere potenzielle Angriffsvektoren zu identifizieren. Die Informationsbeschaffung wird in eine passive und aktive Phase unterteilt.

Bei der passiven Informationsbeschaffung findet keine direkte Interaktion mit dem Zielsystem(en) statt. Es werden beispielsweise Suchmaschinen im Internet genutzt oder weitere Ziele über die Enumeration von DNS-Subdomänen identifiziert, um zusätzliche Informationen über das Testobjekt zu erhalten.

In der aktiven Phase der Informationsbeschaffung findet eine Interaktion mit den Systemen im Untersuchungsumfang, statt mit dem Ziel Informationen wie eingesetzte Betriebssysteme oder angebotene Dienste im Netzwerk zu beschaffen. Hierbei kommen bspw. Techniken des Portscannings (TCP, UDP, ICMP, ARP) zum Einsatz.

Phase 3: Identifikation von Schwachstellen

In der dritten Phase werden die identifizierten Systeme und Dienste auf das Vorhandensein von Schwachstellen untersucht. Dabei werden öffentlich zugängliche Quellen und Schwachstellen-Datenbanken konsultiert, als auch Schwachstellenscanner oder weitere manuelle Analysen genutzt.

Phase 4: Ausnutzen von Schwachstellen

Zur Verifikation von Schwachstellen und zur Vermeidung von False-Positives im Abschlussbericht findet, ggf. nach Rücksprache mit dem Systemverantwortlichen, ein Ausnutzen der Schwachstelle statt. Dies ermöglicht es Rückschlüsse über mögliche Auswirkungen der Schwachstelle zu ziehen und weitere Angriffspfade auf angebundene Systeme zu identifizieren.

Phase 5: Ergebnisdokumentation und Aufräumarbeiten

In der letzten Phase findet eine Bewertung der identifizierten Schwachstellen hinsichtlich deren Kritikalität und die Dokumentation der Ergebnisse im Abschlussbericht statt. Der Security Consultant definiert gezielte Maßnahmen zur Behebung der Schwachstellen. Eventuell installierte Werkzeuge oder Änderungen an Konfigurationen an den bereitgestellten Systemen werden entfernt bzw. rückgängig gemacht.

Abschließend werden den Ansprechpartnern des Auftraggebers die Ergebnisse präsentiert und Empfehlungen zum weiteren Vorgehen zur Behebung der Schwachstellen gegeben.

Unser Arbeitsergebnis

Im Ergebnis der durchgeführten Analysen erhält der Kunde einen detaillierten Abschlussbericht, in dem sowohl die Schwachstellen detailliert beschrieben als auch konkrete Gegenmaßnahmen zu deren Beseitigung dargelegt sind. Strukturell und inhaltlich unterscheidet sich die Abschlussdokumentation eines Penetrationstest abhängig von der gewählten Testkategorie bzw. -art (bspw. Quellcodeanalyse, Netzwerk- und Infrastrukturtest oder Webapplikationstest). Allerdings halten sich die Abschlussdokumente der SmartTECS Cyber Security GmbH im Bereich des Penetrationstests an die folgende übergeordnete Struktur:

Executive Summary

Die Executive Summary gibt eine Zusammenfassung auf Management Ebene und fasst das Testergebnis auf einer abstrakten Ebene zusammen. Ziel des Kapitels stellt die komprimierte Zusammenfassung der Analyse dar und gibt das Sicherheitslevel des Testobjekts wieder. Der Text richtet sich an Führungskräfte und Entscheider, um eine Entscheidungsgrundlage für die nächsten Schritte einzuleiten.

Ergebnisübersicht

Bei der technischen Übersicht werden die Ergebnisse für Experten tabellarisch zusammengefasst. Zusätzlich werden die resultierenden Maßnahmen bzw. Empfehlungen zu jeder Sicherheitsschwachstelle wiedergegeben. Ziel des Kapitels stellt eine Übersicht der Testergebnisse dar.

Allgemeine Informationen zur Analyse

Das Kapitel Projektübersicht stellt detaillierte Informationen zum Testobjekt, Kategorie sowie der Testmethodik bereit. Ziel des Kapitels ist die Nachvollziehbarkeit der Analyse, um eine zielgerichtete Behebung der Schwachstellen zu ermöglichen. Weiterhin werden im Unterkapitel Methodik die Testschwerpunkte der vorliegenden Analyse dokumentiert, um ein Abgleich des Testumfangs sowie -tiefe zu ermöglichen.

Testergebnis

Schwerpunkt des Abschlussberichts stellen die Ergebnisse der Analyse dar. In diesem Kapitel werden detaillierte Informationen zu den identifizierten Schwachstellen dargelegt. Details zum Aufbau der Testergebnisse werden im Folgenden gegeben.

Anhang

Der Anhang eines jeden Abschlussberichts enthält weiterführende technische Informationen oder selbst-entwickelte Skripts oder Schadcode, um die Nachvollziehbarkeit und den Nachtest der identifizierten Schwachstellen zu ermöglichen. Darüber hinaus werden Informationen zur Einstufung des Sicherheitsniveaus und des Schweregrads der Schwachstellen gegeben.

Testergebnisse

Die Dokumentation der Ergebnisse, die während des Analysezeitraums identifiziert werden, orientieren sich bei der SmartTECS Cyber Security GmbH dem folgenden Schema. Abweichungen finden ausschließlich statt, wenn es die Testart oder Dokumentation erfordert.

Beschreibung

Die Beschreibung legt den Kontext dar, in dem sich die Schwachstelle innerhalb des betroffenen Systems einordnen lässt. Es werden weiterhin Hintergrundinformationen zur Kategorie der Schwachstelle angegeben.

Schweregrad

Der Schweregrad einer Schwachstelle dient der Grundlage für einen organisatorischen Schwachstellenmanagementprozess und kann für eine Priorisierung genutzt werden. Die SmartTECS Cyber Security GmbH orientiert sich hierbei am CVSS-Score (Common Vulnerability Scoring System) und kategorisiert Schwachstellen nach den folgenden Schweregraden: niedrig, mittel, hoch und kritisch.

Ergebnis

Das Ergebnis beschreibt die konkreten Auswirkungen der Ausnutzung der Schwachstelle auf das Testobjekt durch einen Angreifer. Zusätzlich wird ein Proof-of-Concept für den Nachweis der Ausnutzbarkeit der Schwachstelle auf einem sehr technischen Niveau erstellt und dokumentiert. Dieses dient dem Experten zur Reproduktion der Schwachstellen.

Behebung

Die Maßnahmenempfehlung gibt eine detaillierte und konkrete Erklärung zur Behebung der Schwachstelle wieder.

Referenzen

Abschließend werden weiterführende Links und Informationen zu der Schwachstelle bzw. zu deren Behebung zur Verfügung gestellt.