Kapitel 1

Einführung in Schwachstellen- und Penetrationstests

IN DIESEM KAPITEL

• Die Unterschiede zwischen den Zielen ethischer Hacker und bösartiger Angreifer
• Entstehungsgeschichte und Entwicklung von Sicherheitstests
• Gefahren für Computersysteme
• Erste Schritte beim Durchführen von Sicherheitstests

In diesem Buch geht es um das Testen Ihrer Computer und Netzwerke, um Sicherheitslücken aufzuspüren und aufgefundene Schwachstellen zu beheben, bevor die Schurken Gelegenheit bekommen, sie auszunutzen.

Begriffserklärungen

Jeder dürfte bereits etwas von Hackern und böswilligen Benutzern gehört haben. Viele Anwender mussten bereits selbst unter den Folgen krimineller Hackerangriffe leiden. Um wen handelt es sich bei diesen Leuten? Und was sollte man über sie wissen? Die folgenden Abschnitte sollen Ihnen einige grundlegende Fakten über diese Angreifer vermitteln.

Ich verwende in diesem Buch diese Terminologie:

• Hacker (oder externe Angreifer) versuchen, Computer und sensible Daten üblicherweise als Außenstehende und Unberechtigte anzugreifen, um illegale Ziele zu erreichen. Hacker greifen beinahe alle Systeme an, die sie als Angriffsziel für lohnend halten. Einige streben bevorzugt nach Ruhm und Prestige und attackieren gut geschützte Systeme. Generell gilt aber eigentlich, dass der eigene Status in Hackerkreisen steigt, wenn es überhaupt gelingt, in fremde Systeme einzudringen.
• Böswillige Benutzer (externe oder interne Angreifer) versuchen, als berechtigte und »vertrauenswürdige« Benutzer von außen (also Kunden oder Geschäftspartner) oder von innen heraus Computer und sensible Daten zu attackieren. Böswillige Benutzer greifen Systeme an, weil sie illegale Ziele verfolgen oder sich rächen wollen und vielleicht Zugang zu oder spezielle Kenntnisse von Systemen besitzen, die ihnen derartige Angriffe erleichtern.

  Arglistige Angreifer sind allgemein sowohl Hacker als auch böswillige Benutzer. Ich bezeichne beide der Einfachheit halber als Hacker und unterscheide nur dann zwischen Hackern und böswilligen Benutzern, wenn ich mich intensiver mit deren Werkzeugen, Techniken und Denkweisen beschäftigen muss.

• Ethische Hacker (oder »die Guten«) hacken Systeme, um Schwachstellen aufzuspüren und Schutzmaßnahmen gegen unberechtigte Zugriffe aufbauen zu können. Dazu zählen auch IT-Sicherheitsberater und entsprechendes internes Personal.

»Hacker«

Der Begriff Hacker hat zwei Bedeutungen:

• Traditionell basteln Hacker gerne an Software oder elektronischen Systemen herum. Hackern gefällt es, wenn sie herausfinden und lernen, wie Computersysteme funktionieren. Sie lieben es, sich sowohl mechanisch als auch elektronisch neue Möglichkeiten zu erschließen.
• In den letzten Jahren hat der Begriff Hacker eine neue Bedeutung erhalten. Nun versteht man hier darunter jemanden, der arglistig in Systeme eindringt, um für sich selbst Gewinne zu erzielen. Technisch gesehen handelt es sich bei diesen Kriminellen eigentlich um Cracker (Criminal Hackers). Cracker dringen mit böswilligen Absichten in Systeme ein (oder cracken sie). Zu ihren persönlichen Zielen zählen Ruhm, Profit oder auch Rache. Sie ändern, löschen und entwenden kritische Daten und machen großen Einrichtungen und selbst Regierungen und Behörden das Leben schwer.

Es gibt noch weitere Bedeutungen von »Hacken«, weil dieser Begriff mittlerweile für allerlei andere Zwecke entfremdet wurde. Bei einer geht es einfach um das Modifizieren oder Umfunktionieren elektronischer Schaltungen oder auch von Programmen. Vom Sinn her also eigentlich einfach nur so etwas wie »Basteleien«. Wie dem auch sei, lassen Sie sich dadurch nicht verwirren oder auf den Holzweg bringen.

Die guten (White Hat) Hacker mögen es nicht, wenn sie in dieselbe Schublade wie die heimlich operierenden Hacker (Black Hat) gepackt werden. (Falls es Sie interessiert: Die Einteilung in White Hat (weißer Hut) und Black Hat (schwarzer Hut) stammt aus den alten Western im Fernsehen, in denen die Guten immer weiße und die Bösen immer schwarze Hüte getragen haben.) Gray-Hat-Hacker (Hacker mit grauen Hüten) gehören beiden Kategorien an. Heutzutage verbinden die meisten Menschen etwas Negatives mit dem Begriff Hacker.

Viele der bösartigen Hacker behaupten, niemanden zu schädigen, sondern anderen zum Wohle der Gesellschaft zu helfen. Wer's glaubt, wird selig. Heimlich vorgehende Hacker sind die Verbrecher des elektronischen Zeitalters, die die verdienten Konsequenzen für ihr Handeln tragen müssen.

Passen Sie auf, dass Sie nicht versehentlich kriminelle Hacker mit Sicherheitsbeauftragten verwechseln. Diese hacken nicht nur in ehrlichen Interessen, sondern entwickeln auch jene erstaunlichen Werkzeuge, die uns bei der späteren Arbeit unterstützen, stellen sich ihrer Verantwortung und sorgen dafür, dass ihre Ergebnisse und die Quelltexte ihrer Programme veröffentlicht werden.

»Böswillige Benutzer«

Bei böswilligen Benutzern und damit verbrecherischen Angestellten, Vertragspartnern, internen oder sonstigen Benutzern, die ihre Privilegien missbrauchen, handelt es sich um einen Begriff, der in Sicherheitskreisen und in Überschriften zum Thema Datendiebstahl gebräuchlich ist. Hierbei geht es nicht unbedingt um Benutzer, die interne Systeme »hacken«, sondern auch um jene, die ihre Zugangsberechtigungen missbrauchen. Benutzer schnüffeln in wichtigen Datenbanksystemen, um sensible Daten zu sammeln, senden vertrauliche Informationen über Kunden per E-Mail an die Konkurrenz oder ändern oder löschen wichtige Dateien von Servern, zu denen sie eigentlich keinen Zugriff haben dürften.

Mitunter gibt es unschuldige (oder unwissende) interne Mitarbeiter, die zwar keine böswilligen Absichten haben, aber trotzdem Probleme verursachen, weil sie sensible Daten verschieben, löschen oder ändern. Selbst unschuldige Wurstfinger auf der Tastatur können in der Geschäftswelt fatale Konsequenzen haben. Denken Sie an all diese Ransomware-Infektionen, von denen Unternehmen weltweit erpresst und zu Zahlungen gezwungen werden sollen. Zuweilen reicht ein einziger Klick eines unachtsamen Benutzers aus, um Netzwerke ganz oder teilweise lahmzulegen.

Häufig sind böswillige Benutzer die schlimmsten Feinde von IT- und Sicherheitsexperten, weil sie genau wissen, wo sie die wertvollen Daten finden können, und über kein besonderes Computerwissen verfügen müssen, um auf sensible Daten zugreifen zu können. Diese Benutzer besitzen die benötigten Zugangsberechtigungen und ihnen wird von der Geschäftsführung oft blind vertraut.

Und wie sieht es mit Edward Snowden, dem früheren NSA-Beschäftigten (National Security Agency) aus, der seinen Arbeitgeber verraten hat? Das ist ein kompliziertes Thema, auf das ich zusammen mit der Hacker-Motivation in Kapitel 2 eingehen werde. Was Sie auch von Snowden halten mögen, er hat seinen Arbeitgeber hintergangen und seine vertragliche Schweigepflicht gebrochen. Dasselbe ließe sich auch über andere Personen sagen, die aufgrund ihrer Bekanntheit auf einen Sockel gestellt werden.

Wie aus arglistigen Angreifern ethische Hacker werden

Sie müssen sich vor dem Hacker-Schwindel schützen. Sie benötigen einen ethischen Hacker (oder müssen selbst zu einem werden). Ethische Hacker besitzen die benötigten Fähigkeiten, Einstellungen und Werkzeuge eines Hackers, sind aber zudem vertrauenswürdig. Ethische Hacker hacken, um Sicherheitsprüfungen für ihre Systeme so vorzunehmen, wie böswillige Angreifer es wohl machen würden.

Beim ethischen Hacken, das auch als Schwachstellen- und Penetrationstests bekannt ist, werden dieselben Werkzeuge, Tricks und Techniken eingesetzt, die auch von kriminellen Hackern benutzt werden. Allerdings mit einem wesentlichen Unterschied: Ethisches Hacken erfolgt im professionellen Umfeld mit Genehmigung der »Opfer«. Dabei sollen Schwachstellen aus der Perspektive der Gauner aufgespürt werden, um Systeme besser sichern zu können. Schwachstellen- und Penetrationstests gehören zum Programm der Datenverarbeitung und des Risikomanagements, das der laufenden Verbesserung der Systemsicherheit dienen soll. Durch die Sicherheitstests lässt sich auch prüfen, ob Behauptungen von Herstellern hinsichtlich der Sicherheit ihrer Produkte wahr sind.

Ethisches Hacken im Vergleich zur Auditierung

Oft werden Sicherheitstests durch Schwachstellen- und Penetrationstests mit Sicherheitsüberprüfungen (Auditierung) verwechselt, aber da gibt es große Unterschiede. Zu Sicherheitsüberprüfungen gehört ein Vergleich der Sicherheitsrichtlinien von Unternehmen mit den aktuell gültigen Standards (oder Compliance-Anforderungen). Sicherheitsaudits werden durchgeführt, um zu prüfen, ob es Sicherheitskontrollen gibt, wobei üblicherweise risikobasierte Ansätze verfolgt werden. Häufig umfassen...