Aussagekraft von Penetrationstest

Nachdem wir gelernt haben, wie Hacker arbeiten und wie wir einen Hackerangriff klassifizieren, stellt sich die Frage, was die Simulation solcher Angriffe leisten kann, wenn doch absolute Sicherheit eine Wunschvorstellung zu sein scheint? Um diese Frage beantworten zu können, müssen wir uns zunächst dem Sicherheitsbegriff widmen. Von der Allgemeinheit wird Sicherheit gerne als Zustand gesehen. Wie oft wurde dir beispielsweise schon die Frage gestellt, ob ein IT-System sicher ist? Die Antwort auf diese Frage kann hierbei nur „nicht sicher“ lauten. Andernfalls wären wir wohl stets von Nervosität geplagt, ob in Zukunft nicht doch noch ein Sicherheitsvorfall eintritt. Im Umkehrschluss bedeutet dies aber nicht, dass die eigene IT offen wie ein Scheunentor stehen muss. Die Frage an sich ist lediglich nicht geschickt formuliert. Denn statt nach dem Ob sollte eher danach gefragt werden, wie sicher ein IT-System ist, wenn doch absolute Sicherheit nicht existiert. Wie du sehr wahrscheinlich schon bemerkt hast, kann aus dieser Formulierung entnommen werden, dass Sicherheit kein Zustand ist, sondern vielmehr einen Prozess darstellt. Folglich gilt demnach auch der Leitsatz: Je mehr Aufwand betrieben wird, desto sicherer kann ein IT-System entwickelt bzw. in unserem Sinn überprüft werden. Die Aussagekraft von Pentests korreliert daher mit dem verbundenen Zeiteinsatz des Penetration-Testers.

Bei einer Gegenüberstellung der Aussagekraft und des Zeiteinsatzes kann die absolute Sicherheit nicht überschritten, sondern nur angenähert werden. Mathematisch ausgedrückt, liegt hier ein beschränktes Wachstum zugrunde, welches im folgenden Diagramm dargestellt wird.

Dem Diagramm kann eine weitere essenzielle Erkenntnis entnommen werden: Die Kurve steigt genauso schnell an, wie sie auch wieder abnimmt. Versetzen wir uns beispielsweise schon einmal in die Rolle eines Pentesters. Bei der Untersuchung eines IT-Systems können wir relativ schnell eine Aussage treffen, ob ein System katastrophal unsicher ist oder nicht. Hierfür müssen wir nur im Internet nach bekannten Schwachstellen der installierten Dienste suchen. Eine tiefere Analyse hingegen erfordert wesentlich mehr Zeit. Unter anderem könnten wir versuchen, eigenständig bislang unveröffentlichte Schwachstellen zu finden, und entsprechende Programme zu deren Ausnutzung erstellen. Theoretisch könnten wir also unser Leben mit der Durchführung eines einzigen Pentest verbringen. Im Normalfall werden wir aber den Aufwand so kalkulieren, dass wir zumindest eine Aussage treffen können, ob unser Zielsystem grundsätzlich auf einem professionellen Sicherheitsniveau aufgesetzt bzw. entwickelt wurde oder nicht. In unserem Schaubild wird dieses Verhältnis durch den grünen Stern abgebildet und orientiert sich hierbei am Pareto-Prinzip. Dieses besagt, dass 80 % der Ergebnisse mit 20 % des Gesamtaufwandes erreicht werden können.

Es gehört daher zu den Aufgaben eines jeden Penetration-Testers, bei der Erstellung seines Angebots eine Aufwandschätzung durchzuführen. Dabei gilt natürlich: Je mehr Informationen zugrunde liegen, desto genauer die Schätzung. Folglich können für Pentests im Allgemeinen keine festen Aufwände existieren, sondern der Aufwand ergibt sich in Absprache mit dem Auftraggeber.

Zusammenfassend lässt sich sagen, dass bei einem Pentest mindestens alle einfach zu entdeckenden Schwachstellen (low-hanging fruits) identifiziert und somit allen Angreifern auf dem Niveau eines Script-Kiddies keine Chancen mehr gelassen werden. Folglich erhöht sich der Aufwand eines Angreifers um den Aufwand, den der Pentester investiert hat. Auf den Punkt gebracht, zeigt ein Pentest eine absolut aussagekräftige Richtung dafür an, ob ein Zielsystem bzw. eine Zielanwendung grundsätzlich auf professionellem Security-Niveau aufgesetzt bzw. entwickelt worden ist.

Notiere deine Zeiten, welche du im Verlauf des Lehrganges mit der Durchführung des Pentests von Dubius Payment Ltd. investierst. Diese können dir als Referenzwerte für vergleichbare Aufwandschätzungen dienen. Eine Aufwandschätzung hätte beispielsweise auf Basis einer Netzwerkbeschreibung (Anzahl der IT-Systeme) und eines kurzen Blicks in das DMZ-Netz von Dubius Payment Ltd. geschehen können.