Risikobewertung von identifizierten Schwachstellen
Es kann sehr fesselnd sein, in der Rolle eines Angreifers in fremde IT-Systeme einzudringen. Wir sollten dabei jedoch nie unser eigentliches Ziel aus den Augen verlieren: die Identifikation aller Einstiegspunkte bzw. Sicherheitslücken unserer Zielsysteme. Die Liste von Schwachstellen kann sehr lang und unübersichtlich werden. Um unserem Auftraggeber aber mitzuteilen, welche Schwachstellen er zuerst adressieren bzw. beheben sollte, müssen wir die ermittelten Schwachstellen nach ihrem Risiko ordnen. Das Risiko einer Schwachstelle können wir dabei aus ihrer Eintrittswahrscheinlichkeit bzw. der Wahrscheinlichkeit ihrer Ausnutzung und aus dem zu erwartenden Schadensausmaß ableiten.
Grundsätzlich stehen uns zwei Möglichkeiten zur Verfügung, um das Risiko einer Schwachstelle darzustellen. Wir können entweder einen konkreten Zahlenwert ermitteln (bspw. 1.034,99 €) oder eine Aussage über die Schwere des Risikos treffen (wie gering, mittel, hoch). Der konkrete Zahlenwert ist das Ergebnis einer quantitativen Risikoanalyse. Diese eignet sich beispielsweise zur Bestimmung des Risikos eines Festplattenausfalls, da Festplatten einen konkreten Preis und eine durchschnittliche Lebensdauer haben. Im Gegensatz dazu liegen uns bei Schwachstellen von IT-Systemen normalerweise nicht genug Informationen dieser Art vor, sodass diese Form der Risikoanalyse für einen Pentester nicht empfehlenswert ist. Stattdessen können wir aber eine qualitative Risikoanalyse vornehmen, da wir immer Aussagen über die Eintrittswahrscheinlichkeit und das mögliche Schadensausmaß einer Schwachstelle treffen und somit die Schwere des Risikos abschätzen können.
Natürlich wird eine SQL-Injection instinktiv immer ein höheres Risiko zugewiesen bekommen als eine PHPInfo-Seite. Wie wird aber beispielsweise das Risiko einer SQL-Injection im Vergleich zu einer Cross-Site-Scripting-Schwachstelle zu sehen sein? Für eine nachvollziehbare Schwachstellenpriorisierung benötigen wir ein Bewertungsschema, welches die Eintrittswahrscheinlichkeit und das mögliche Schadensausmaß von Schwachstellen in Schweregrade unterteilt und einer Risikoangabe zuordnet:
Eintrittswahrscheinlichkeit
[ Hoch ] Die Schwachstelle ist offensichtlich oder Exploits sind frei verfügbar.
[ Mittel ] Die Schwachstelle ist in angemessener Zeit zu entdecken, Exploits müssen eventuell angepasst werden.
[ Gering ] Die Schwachstelle ist aufwendig zu finden und Exploits müssen erstellt werden.
Mögliches Schadensausmaß
[ Hoch ] Verletzung der Sicherheitsziele in Bezug auf Informationen oder IT-Systeme
[ Mittel ] Umgehung von Schutzmechanismen
[ Gering ] Informationslücke
Risiko = max( Eintrittswahrscheinlichkeit, Schadensausmaß)
Das obige Beispielschema stuft den höchsten Schweregrad aus der Ermittlung von Eintrittswahrscheinlichkeit und Schadensausmaß (gering, mittel, hoch) als das Risiko einer Schwachstelle ein. Betrachten wir einmal folgendes Szenario: Eine fehlerhafte Autorisierung erlaubt es, als Merchant über direkte Seitenaufrufe administrative Änderungen im Backend des Payment-Gateways der Dubius Payment Ltd. vorzunehmen. Für eine Ausnutzung der Schwachstelle wären somit Kenntnisse der administrativen Oberfläche im Backend notwendig, mittels derer die Schwachstelle in angemessener Zeit gefunden werden könnte (mittlere Eintrittswahrscheinlichkeit). Da unautorisiert administrative Änderungen vorgenommen werden können, werden Sicherheitsziele wie die Integrität von Daten verletzt (hohes Schadensausmaß). Folglich wäre diese Schwachstelle mit einem hohen Risiko zu bewerten, da der Schweregrad vom Schadensausmaß (hoch) den Schweregrad der Eintrittswahrscheinlichkeit (mittel) überwiegt.
Wie bewertest du unser Beispielschema zur Risikobewertung von Schwachstellen? Findest du vielleicht Schwachstellen der Dubius Payment Ltd., welche nach unserem Schema eine zu hohe Bedeutung erhalten würden, und kannst es zweckmäßig anpassen?
Unterartikel
Pentest Training
Werfen Sie einen Blick auf die Kapitel vom Pentest Training und lernen Sie Pentesting:
- Vorwort
- Einführung
- Rechtliche Rahmenbedingungen
- Hacking vs. Penetration-Testing
- Klassifizierung
- Aussagekraft von Penetrationstest
- Penetration-Testing-Standards
- Der Hacking-Leitfaden
- Hacking I: Scannen von Netzwerken
- Hacking II: Passwortangriffe
- Hacking III: Webanwendungsangriffe
- Hacking IV: Privilegienausweitung
- Hacking V: Tunnel-Techniken
- Hacking VI: Vulnerability-Scanner und Penetration-Testing-Frameworks
- Vorführung eines Pentests
- Risikobewertung von identifizierten Schwachstellen
- Aufbau Dokumentation und Berichterstellung
- Plauderei aus dem Nähkästchen: Insights von Dubius Payment Ltd.
binsec academy GmbH - Online IT Security Training with Practical Focus
Die binsec academy GmbH ist ein Anbieter von praxisorientierten Online-Trainings im Bereich IT-Sicherheit. Das Schulungsangebot umfasst unter anderem Penetration Testing und sichere Softwareentwicklung. Die Teilnehmer lernen in realitätsnahen Laborumgebungen, die typische IT-Infrastrukturen und Anwendungen simulieren. Die Kurse beinhalten anerkannte Standards wie den OWASP Top 10 und PCI DSS und sind in mehreren Programmiersprachen verfügbar. Nach erfolgreichem Abschluss erhalten die Teilnehmenden Zertifikate wie den Binsec Academy Certified Pentest Professional (BACPP) oder den Binsec Academy Certified Secure Coding Professional (BACSCP), die ihre praktischen Fähigkeiten zur Erkennung und Behebung von Sicherheitslücken belegen.
Gehe zu binsec acadmy GmbH

binsec GmbH – Experten für Penetrationstests
Die binsec GmbH ist ein deutsches IT-Sicherheitsunternehmen mit Schwerpunkt auf professionellen Penetrationstests. Mit über 10 Jahren Erfahrung führt das Team tiefgehende Sicherheitsprüfungen von Netzwerken, Webanwendungen, APIs und mobilen Apps durch. Zertifizierte Experten identifizieren und dokumentieren systematisch Sicherheitslücken, um Unternehmen dabei zu unterstützen, ihre IT-Sicherheit zu verbessern und Compliance-Anforderungen zu erfüllen.
Gehe zu binsec GmbH