Penetrationstest - Teil 1: Bedrohungen

Die Reihe "Penetrationstest" fasst alles rund um das Thema zusammen. In den ersten Teilen gehe ich auf die allgemeinen Definitionen ein, erläutere wann ein Penetrationstest sinnvoll und was bei der Planung zu beachten ist. Später stelle ich die Tools für einen Penetrationstest vor und erläutere deren Funktionsweise anhand von Beispielen. In diesem ersten Kapitel gehe ich auf die Bedrohungen der IT-Sicherheit ein.
Weiterlesen   >>
Bild des Benutzers pentester

Veröffentlicht von:

pentester
aktualisiert am:  29.05.2015

Vorbemerkung:

Die Reihe "Penetrationstest" richtet sich an alle, die sich in das Thema "IT-Sicherheit in Unternehmen" einarbeiten wollen. Die ersten Artikel eignen sich sowohl für Anfänger wie Fortgeschrittenen. Für die Artikel, die sich später mit den Tools für Penetrationstest beschäftigen, wird Verständnis in Netzwerktechnik vorausgesetzt.

Zusätzlich möchte ich darauf hinweisen, dass trotz intensiver Recherche, die von mir veröffentlichte Reihe "Penetrationstest" keinen Anspruch auf Vollständigkeit erhebt!
Sollten sich inhaltliche Fehler eingeschlichen haben, bitte ich Sie mich darauf hinzuweisen.

Was kann durch ein Penetrationstest geprüft werden?

Durch einen Penetrationstest kann geprüft werden,

  1. inwieweit die Sicherheit der IT-System durch Bedrohungen gefährdet ist
  2. und ob die IT-Sicherheit durch die eingesetzten Sicherheitsmaßnahmen aktuell gewährleistet ist.

Welche Bedrohungen für IT-Sicherheit gibt es?

Die IT-Sicherheit eines Unternehmen ist zahlreichen Bedrohungen ausgesetzt. Man unterscheidet zwischen Schwachstellen, Bedrohungen, Risiken und Angriffen auf das System.

Schwachstellen und Verwundbarkeit (engl. Weakness und Vulnerability):

Eine Schwachstelle ist eine Schwäche eines Systems oder ein Punkt, an dem das System verwundbar werden kann. Eine Verwundbarkeit ist eine Schwachstelle, über die die Sicherheitsdienste des Systems umgangen oder getäuscht werden können.

Bsp:

  • Schwachstelle mobiler Geräte ist die Diebstahlgefahr
  • Schwachstellen, die zu einer Verwundbarkeit werden können sind z.B Programme, die aufgrund schlechter Programmierung zu Bufferoverflow-Attacken ausgenutzt werden können

 

Bedrohung (engl. Threat)

Ganz allgemein versteht man unter Bedrohung eine potentielle Gefahr, die durch eine Schwachstelle ausgelöst wird. In der Informations- und Kommunikationstechnik kann sich die Bedrohung auf die Verfügbarkeit von Systemen und Ressourcen beziehen oder ebenso auf die Integrität und Vertraulichkeit.

Risiko (engl. Risk)

Unter dem Risiko einer Bedrohung vesteht man die Wahrscheinlichkeit des Eintritts eines Schadensereignisses verknüpft mit der Höhe des potentiellen Schadens.

Risiko = Schaden x Wahrscheinlichkeit

Angriffe (engl. attack)

Unter Angriff versteht man einen nicht autorisierten Zugriff bzw. Zugriffversuch auf ein System.  Es gibt verschiedene Arten von Angriffen.

 

Umgehung physischer Sicherheitsmaßnahmen:

Zu dieser Gruppe werden Angriffe gezählt, bei denen physische Sicherheitsmaßnamen (Zaun, Türen, Safes...) überwunden werden, um physischen Zugriff auf die IT-Systeme zu erlangen.
Unbefugtes Eindringen in ein Rechenzentrum oder Diebstahl einer Festplatte gehört ebenso in diese Gruppe wie das Durchsuchen von Abfällen nach vertraulichen Dokumenten.

 

Social-Engineering

Bei dieser Angriffsart wird versucht, Menschen mit priviligertem Wissen (IT-Abteilung, Management...) so zu manipulieren, dass Sie dem Angreifer sicherheitsrelevante Informationen (Passwörter / Zugangscode / Personalnummer) preisgeben. Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus. Laut Sicherheitsexperten stellt Social Engineering die größte Gefahr für jedes Sicherheitssystem dar.

 

Angriffe über das Netzwerk

Darunter versteht man Attacken, die unter der Nutzung von Netzwerkprotokolle auf Netzwerkkomponenten, Rechnersysteme oder Applikationen stattfinden. Mögliche Arten von Angriffen über das Netzwerk sind Portscanning, IP-Spoofingen, Sniffing, Session Hijacking, DoS-Attacken sowie jegliche weitere Angriffe unter Ausnutzung von Schwachstellen in Betriebs- und Anwendungssystemen und Netzwerkprotokollen.

Man kann die Angriffe über das Netzwerk zusätzlich in passive und aktive Angriffe einteilen.

Die passiven Angriffen betreffen die unautorisierte Informationsgewinnung und zielen auf den Verlust auf Vertraulichkeit ab. Sniffer-Angriffe, durch die versucht wird die Passwörter auszuspähen, zählen zu den passiven Angriffen.

Aktive Angriffe betreffen die unautorisierte Modifikation von Datenobjekten und richten sich somit gegen die Datenintegrität oder Verfügbarkeit eines IT-Systems (z.B. Dos-Attacken).

 

Das wars erstmal zu den Bedrohung für die IT-Sicherheit. Wenn ihr Fragen oder Anmerkungen habt, schreibt mir ein Kommentar.  Der zweite Teil 2: Täterprofile, ist nun online. Viel Spaß beim Lesen!
 
Was ist eurer Meinung nach, die derzeit größte Bedrohung für die IT-Sicherheit in Unternehmen? Viren/Trojaner, Insider-Sabotage, Hacker-Angriffe oder andere Gefahren? 
nach oben
157 User haben sich bedankt.

Kommentare

Bild-CAPTCHA
Geben Sie die Zeichen ein, die im Bild gezeigt werden.
Bild des Benutzers David
Die derzeit größte Gefahr stellt m.E. die Industriespionage dar. Für Deutschland als Innovationsland ist die Gefahr besonders groß die führende Stellung zu verlieren.
Bild des Benutzers JasperParge
such as a virtual keyboard on the bottom screen you use to enter a Web address on the top screen. Another unfortunate drawback: You cannot display separate apps on the two screens. That's in stark contrast to another dual screen device I've reviewed <a href=http://www.healthdata.fr/><b>collier pandora pas cher</b></a>, whose one interesting trait is that she really likes My Funny ValentineHeather Trahan of Lafayette; her nephew <a href=http://www.anagraphe.fr/><b>charm pandora soldes</b></a> including issues of personal safety. It is also important to be clearer about what kind of support they can expect short and long term. It is important not to raise false expectationsthe film does supply us girls with plenty of eye candy. That Jeffrey Dean Morgan fellow is a find. Connick gets some charming. 000 each that the football program has to pay to all of those powder puff teams to get beaten up in Madison early in the season we can't <a href=http://www.atelor.fr/><b>clip pandora pas cher</b></a>, and comes from the bag that he is conventionally depicted as carrying. He is usually identified with or as an incarnation of Maitreyaand as usual Southwest isn't one of them. <a href=http://www.beteavone.fr/><b>pandora charms pas cher</b></a> and add shadow effects. The history of the Democratic Party convention is replete with examples of dark horse candidates who barely made the 15 percent tallycompared with just 500 megabytes per person in 1986. Because dinoflagellates are 'real as in. <a href=http://mamac.jpn.ph/mamac/cgi-bin/bbs_001/yy_bbs.cgi>nabmra Tips for Moms to Get Skinny and Stay Skinny</a> <a href=http://ynr9jfv4xoj1f.stockcloud.cn/thread-2417-1-1.html>gbuaau The Commentary that Swept the Internet</a> <a href=http://cropmaster.weloveshopping.com/template/e3/s_showdata.php?shopid=127087&qid=>hodckh Where can I locate a PIN DRAPE WHITE RIBBON With a RED</a> <a href=http://fzysxx.com/forum.php?mod=viewthread&tid=1485627&extra=>hszjri Dominatrix leasing from rabbis charged</a> <a href=http://www.losersunion.com/forum.php?mod=viewthread&tid=2256&extra=>lelonj The hotel features an outside and indoor pool</a>
Kommentar schreiben