Was ein Pentester können muss
Wie jede andere Disziplin der IT-Sicherheit, entwickelt sich auch das professionelle Penetration Testing und Ethical Hacking stets weiter. Hackende Einzelgänger, die zwar gut darin sind, mit ihrer technischen Überlegenheit zu prahlen, dafür aber Professionalität und Raffinesse vermissen lassen, sind bei Unternehmen nicht mehr sehr gefragt. Stattdessen suchen Firmen nach dem Profi-Hacker-Komplettpaket:
Bessere Toolkits: Software für Penetration- oder Vulnerability-Tests gehört seit jeher zum Toolkit eines Ethical Hackers. Inzwischen gibt es einige Programme, die Pentestern gehörig die Arbeit erleichtern - so wie das bei kriminellen Hackern auch der Fall ist.
Ein Beispiel für ein solches Werkzeug ist die Open-Source-Software Bloodhound. Sie erlaubt Angreifern, die Beziehungen zwischen verschiedenen Rechnern in einem Active-Directory-Netzwerk über eine grafische Oberfläche zu erfassen. Nach der Eingabe des gewünschten Ziels zeigt die Software - ähnlich wie ein Navigationssystem - verschiedene (Hacking-)Wege zum Ziel auf. Dabei werden unter Umständen auch Pfade aufgedeckt, die vorher nicht sichtbar waren. Im Zusammenspiel mit einigen Scripts kann ein großer Teil des Ablaufs automatisiert werden.
Kommerzielle Software-Lösungen für Ethical Hacker bieten solche Funktionen naturgemäß schon etwas länger.
Bilder und Videos: Um eine Investition in IT Security beim Vorstand durchzubringen, wurden Pentester früher entweder beauftragt, diesen zu hacken oder ihm eine umfassende Dokumentation vorzulegen. Heute erwartet das Management Präsentationen, Videos und Bildergalerien, die darüber Auskunft geben, wie die Hacks in ihrem Unternehmen abgelaufen sind. Die Materialien können nämlich im Nachgang zur Information weiterer Manager-Kollegen und für die Schulung von Mitarbeitern verwendet werden.
- Bestimmen Sie Metriken
Seien Sie in der Lage, den Erfolg Ihrer Bemühungen zu belegen. Das können Sie nur, wenn Sie Kennzahlen definieren, bevor Sie Ihr Awareness-Programm beginnen. Möglich sind Fragebögen zum Verhalten in bestimmten Situationen oder Phishing-Simulationswerkzeuge, die einen Angriff vor und einen nach den Trainigsmaßnahmen nachstellen. Ebenfalls lassen sich durch Mitarbeiter ausgelöste Incidents zählen - wie versuchte Besuche gesperrter Websites. - Bleiben Sie flexibel
Konzentrieren Sie sich nicht nur auf die Präventionsarbeit. Die Idee der "menschlichen Firewall" ist weit verbreitet, sie kommt aber erst dann zum Einsatz, wenn ein Angriff erfolgt. Warum nicht auch auf "menschliche Sensoren" setzen und bevorstehende Attacken versuchen zu erkennen? Lassen Sie Ihre Angestellten nach Indikatoren Ausschau halten, die einen möglichen Angriff ankündigen. Wenn Phishing-Simulationen stattfinden, sollte man auch darauf achten, wie viele Testteilnehmer den Angriff erkennen und melden. - Lassen Sie Regeln brechen
Wer sich nicht an Security-Regeln hält, kann seine eigene Security-Awareness steigern. Das Unternehmen sollte seinen Mitarbeitern ab und zu - nicht regelmäßig, damit es nicht zur Gewohnheit wird - die Freiheit geben, bestimmte Sicherheitsregeln zu brechen - aber nur solche, die keinen unmittelbaren Schaden anrichten. Nur wenn sie die Regel brechen, können die Mitarbeiter erkennen, was passiert, wenn die Regel gebrochen wird und warum es sie letztlich gibt. In einem Gespräch zwischen IT-Sicherheitsteam und Mitarbeitern lässt sich dann gemeinschaftlich nachvollziehen, welchen Zweck eine bestimmte Richtlinie verfolgt. - Wählen Sie einen neuen Ansatz
Die meisten Awareness-Programme haben nicht dazu geführt, dass die Mitarbeiter ihr Verhalten geändert haben. Das liegt nach Meinung vieler Experten aber daran, dass sie gar nicht darauf ausgelegt waren, das Verhalten zu ändern - sie sollten einfach nur geltende Compliance-Vorgaben erfüllen. Also wurde wenig in diese Trainings investiert - sowohl finanziell als auch inhaltlich. Nur, wer Gehirnschmalz in die inhaltliche Ausgestaltung seiner Securiy-Trainings steckt, kann das Mitareiterverhalten ändern. - Holen Sie sich Unterstützung vom C-Level
Wer die Unterstützung der Entscheiderebene hat, macht seine Security-Trainigs erfolgreicher. Wer ein Awareness-Programm plant, sollte sich zunächst starke Unterstützung von oben holen - und sei es nur mit Worten. Das führt zwangsläufig zu einer größeren Aufmerksamkeit in der Belegschaft, mehr Freiraum in der Ausgestaltung und Unterstützung anderer Abteilungen. - Machen Sie gemeinsame Sache mit anderen Abteilungen
Wenn ein IT-Security-Mitarbeiter ein Awareness-Trainingsprogramm aufsetzt, sollte er neben dem Vorstand auch andere Fachbereiche mit ins Boot holen - Personal, Marketing, Legal, Compliance, Datenschutzbeauftragter und Hausverwaltung. All diese Abteilungen haben ein direktes oder indirektes Interesse an dem Thema Security und können bei der Werbung und der Finanzierung helfen. Außerdem haben sie die Möglichkeit, die Trainings für die Mitarbeiter verpflichtend zu machen. - Seien Sie kreativ
Wer nicht kreativ ist, kann kein gutes Security-Training anbieten. Dazu könnte beispielsweise gehören, im Rahmen einer Firmenfeier im Eingangsbereich des Gebäudes eine Security-Wand aufzubauen, auf der - neben anderen Dingen - zehn gängige Sicherheitsfehler aufgeführt sind. Die Mitarbeiter, die alle zehn Fehler benennen können, nehmen an einer Verlosung teil. - Setzen Sie sinnvolle Zeitfenster
Die meisten Trainingsprogramme laufen über ein Jahr - jeder Monat steht unter einem bestimmten Thema. Besser ist ein 90-Tage-Plan - dadurch werden Inhalte und Ziele jedes Quartal neu auf den Prüfstand gestellt. So sind viele Programme deshalb erfolgreich, weil sie über ein Vierteljahr hinweg jeweils drei Themen parallel behandeln und die Themen dann wieder neu ausgesucht werden. So bleiben Sie auf dem Laufenden. - Wählen Sie einen multimedialen Ansatz
Jeder Mitarbeiter bringt andere Voraussetzungen mit, was IT-Sicherheit angeht. Jede/r möchte anders abgeholt werden. Setzen Sie daher auf verschiedenste Kommunikationskanäle, um für das Thema IT-Sicherheit zu sensibilisieren - beispielsweise über Newsletter, Poster, Spiele, Newsfeeds, Blogs, Phishing-Simulationen etc.
Risikomanagement: Es genügt keinesfalls, eine Liste mit gefundenen Schwachstellen im Unternehmen abzugeben. Heutzutage müssen Ethical Hacker und Pentester mit dem IT Management zusammenarbeiten, um die größten Bedrohungen und Schwachstellen zu identifizieren. Pentesting-Experten sind heute auch Teil der Risikomanagement-Abteilungen, schließlich hilft ihre Tätigkeit auch effektiv dabei, Risiken zu minimieren. Das sollten Ethical Hacker zu nutzen wissen: Sie sind in der Lage, Management und IT-Abteilung darüber aufzuklären, was in Zukunft mit hoher Wahrscheinlichkeit passieren kann. Es macht auch wenig Sinn, dem Vorstand einen Hack zu präsentieren, den in der Praxis kein Angreifer jemals ausführen würde.
Training und Zertifizierung: Viele Wege führen heute zur Pentesting-Zertifizierung, darunter einige Kurse und Zertifikate. Dort findet im Regelfall ein Hacking-Tool-Intensivkursprogramm unter professioneller Aufsicht statt.
Profi-Pentester oder Ethical Hacker ist kein Beruf, der für Jeden geeignet ist. Er setzt sowohl Expertenwissen über verschiedene Technologien und Technologieplattformen voraus, als auch echtes Interesse am Hacken. Wenn das für Sie kein Hindernis ist und Sie darüber hinaus in der Lage sind, die ethischen und rechtlichen Grundsätze zu befolgen, steht auch Ihrer Karriere als professioneller Hacker nichts mehr im Weg.
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.