Good Guys Eindringlinge?
暂无分享,去创建一个
Eine der schlimmsten Bedrohungen aus den Tiefen des Internets sind zweifellos fremde Eindringlinge ins eigene Netz. Nicht nur, dass sie Schwachstellen ausgenutzt haben, von denen wir nichts wussten, oder (etwas leichtsinniger) von denen wir hofften, dass sie keiner bemerken würde, sondern nun sitzen sie im Inneren unseres eigenen Hauses und können schnüffeln, kaputtmachen, verändern, in unserem Namen agieren und uns nach Strich und Faden betrügen. Fremde Eindringlinge sind die Bad Guys schlechthin. Also was tun? Die ideale Lösung wäre natürlich, alle Sicherheitslücken ein für alle Mal zu schließen. Dazu gibt es ja auch eine Reihe von Ansätzen, zu denen automatische Updates der Softwarelieferanten, gut eingestellte Firewalls und gepflegte Zugriffskontrolllisten zählen. Nur leider gibt es kein vollständiges Sicherheitssystem, das „alle“ Sicherheitslücken schließt und dann gar „ein für alle mal“ wirkt. Was heute noch sicher ist, das kann morgen schon unsicher sein, da Updates neue Lücken reißen, da neue Angriffstechniken erfunden werden und da sich nicht alle Mitarbeiter an alle Verhaltensregeln halten. Von den Zero-Day-Exploits ganz zu schweigen, nach denen eine riesige Angreifermeute weltweit jagt. Bevor die Lücken geschlossen werden, müssen sie erstmal bekannt sein. In diesem Heft stellen wir mit den Penetrationstests eine besondere Methode vor, Schwachstellen dadurch aufzudecken, dass man sie nicht nur behauptet, sondern auch demonstrativ beweist. Die Sicherheit von Autos wird ebenfalls unter anderem mit Crashtests erprobt, wenn auch nicht beim Kunden, sondern beim Hersteller. Aber auch bei Kunden sind Qualitätstests aus anderen Branchen bekannt, zum Beispiel in Restaurants, bei der Evaluation von Arbeitsgruppen und durch Generalproben mit gezielt durchgespielten Pannensituationen. Es gibt einen guten Grund für Penetrationstests in Firmennetzen. Die Informationsund Kommunikationstechnologie ist komplex zusammengesetzt und unterliegt einem raschen dynamischen Wandel. Das Zusammenspiel verschiedener Technologien untereinander und mit ihren menschlichen Benutzern ist wie ein lebendiges Wesen, mit dem man interagieren muss, um sein regelhaftes Verhalten beurteilen zu können. So wie der Arzt seinen Patienten, muss der Penetrationstester das System anfassen und befragen. Und wie der Arzt kann auch der Penetrationstester gehörigen Schaden anrichten, wenn er unerfahren, unvorsichtig oder gar bewusst unethisch ist. Sebastian Schreiber macht in dieser Ausgabe einen Vorschlag für ethische Grundlagen des Penetrationstestens. Zusammen mit Michael Muncan beschreibt er in einem weiteren Artikel die besonderen Gefahren, die aus Angriffen innerhalb der Firmennetze lauern. Sebastian Schreiber und Michael Muncan schöpfen ihre Erkenntnisse aus der praktischen Erfahrung ihrer auf Penetrationstests spezialisierten Firma, sie wissen also aus alltäglicher Praxis genau, worüber sie reden. An dieser Stelle können wir jetzt schon ankündigen, dass im Nachklang auf dieses Schwerpunktheft in einer der folgenden Ausgaben Sicherheitsexperten von Lufthansa Systems die Nützlichkeit von Penetrationstests aus Sicht der Netzbetreiber schildern werden. Felix Freiling beschäftigt sich schon seit mehreren Jahren mit der Testmethode des systematischen Aufspürens von Schwachstellen zum Eindringen in Netze. In seinem Beitrag in diesem Heft geht er davon aus, dass das eigentliche Potential offensiver Methoden für die IT-Sicherheit noch weitgehend unentdeckt ist und beschreibt den Stand des Wissens über Penetrationstests in der Praxis, in der Forschung und in der akademischen Lehre. Stefan Gora mit einem Beitrag über Sicherheitsaudits und Martin Mink mit einem Beitrag über das heikle Verhältnis von forensischen Untersuchungen und der Privatsphäre Betroffener runden den Schwerpunkt zum Auffinden und Demonstrieren von Schwachstellen von Firmennetzen ab. Das Ziel des Schwerpunktes ist es zu helfen, dass die Einfallstore entdeckt und geschlossen werden. Aus Sicht der Betroffenen sind daher Penetrationstester, die ethisch fundiert handeln, die Good Guys, denen sie sich getrost anvertrauen dürfen.