Bei der Nutzung öffentlicher Netzstrukturen (Internet) sehen sich Unternehmen vielfältigen Gefährdungen gegenüber. Es sind komplexe Kommunikationsstrukturen entstanden, die sich oftmals den einzelnen Unternehmen nicht mehr ganzheitlich erschließen und auf die teilweise nur unwesentlich oder überhaupt nicht Einfluss genommen werden kann.

Unternehmen schließen sich an das Internet an und verlieren damit einen Teil ihrer Kontrolle über ihre Informationssicherheit und somit ihrer unternehmenskritischen Daten (z.B. Patente, Kundendaten). Es gibt nahezu kein Unternehmen, das nicht schon einmal einem erfolgreichen Angriff ausgesetzt war.

Bedrohungen für das Unternehmen erfolgen einerseits von außen über das Internet und anderer Zugänge in das Netzwerk und die Organisation von Unternehmens. Andererseits erfolgt die Mehrzahl der Angriffe von Innen (z.B. frustrierte Mitarbeiter) oder auch durch den fahrlässigen Umgang mit unternehmenskritischen Daten (z.B. unzureichende Dokumentenvernichtung).

Um sich gegen die laufenden Angriffe zu schützen ergreifen viele Unternehmen komplexe Sicherheitsmaßnahmen. Aber die beste Sicherheitsmaßnahme hilft nicht, wenn sie nicht regelmäßig überprüft wird. Dies kann durch einen Gefährdungsanalyse (z.B. Penetrationstest) geschehen.

Eine Gefährdungsanalyse soll Schwachstellen identifizieren, die von Angreifern aus dem Internet ausgenutzt werden können und so die Eintrittswahrscheinlichkeit folgender Geschäftsrisiken senken. Auch können die Folgen, die im Falle eines erfolgreichen Angriffs, gemildert werden:

• Finanzielle und organisatorische Mehraufwände nach einem erfolgreichen Angriff (z.B. Ausfall von Anwendungen, Fehlerbehebung, Bußgelder, Schadenersatzansprüche, Kosten für Dienstleistungen von IT-Forensikern, etc.)
• Verlust von Geschäftsgeheimnissen und geistigem Eigentum (z.B. Veränderung oder Verlust von Kundendaten, Verlust von Patenten, Ausschreibungen werden ausspioniert, …)
• Imageschaden (z.B. Kundendaten werden durch Hacker veröffentlicht, dann muss der Vorfall nach BDSG veröffentlicht werden)

Unter Beachtung der gesetzlichen Rahmenbedingungen (z.B. StGB § 202a ff „Hackerparagraph“, Bundesdatenschutzgesetz) können Gefährdungsanalysen in verschiedenen Ausprägungen durchgeführt werden:

• Blackbox-Test (Simulation eines typischen Angreifers aus dem Internet)
• Greybox-Test (der Tester bekommt Kenntnisse über Struktur und Details des anzugreifenden Systems)
• Whitebox-Test (Simulation durch interne Beschäftige mit Detailkenntnissen).

Wie geht man nun bei einer Gefährdungsanalyse vor? In der Praxis hat sich ein fünfphasiges Modell bewährt, das wir im folgenden grafisch im Ablauf zeigen und inhaltlich kurz beschreiben:

Phase 1: Vorbereitung

• Festlegung der Verantwortlichkeiten und Ansprechpartner auf Seiten des Auftraggebers und des Auftragnehmers
• Festlegung der technischen Rahmenbedingungen für die Durchführung des Tests (Kommunikationswege, Zugriffswege, etc.)
• Festlegung der organisatorischen Rahmenbedingungen (z.B. zeitlicher Ablauf)
• Abschluss der „Permission to Attack“ zwischen dem Tester und dem Handlungsbevollmächtigten

Phase 2: Informationsbeschaffung

• Test der Zugriffswege, Sammlung von Informationen über das Zielsystem
• Detaillierter Überblick über das Zielsystem und die möglichen Angriffswege

Phase 3: Bewertung und Risikoanalyse

• Analyse und Bewertung der Informationen
• Planung der Vorgehensweise, ggf. Schwerpunkte, Prioritäten festlegen

Phase 4: Aktiver Angriff

• Es erfolgt ein passiver Angriff (Schwachstellenanalyse). Dieser beinhaltet die Ortung, Bewertung und Dokumentation von Schwachstellen, sowie der Vorschlag von Maßnahmen zur Behebung der Schwachstellen. Dieser ist in den meisten Fällen nicht schädigend.

Die Bewertung von Schwachstellen hinsichtlich Auswirkung, Aufwand zur Ausnutzung, Gefährdungsgrad, Bekanntheitsgrad erfolgt auf Basis von internationalen Standards und Informationen von Softwareherstellern (z.B. Common Vulnerabilty Scoring System - CVSS; Common Weakness System - CWE).

Unter Abwägung von Risiken kann auch ein aggressiver Angriff unter Ausnutzung von Schwachstellen erfolgen. Nach dem Motto „das Gras wächst immer nach“ werden laufend neue Schwachstellen entdeckt bzw. „alte“ wieder aktiv. Einerseits durch Veränderung von bestehenden Strukturen, Implementierung von neuen Funktionen oder Anwendungen im Unternehmen. Anderseits werden laufen Schwachstellen in bestehenden Komponenten (z.B. Router, Firewalls, Office-Produkten) gefunden und veröffentlicht. Aus diesem Grund empfiehlt sich die regelmäßige Wiederholung von Gefährdungsanalysen.

Regelmäßige Gefährdungsanalysen werden auch von sog. Cyber-Crime-Versicherungen gefordert, um die Bemessungsgrundlage der Versicherungsprämien festzulegen. Auch sind Gefährdungsanalysen essentiell bei der Bewertung von Informationssicherheit im Rahmen von Maßnahmen der Internen Revision.

Joachim A. Hader