Pentestern genügt eine kleine Lücke, um danach lateral und unter Ausnutzung weiterer Schwachstellen einen ausreichend großen Raum im Netz des Opfers zu schaffen. Die auftraggebenden Firmen veröffentlichen verständlicherweise keine Informationen über das Ergebnis des Pentests. Umso interessanter sind (anonymisierte) Studien von Pentest-Dienstleistern, die einen Eindruck von den gebräuchlichsten Wegen und beliebtesten Einfallstoren vermitteln.
Eine solche Studie veröffentlichte soeben der Pentest-Anbieter Rapid7. Das Unternehmen hat Daten von 268 Projekten während September 2017 und Juni 2018 aufbereitet und die interessantesten Details zusammengefasst. Im recht ausführlichen Bericht sind nicht nur viele Statistiken zu sehen, sondern auch einige Anekdoten aus der Praxis. Die dürften selbst für viele Sicherheitsprofis wie eine kalte Dusche wirken, der Bericht ist wirklich lesenswert. Die Erfolgsquote der Angreifer lag übrigens bei 84 %, wenn es sich um rein externe Tests handelte und bei 96 %, wenn es auch eine interne Komponente gab. In 7 % der externen und 67 % der internen Angriffe wurde systemweiter Admin-Zugang erreicht und das Netz komplett kompromittiert.
Das ist natürlich wenig überraschend. Ein Angreifer ist immer im Vorteil und die Art des dedizierten Angriffs, die ein Pentester vornimmt – mit viel Zeit für die Vorbereitung und einem kompletten Team, dass alle möglichen Angriffsvektoren abzielt – lässt sich kaum stoppen. Aber zumindest sollten die Unternehmen erkennen, dass gerade etwas Ungesundes in ihrem Netz vorgeht und leider ist die Erkennungsquote miserabel. Wenn die Firmen nicht innerhalb der ersten 24 Stunden Verdacht schöpften, und das bekamen nur etwa 30 % hin, blieben die Angriffe unentdeckt. Große und kleine Unternehmen unterschieden sich dabei nur marginal. Viel Budget und große Teams bedeuten also nicht unbedingt mehr Sicherheit. Eine kleine Nebenstatistik ist schockierend: Der bei Angreifern gefürchtete Lock Out, also das Sperren des Accounts bei zu vielen Fehlversuchen, hatte entweder keinen Effekt, war gar nicht erst vorhanden oder verzögerte den Angriff unwesentlich. In nur 3,8 % der Fälle führte er zur Entdeckung des Angriffs.
Zum Schmunzeln können Vergleiche über Branchen hinweg sein, beispielsweise wer mehr interne und wer mehr externe Tests in Auftrag gab. Fast ausschließlich extern war die Technologiebranche orientiert, während der Bildungssektor ebenso ausschließlich auf interne Test fokussierte. Die High-Tech Firmen glauben also an die Integrität ihrer Mitarbeiter während Unis und Schulen nicht viel von ihren Schülern und Studenten halten. An den zu schützenden und damit auch anzugreifenden Daten stehen sensible interne Daten oder persönliche Daten an erster Stelle. Interessanterweise sind auch schon die ersten Crypto-Währungen gelistet, die die Pentester kompromittieren sollten.
Der Weg in die Netze führte von außen meistens durch Softwareschwachstellen. In 84 % der Fälle gab es Lücken in installierter Software, die die Tester für sich ausnutzen konnten. Interne Angriffe fanden in 96 % der Fälle eine Schwachstelle. Dabei gab es keine Universal-Schwachstelle, sondern eine breite Auswahl, je nach Umgebung. Abseits der Schwachstellen nutzen die Angreifer meist fehlerhaft konfigurierte Dienste (80 % extern, 96 % intern), beispielsweise einen Server, der die Kommunikation per Fallback von sehr auf weniger sicher herunterstufte, wenn ihn der Client darum bat. Fast alle der getesteten Organisationen nutzen eine Benutzername/Passwort-Kombination als Autorisierung. Auffällig war, dass in einem Fall wo 2FA zum Einsatz kam, die Erfolgsquote der erbeuteten Zugänge deutlich kleiner war.
Interessant wird es wieder bei den Passwärtern. Im Gegensatz zu Passwort-Dumps in Hacker-Foren, arbeiten die Pentester mit echten Live-Credentials. Es gibt also keine veralteten, doppelten oder sonst wie irrelevanten Einträge. Dabei zeigt sich, dass achtstellige Passwörter am weitesten verbreitet sind, oft mit einer Zahl am Ende. Ist die Zahl vierstellig, führen 2018 und 1234 die Hitliste an. Alle Statistiken aus den Passwort-Dumps sind also wahr, leider.
Das könnte Sie auch interessieren:
NCP-Talk mit Julia - unsere neue Kollegin im Marketing
Erzähl uns ein bisschen von Dir: In meiner beruflichen Laufbahn als Referentin und Projektleiterin konnte ich viele verschiedene Einblicke in die Kundenbetreuung, die Optimierung von Prozessabläufen und das Projektmanagement in verschiedensten Bereichen sammeln. Ich bin ...
Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
