Kritische Unternehmenssoftware, wie Anti Viren Produkte, weißen immer öfter Sicherheitslücken auf. Anhand einer Schwachstellenanalyse kann dies auch belegt werden. Wie ich bei meinem letzten Live Hacking gezeigt habe, erkennt keines der Anti Viren Produkte meinen selbst geschriebenen Trojaner.

Während Hacker und SIcherheitsforscher, die Sicherheitsanfälligkeit von Anti Viren Produkten bei der Ausführung von Antivirus-Remotecode schätzen, ist Sie aufgrund der Compliance in Unternehmenssoftwareprodukte verpönt. Diese Art von Software versucht typischerweise, ein gewisses Maß an Sicherheit und Compliance zu gewährleisten, was dem Unternehmensmarkt eine hohe Integrität verspricht. Am Beispiel Anti Viren Produkte lässt sich erkennen, das jedes Anti Viren Programm in weniger als 10 Minuten gehackt werden kann. Ich habe dies eindrucksvoll in einem Blog Post festgehalten.

Wer Auditiert bei einem Sicherheitsaudit eigentlich den Auditor?

Am Wochenende in einem Gespräch mit einem befreundeten Hacker vom Chaos Computer Club Nürnberg, stelle sich heraus, das Auditoren nicht immer in der Lage sind, bei einem Cyberangriff zu erkennen, wie dieser eigentlich zustande kam. Oft wird übersehen das bei gezielten Angriffen einfach das Anti Viren Programm selbst angegriffen worden ist, auch wenn es keine Schwachstelle aufwies.

Auch bei einem reinen Sicherheitsaudit, gibt es wohl immer öfter Probleme, da jeder Auditor ein anderes  Ergebnis Auditiert, selbst wenn es sich nicht um einen Cyberangriff, sondern um ein reines Auditing handelt.

Die 5 kritischen Faktoren, die Sie bei einem Sicherheitsaudit unbedingt beachten sollten

Bei einem IT-Sicherheitsaudit werden in der Informationstechnik (Maßnahmen zur Risiko- und Schwachstellenanalyse, eines IT-Systems oder Computerprogramms, eines Produktes oder eines Fahrzeuges.  Dazu zählen auch Webseiten und Server, vor und nach einem Hack. Server Räume, Computer, Anlagen und Maschinen.

Manuelle Maßnahmen einer Sicherheitsanalyse umfassen dabei:

  • Angriffe per Social Engineering durchführen und versuchen Schwächen in der Belegschaft auszunutzen.
  • Security Scans oder Penetrationstests zum Biespiel mit Open Source Produkten wie Nmap, Sniffern wie Wireshark, Vulnerability Scannern
  • Eine Verwundbarkeitsprüfung
  • die Überprüfung der Zugangskontrolle bei Anwendungen und Betriebssystemen
  • die Analyse des physikalischen Zugangs zum System mittels Pysical Penetrationstests. (Penetration Testing )

Das Audithandbuch Open Source Security Testing Methodology Manual (OSSTMM) des Institute for Security and Open Methodologies (ISECOM) unterscheidet entsprechend der möglichen Angriffsmöglichkeiten fünf Kategorien der Sicherheitsinteraktion, Kanäle genannt

  • physikalische Interaktion, wie bei einem Pysikalischen Penetratonstest
  • Telekommunikation (analoge Kommunikation)
  • Datennetzwerke (Paketkommunikation)
  • drahtlose Interaktion
  • menschliche Interaktion (Social Engineering)

Wichtig ist,  Sicherheitsaudits sind im Wesentlichen das gleiche Muster wie bösartige Angriffe oder Hacker Attacken.. Hacker-Attacken können nach Methode und Zielsetzung grob in drei unterschiedliche Typen unterteilt werden:

  • passiv
  • aktiv
  • aggressiv

Dies beschriebt auch unsere Schwachstellenanalyse von Produkten und Software. Genaueres Lesen Sie unter Mögliche Angriffe bei einem Penetrationstest.