Penetrationstester Georg Heise im Gespräch

„Unser Ziel ist es, Unternehmen mit simulierten Hackerangriffen Schwachstellen aufzuzeigen, bevor diese zur Gefahr werden.“

Mit Penetrationstests (kurz Pentests) werden authentische Hackerangriffe simuliert, um Sicherheitslücken bei Unternehmen rechtzeitig zu erkennen und so wertvolle Daten zu schützen. Wie das genau funktioniert und welche Qualifikationen Penetrationstester:innen benötigen, verrät Georg Heise im Interview.

Georg, du arbeitest als Lead Penetrationstester und Berater im Bereich IT Security bei LHIND. Könntest du deine Aufgaben im Job kurz beschreiben?

Der Fokus meiner Aufgaben liegt ganz klar in der Durchführung von Penetrationtests (kurz Pentests). Dabei decken wir mithilfe simulierter Hackerangriffe auf IT-Systeme, einzelne Applikationen oder Netzwerke mögliche Schwachstellen und Sicherheitslücken in Unternehmen auf. Zusätzlich koordiniere ich als Lead Penetrationstester unser Team und steuere die erfahrungsgerechte Zuteilung der anstehenden Pentests. Zudem überwache ich die gleichbleibend hohe Qualität unserer Ergebnisse. Auch die fachliche Beratung und Abstimmung mit Unternehmen gehören zu meinem Arbeitsalltag, vor allem bei größeren Projekten oder für Kunden, die noch nie einen Pentest durchgeführt haben. Hier muss in der Regel erstmal der Scope geklärt werden – also der benötigte Untersuchungsumfang, um so realistische Zeit- und Preisrahmen abzuleiten.

Das hört sich nach einem komplexen, aber auch sehr spannenden Job an. Wann wenden sich Unternehmen in der Regel an dich?

Das ist ganz unterschiedlich. Es gibt Unternehmen, die haben bereits eine klare Vorstellung und beauftragen direkt feste Zeiträume, in denen bestimmte Penetrationstests durchgeführt werden sollen. Dann gibt es andere, die gerade vielleicht schmerzlich Schiffbruch erlitten haben und ihre Services teuer wieder zum Laufen bringen mussten. Die wollen sich dann für die Zukunft absichern. Denn nur weil ich meine Daten wieder habe und meine IT wieder läuft, habe ich damit das Problem natürlich nicht nachhaltig behoben. Dann gehen wir mit den Unternehmen zusammen auf die Suche nach möglichen Sicherheitslücken, finden diese und lassen sie beheben. Letztlich helfen wir den Unternehmen, sich besser für die Zukunft im Bereich IT Security aufzustellen.

Warum sind Penetrationstests im Bereich IT Security besonders wertvoll für Unternehmen?

Hackerangriffe haben in den letzten Jahren massiv zugenommen. Denn Menschen und Firmen werden immer digitaler und exponierter – dadurch wachsen die Angriffspunkte und gleichzeitig nimmt die Anzahl erfolgreicher Hackerangriffe zu. Penetrationstester:innen versuchen, mit der Sicht eines Hackers auf ein Unternehmen zu blicken. Denn nur so kann man unter realen Bedingungen Sicherheitslücken finden, die von automatisierten Tools oder durch vordefinierte Prozesse übersehen oder nicht betrachtet wurden.

Das Ziel von Hackern ist eigentlich immer, sich möglichst schnell die Kronjuwelen eines Unternehmens anzueignen. Und dafür gehen sie üblicherweise abseits der Wege, also am Intended Use eines Systems vorbei. Penetrationstester:innen versuchen eben auf Basis ihrer Erfahrung und ihren Kenntnissen zu einem System, ein Fehlverhalten hervorzurufen, das zu einer Kompromittierung führt.

Könnte man dazu nicht auch einfach Tools einsetzen?

Das Vorgehen ist mit derzeitigen Tools nicht abzudecken. Es gibt Vulnerability Scanner, die sehr standardisiert Websites scannen und Sicherheitslücken prüfen. Die Tools verstehen aber häufig Business-Logiken nicht, beispielweise wenn es mehrere Schritte beim Anlegen eines Accounts gibt. Dazu benötigt es die Kreativität von Pentester:innen, die sich dann wiederum überlegen: „Wenn ich hier etwas anlege, kann ich dann damit in einem Folgezyklus etwas machen?“

Penetrationstests sind einfach der authentischere Weg. Außerdem kombinieren Pentester:innen verschiedene Schwachstellen miteinander. Ein automatisiertes Tool würde erstmal nur feststellen: „Ich habe zehn Schwachstellen gefunden.“, und gibt diesen ein Rating von low bis high. Sie berücksichtigen aber nicht, dass Schwachstelle eins und drei als einzelne Positionen zwar vielleicht ein niedriges Rating haben, kombiniert aber ein hohes. Das leisten Penetrationstester:innen hingegen schon. Ich denke aber, dass sich Tools durch KI in Zukunft auch in diese Richtung weiterentwickeln werden.

Nach Möglichkeit versuchen wir auch, wenig Traffic bei unserer Arbeit zu erzeugen. Automatisierte Tools sind oftmals wie eine Streubombe – ich schmeiß sie einmal ab und gucke, was am Ende noch steht. Pentester gehen da viel vorsichtiger vor und prüfen, wie sie Systeme zu Fall bringen, ohne dabei erwischt zu werden. Das heißt eben auch, dass Systeme permanent weiterlaufen und nicht abgeschaltet werden müssen, wenn beispielsweise ein Scanner zu viel Last einnimmt.

„Penetrationstester:innen versuchen, wie Hacker auf Unternehmen zu blicken und Sicherheitslücken aufzudecken, bevor diese zur Gefahr werden.“

Georg Heise

Eine geläufige Bezeichnung für Penetrationstester ist Ethical Hacker – würdest du dich als moralisch „guten“ Hacker bezeichnen?

Man kann schon sagen, dass Penetrationstester:innen die guten Hacker sind. Denn wir nutzen ja Hackingmethoden nicht wie Black-Hat-Hacker, um Unternehmen zu schaden oder uns zu bereichern. Ganz im Gegenteil: Unser Ziel ist es, die Welt des Internets ein bisschen sicherer zu machen und Schaden von Unternehmen abzuwenden.

Wie bereitet man so einen akzeptierten Hackerangriff vor und was sind die größten Herausforderungen?

Das hängt stark von den jeweiligen Projekten ab. Soll nur der Internet-Facing-Bereich geprüft werden oder auch mögliche Angriffe von innen (Insider Threat)? Entwickelt das Unternehmen selbst Software oder will es eingesetzte Lösungen prüfen lassen? Was sind typische Angriffsflächen im Unternehmen und worauf sollen wir den Fokus legen?

Zudem gibt es verschiedene Arten von Pentests, die wir je nach Szenarien einsetzen – hier unterscheidet man zwischen Blackbox-, Whitebox- und Greybox-Penetrationstests. Während man bei Blackbox-Pentests die reine Sicht von außen einnimmt und keine Zugänge oder Kenntnisse über die Systeme hat, hat man bei der Grey-Box-Variante etwas mehr Einsicht. Hier versuchen wir, gemeinsam mit den Kunden bestimmte Workflows hinter den zu testenden Applikationen zu verstehen und arbeiten uns dann Stück für Stück in die Systeme vor. Wir erhalten aber auch Hilfestellung bei bestimmten Prozessen oder lassen definierte Firewall-Aspekte ausschalten, da sonst unnötig Zeit verloren ginge.

Die letzte Möglichkeit ist der White-Box-Pentest. Bei dieser Variante weiß man als Pentester:in alles über die IT-Infrastruktur. Hier bekommen wir dann auch Zugriffe auf den Source Code, um eine Applikation selber deployen und debuggen zu können.

Mit welchen Tools und Analysemethoden arbeitest du?

Wir arbeiten in der Regel nach einem Fünf-Phasen-Modell: In der Reconnaissance-Phase, lernt man das System kennen und verschafft sich einen Überblick. In der anschließenden Enumeration-Phase identifizieren wir mögliche Einstiegspunkte in die getesteten Systeme identifiziert: Welche Ports sind offen? Welche Software wird verwendet? Danach prüfen wir, ob Schwachstellen für das System bekannt sind und ob wir diese ausnutzen oder kombinieren können. Im vierten Schritt, der sogenannten Exploitation-Phase, versuchen wir aktiv in das System einzudringen und uns immer wieder vorzuarbeiten. In der finalen und wichtigsten Phase erarbeiten wir ein Reporting, in dem wir alle gefundenen Sicherheitslücken dokumentieren, potenzielle Sicherheitsrisiken ableiten und angeben, wie die Schwachstellen nachhaltig beseitigt werden können.

Pro Phase gibt es bestimmte Tools und Methoden, die wir immer wieder anwenden. Dabei kombinieren wir kommerzielle Tools und Open-Source-Software mit selbstgeschriebenen Tools und Skripts, mit denen wir gezielt auf Kundensituationen eingehen können.

Ändern sich die Angriffspunkte von Unternehmen, durch eine stärkere Verlagerung von vertraulichen und businesskritischen Daten in die Cloud?

Natürlich spielt auch die Cloud eine immer größere Rolle, dass das Risiko eines erfolgreichen Hackangriffs zugenommen hat. Aber da kommt es viel mehr darauf an, wie die Cloud in Unternehmen genutzt wird. Geht es hier um ein Lift-and-Shift, wo die alte Struktur beibehalten wird und 1:1 in der Cloud abgebildet wird oder bewegen wir uns im Rahmen von Containerisierungen und Micro Services. Bei LHIND haben wir zudem den großen Vorteil, dass wir Unternehmen gezielt bei architektonisch-sicherheitstechnischen Fragen an unsere Kolleg:innen aus dem Cloud-Team weiterleiten können. In dem Bereich ist inhouse viel Wissen vorhanden, das wir kontinuierlich teilen und über Konferenzen und Projekte

Wie wird man Penetrationstester:in?

Da gibt es mehrere Wege. Einige Kolleg:innen kommen aus dem Bereich System-Administration oder der Webentwicklung. Oft haben sie bereits jahrelang als Entwickler:innen gearbeitet und Systeme betreut. Es kann einen gewissen Reiz ausüben, Systeme zu manipulieren und man wird mit der Zeit immer besser darin. Es ist aber dann irgendwann genauso reizvoll, diese Systemmanipulation zu verhindern. Viele Kolleg:innen kommen zudem aus der Analystenrolle und haben im Bereich SIEM (Security Information and Event Management) oder SOC (Security Operations Center) gearbeitet.

Gibt es Grundvoraussetzungen für den Job?

Man wächst sehr in die Rolle des Pentestings oder Hackings rein, allerdings sollte man gewisse IT-Grundlagen und eine Leidenschaft fürs Coding und die IT-Welt mitbringen – ansonsten wird es sehr schwer, Fuß zu fassen.

Zudem braucht man eine hohe Lernbereitschaft, da sich die Technik permanent weiterentwickelt, eine gewisse Hartnäckigkeit und die Fähigkeit, sich auf neue Situationen einzustellen. In der Entwicklung können Projekte sehr lang sein, teilweise über mehrere Jahre. Unsere Projekte sind meistens sehr kurz (1–3 Wochen) und wechseln schnell. Da muss man flexibel im Kopf umschalten und mit schnellen System-deep-Dives klarkommen. Der Anfang im Pentesting kann hart sein, aber wer dranbleibt und sich weiterbildet, wird in der Regel mit einer steilen Lernkurve belohnt.

Zudem ist eine gute Vernetzung in der Hacking-Community enorm wichtig – um Erfahrungen und Lösungen auszutauschen und aktuelle Entwicklungen nicht zu verpassen. Zudem hat man dadurch die Möglichkeit, Open-Source-Lösungen etwa über GitHub mitzuentwickeln. Es gibt zudem unzählige Meet-ups und Konferenzen, auf denen man sich weltweit auch analog trifft.

Was zeichnet deinen Bereich bei LHIND aus?

Wir arbeiten in einem festen Team, sind untereinander sehr gut vernetzt und unterstützen uns gegenseitig. Mittlerweile sind sogar viele Freundschaften aus der Arbeit heraus entstanden. Außerdem sind wir ein sehr junges, diverses und dynamisches Team mit einem hohen Frauenanteil und vielen unterschiedlichen Nationalitäten. Alle Teammitglieder wissen auch über die Projekte der Anderen Bescheid – so kann man Probleme schnell gemeinsam angehen und bestehendes Wissen viel effektiver teilen. Und sollten wir mal eine fachliche Meinung zu anderen Themen benötigen, haben wir dank der internen Fokusgruppen Infosec Management und Technische Infosec sehr kurze Wege, um Wissen schnell einzuholen.

Zur Person

Georg Heise ist seit 2018 als IT Security Consultant bei Lufthansa Industry Solutions in Norderstedt beschäftigt und auf den Bereich Penetrationstests spezialisiert. Er absolvierte einen Bachelor of International Business und einen Master of Information Technology an den australischen Universitäten Bond und Monash. Bevor Georg Heise zu Lufthansa Industry Solutions kam, arbeitete er international im Bereich IT Security und half von privaten bis FOTUNE500 Unternehmen sowie Regierungen in der APAC Region zu einer verbesserten Sicherheitsumgebung durch Pentests und Red-Teamings.