Penetration
Testing

“Eine umfangreiche sicherheitstechnische Überprüfung wurde bei einem kritischen Industriebetrieb durchgeführt, die sich von der physikalischen Sicherheit vor Ort bis zur netzwerktechnischen Überprüfung der internationalen Außenstellen erstreckte. Auf Empfehlung des AITs wurde der umfangreiche Penetrationstest in mehrere Module aufgeteilt. Während des WIFI-Penetrationstests konnten wir mithilfe eines “fake” Access Points Benutzernamen und Passwörter von internen Nutzern ermitteln, die wir für weitere Angriffe verwenden konnten. Das vorhandene Windows Active Directory wurde gründlich geprüft, und Sicherheitsempfehlungen wurden herausgegeben. Die Grundregel bei der Vergabe von Accounts sollte lauteten, zunächst alle Berechtigungen zu verweigern und nur für absolut erforderliche Nutzer diese Berechtigungen freizuschalten. Das Konzept und die Implementierung sollten in regelmäßigen Abständen überprüft werden. Der Umfang des Tests sah auch eine Phishing-Kampagne vor, um das Verhalten der Angestellten gegenüber eines Social Engineering Angriffs zu prüfen, der meist über Mail und Telefon erfolgt. Es wurde ein zielgerichteter Phishing-Angriff simuliert, der über eine dem Unternehmen ähnliche Domain erfolgte. Es wird empfohlen, dass die Ergebnisse des Social Engineering Tests in Schulungen einfließen und besonders auf zielgerichtete Angriffe eingegangen wird. Sämtliche “kritische” Dienste und Admin-Accounts sollten zusätzlich über 2FA abgesichert werden. Es ist positiv zu erwähnen, dass das Team der IT-Abteilung die Tester außerordentlich gut unterstützt hat und gemeldete Fehler raschestmöglich und mit besonderer Sorgfalt behoben hat. Diese enge Zusammenarbeit trug wesentlich dazu bei, potenzielle Sicherheitsrisiken zu identifizieren und geeignete Gegenmaßnahmen zu implementieren, um die Sicherheit des Industriebetriebs zu gewährleisten.”