Pentest forever: Klassiker oder Auslaufmodell?

Shownotes

Stefan und Axel nehmen sich heute eine der klassischen Einstiegsleistungen der IT-Security vor: den guten alten Pentest. Doch Cyberangriffe haben sich in den letzten Jahren massiv weiterentwickelt – und damit auch die Verteidigungsstrategien. Passen klassische Pentests überhaupt noch in diese neue Realität? In dieser Folge werfen die beiden einen Blick auf veränderte Angriffsvektoren, diskutieren die Zukunft des Pentestings zwischen Automatisierung und Innovation und gehen der Frage nach: Pentests forever – oder doch nur noch ein Evergreen mit Ablaufdatum? Und ganz nebenbei: Welche Rolle spielt eigentlich KI dabei?

Transkript anzeigen

00:00:07: Hallo liebes Publikum, da sind wir wieder mit dem Cybertango.

00:00:12: Dem echten Trust Podcast.

00:00:16: Hallo lieber Axel!

00:00:18: Hallo lieber Stefan schön dass das heute wieder geklappt hat

00:00:22: bei

00:00:22: strahlendem Sonnenschein.

00:00:24: ich weiß gar nicht wie es bei dir ist.

00:00:26: genauso wir durchbrechen heut die dreißig grad Schallmauer und morgen sonst noch ein stück wärmer werden.

00:00:33: Ich war bis eben unterwegs hat mich da durch die Hitze gekämpft, aber da will ich nicht klagen.

00:00:39: Ich mag das Wetter und den Sonnenschein.

00:00:43: Da bin ich völlig dabei!

00:00:47: Achsel, normalerweise komme ich mit dem Themenvorschlag.

00:00:50: Du hast heute angedeutet du hättest eine Idee, worüber wir mal plaudern sollten.

00:00:55: dann schießt was los?

00:00:56: Ich bin gespannt.

00:00:57: Ich habe eine Idee genau und zwar dachte ich Wir können einfach mal über das allseits beliebte Thema Pentesting sprechen.

00:01:05: Ich will da mal kurz ein bisschen skizzieren, was ich dabei im Kopf habe.

00:01:10: Und zwar Pentests sind ja von vielen Anbietern und auch wir haben hier eine entsprechende Techniktruppe, so ein Stück Brot-und-Buttergeschäft.

00:01:22: Die Pentests haben sich natürlich alle auch ein Stück weiterentwickelt Und wir kennen glaube ich beide sehr gut auch die Diskussion, die wir innerhalb der Firma führen.

00:01:32: Wir haben da glaube ich bei dem einen oder anderen Partner auch den Ohr am Puls der Zeit sag' ich mal und trinken mit was da läuft oder was eben auch nicht läuft?

00:01:45: Und ja!

00:01:46: Da dachte ich mir stell vielleicht mal die Frage wie sieht's denn überhaupt aus mit der Zukunft von Pentests?

00:01:52: werden wir überhaupt noch Pentests in Deutschland durch Personal hier durchführen.

00:01:59: Was meinst du?

00:02:01: Okay, eine interessante Fragestellung.

00:02:06: Bevor ich in die Zukunft gucke, würde ich einfach nochmal in die Vergangenheit schauen und mal die Historie, die ich da bei der TÜV Trastati hatte beleuchten wenn ich an die ersten Aktivitäten in die Richtung mit meiner Beteiligung denke ich.

00:02:24: Das war so zwanzig zwölf, zwanzzig dreizehn wo wir vielfach Penetrationstests bei Kunden platziert haben meistens die ich sag mal wirtschaftlich sehr bedeutsame Web Anwendungen betrieben haben für ihr eigenes Geschäft und diese dann eben untersucht haben.

00:02:43: Dann war das damals ja so ein Einstiegsprojekt, so würde ich es mal nennen bei Kunden mit denen wir dann sehr viele lange Jahre und oft bis heute zusammengearbeitet haben.

00:02:58: Also das war ein niedrig-schwelliges Thema weil im Gegensatz zu einem ISMS Projekt was ja durchaus ein höheres Volumen haben kann und auch irgendwo muss wenn solide unterhaftig gemacht wird war so ein Penetrationstest, meistens bei uns nach der BSI-Methodik ausgeführt.

00:03:21: Ein Thema was man mit fünf, sechs, sieben Personentagen inklusive einem belastbaren Ergebnisbericht etc.

00:03:29: ausführen konnte und insofern für viele die sich erstmals auch mit dem Thema Informationssicherheit im technischen Umfeld befasst haben ja das richtige Mittel um ins Thema einzutauchen.

00:03:43: Das habe ich auch bei Kunden erlebt, vielleicht kurzer Einschub.

00:03:46: Wenn ich da vertrieblich erst Termin Informationssicherheit... Wir haben ja letztes Jahr ein Pen-Test gemacht und sind super aufgestellt.

00:03:55: Aber das ist ein anderes Thema!

00:03:57: Ja genau, kann auch schon mal trügerische Sicherheiten mit einer Erkehr.

00:04:01: Dann haben wir das lange Jahre so ausgeführt.

00:04:04: begleitend oder wichtiges Element ist so ein Penetrationstest immer auch bei bestimmten Zertifizierungsmodellen.

00:04:12: Da gibt es ja unsere Trusted-Serie, wo man dann neben dem organisatorisch Prozessualen auch die technische Analyse macht und das ist dann eben klassisch auf den jeweiligen Scope ausgerichtet der Penetrationstest.

00:04:24: Und da würde ich sagen, der wird natürlich immer wieder modernisiert mit anderen Tools, mit anderen Metriken, Methodiken aber im Prinzip immer noch so wie ursprünglich angesetzt ausgeführt.

00:04:43: Es hat sich natürlich einiges massiv verändert in den Jahren und jetzt fange ich mal an von der Gegenwart dann fast so ein bisschen eher in die Zukunft zu gucken.

00:04:54: Ja, was wir für Erkenntnisgewinne haben können wie die Kunden auch letzten Endes über KI unterstützte Angriffen ausgesetzt sind

00:05:07: etc.,

00:05:08: dass Und an der Stelle ja gerade doch massiv das Vorgehen auch bei uns eben ändert, um da wieder ein Schritt voraus zu sein.

00:05:17: Da stellt sich natürlich immer die Frage kann ich das überhaupt eine Anzahl Personentage so festmachen?

00:05:24: Manchmal schwierig mit welchen Angriffsvektoren habe ich es eigentlich zukünftig zu tun.

00:05:32: Ein super wichtigen Punkt finde stelle ich eigentlich vor dem eigentlichen Angriff oder vor dem penetrationstest eine Recherche an, um möglichst viel wichtige Erkenntnisse zu erlangen und den Angriff auch sehr zielgerichtet gestalten zu können.

00:05:53: Das ist genau das was die Hacker in jetzt und in Zukunft noch stärker massiv tun.

00:06:02: über KI und die Informationsmöglichkeiten der KI-Agenten hat man einen massiven Vorsprung, wenn es darum geht zu bestimmten Zielobjekten wichtige Informationen zu erhalten und das ist genau das was auch den Penetrationstest natürlich massiv im Vorgehen verändert.

00:06:22: Aber würde ich nicht einfach zukünftig Chat GPT fragen?

00:06:26: gibt mir mal die Schwachstellen von einem einer Firma Maya Müller Schmitz.

00:06:33: wo könnte sich da am besten eindringt?

00:06:36: So ganz so simpel wird's nicht sein dass wir das auch mal von den Experten darlegen und zeigen lassen.

00:06:45: Es gibt, wie gesagt im Bereich des Information Gathering so nennt man es ja also der Informationsbeschaffung gibt es da Möglichkeiten die deutlich ausgeweitet sind.

00:06:56: aber so simpel dass man einfach fragt was ist die schönste?

00:07:00: Was ist die günstigste Übernachtungsmöglichkeit in Sylt nächste Woche, ja oder auf Sylt nächsten Woche so.

00:07:07: Das ist es eben nun mal auch nicht.

00:07:09: Also das ist schon deutlich komplexer und du brauchst nach wie vor Gehörigesfund Vorwissen um gezielt vorzugehen kannst dann aber wirklich exponentiell stärker Ergebnisse erzielen dir der dann hocheffizient und sehr aggressiv einen Angriff auch möglich machen.

00:07:32: in unserem Zeitstrahl zum Thema Penetrations-Test war es ja dann auch so, dass wir viel stärker von dem klassischen PEN Test in das Thema Assume Breach eingestiegen sind.

00:07:42: Also diese klassischen BSI Vorehensmodell PEN Tests weniger ausgeführt haben sondern eher ganz spezielle individuelle Szenarien eingetreten sind mit den Kunden oft auch was die Möglichkeit von Innen Tätern betraf eingestiegen sind.

00:08:01: Und eigentlich

00:08:03: ist das schon so.

00:08:03: Richtung Red Teaming Assessment?

00:08:05: Ja, genau.

00:08:06: und das was jetzt geschieht ist dann wieder eine Spiraltrehung weiter über KI unterstützt ein Thema wo wir noch mal eine deutliche Dimension dazu bekommen und auch eine starke Beschleunigung dessen was passieren kann.

00:08:25: Also jetzt hast du eben gesagt, so einfach ist es mit KI nicht.

00:08:28: Jetzt würde ich aber doch noch einmal gerne einhaken also wenn man natürlich das... also jetzt die Pressemeldung zuletzt verfolgt hat auch mit Anthropik.

00:08:38: Ich meine jetzt will Herr Trump ja den Europäern den Zugang dort abdrehen Aber das heißt ja nicht dass womöglich böse Teams irgendwie sich Zugang da verschaffen können oder Zugang haben.

00:08:54: Und ja, ist die Bedrohung nicht bald wahnsinnig groß auch über solche Mechanismen?

00:09:03: Ja.

00:09:04: Nicht nur bald Axel.

00:09:05: leider ist die bedrohungen massiv groß und wir tun gut dran das ist jetzt mal ein Thema losgelöst vom Pentest-Thema unabhängig zu werden.

00:09:17: man sagt ja durchaus berechtigt, digital souverän zu werden oder das so gut wie möglich zu erhalten.

00:09:23: Wir müssen uns von Plattformen unabhängiger machen die beispielsweise eben aus den USA kommen oder nur dort betrieben werden

00:09:35: etc.,

00:09:36: da müssen wir gucken in Europa eigene Wissenswelten auch aufzubauen um sowas dann auch selber forcieren zu können.

00:09:46: In Teilen können wir das ja.

00:09:49: Also wenn ich jetzt, was weiß ich an die Disziplin des Quantencomputings denke als Beispiel.

00:09:55: Da sind wir sogar in Deutschland nach wie vor ganz weit vorne.

00:09:59: aber eben in Europa gerade in dem Bereich der KI Themen haben wir mit Sicherheit Luft nach oben.

00:10:09: Wir haben total viel auch sehr coole und innovative Startups ganz viele schlaue Köpfe, da bin ich ganz sicher.

00:10:17: Aber wir müssen das natürlich auch finanziell ausstatten und so sich entwickeln lassen dass wir dann wirklich einen Markt haben der diese besagte Souveränität im digitalen Umfeld auch möglich macht.

00:10:29: sonst es ist genauso wie du schreibst ja also Diganoven werden kein Problem haben an Plattform zu kommen die uns vielleicht über diese politische Situation ausgehend vorweigert werden.

00:10:45: Also

00:10:45: ich möchte da ehrlich gesagt nicht am Tropf der USA hängen, bin aber auf jeden Fall ein Stück bei dir gerade wenn ich so die RZ Themen aktuell sehe.

00:11:00: Ich sag nur die Schwarzgruppe ist ja offensichtlich massiv am investieren und auch andere RZ Cluster sieht man da gerade in Deutschland am entstehen und ich glaube das ist zumindest, ich sage erst mal einen Hoffnungsschimmer.

00:11:13: Ja

00:11:14: nicht zuletzt deswegen sind wir ja grade sehr stark im Gespräch mit der Plus Server.

00:11:21: Da werden wir den Kollegen auch mal jetzt zeitnah bitten, mit in den Podcast zu kommen um da tiefer einzutauchen.

00:11:33: Ich weiß auch dass du aus deinem Umfeld der Versorger von Projekten gehört hast wo man investiert um eben auf deutschen Boden unabhängiger zu werden.

00:11:44: und also das ist ja eine Bewegung.

00:11:48: Das muss man zum Glück daran die auch nicht mehr aufzuhalten ist dass dort investiert wird und sich da wirklich was bewegt.

00:11:54: Genau und es ist ja gar nicht so selbstverständlich, dass wir so massiv in Deutschland Rechenzentrumskapazitäten aufbauen.

00:12:00: Also in deren Sicht auf jeden Fall ein Schritt in die richtige Richtung.

00:12:03: aber ich bin völlig bei dir was die KI selbst angeht da haben wir sicher

00:12:08: Luft nach oben.

00:12:11: Fahrgestellung war ja jetzt Pen-Testing.

00:12:12: Wie entwickelt sich das?

00:12:14: Und da kommt ja jetzt neben diesen technologisch getriebenen Geschichten KI und was sonst noch alles auf uns einströmt, kommt auch eine andere Komponente dazu.

00:12:25: Was ist an der Stelle beispielsweise mit Nier Show Offshore Ausführungen solcher Meditationstests?

00:12:33: Da gibt es natürlich Ich sag mal sehr kaufmännisch, auf den ersten Blick sehr attraktive Möglichkeiten, Dinger ausführen zu lassen.

00:12:42: Wo ich mich dann auch schon immer frage klar, Pentesten kann man irgendwie von jedem Punkt der Welt aus.

00:12:48: Qualifikation und vor allen Dingen dann auch Interpretation dessen was man an Feindings gefunden hat ist aber auch ein Thema.

00:12:57: und da sagen wir so wenn ich sowas beauftragen würde und ich verantwortlich für eine Organisation wäre dann wäre es doch sehr reizvoll und wichtig für mich, dass ich da eine gewisse Nähe

00:13:10: habe.

00:13:12: Da bin ich völlig bei dir auf der anderen Seite wenn ich auch an unserer Erfahrung im Ausschreibungsgeschäft denke und es dann eine Anforderung gab die Kontaktpersonen sollen halt der deutschen Sprache mächtig sein.

00:13:24: das ist erstmal das was man sowieso erwartet.

00:13:26: aber wenn man dann ne Bieterfrage liest reicht es aus wenn eine Person der deutschen sprache mäftig dann kann man natürlich schon sehen, worauf das eigentlich abzielt und die wurde ja auch noch mit Ja beantwortet.

00:13:41: Das heißt da ist der Weg vorgezeichnet?

00:13:46: Ja

00:13:47: genau!

00:13:50: Deswegen glaube ich nicht dass sich das grundsätzlich voll in diese Richtung entwickelt.

00:13:57: also ich glaube Dinge, die man anreichern kann, wo man auch gerade bei größeren Kontingenten schauen kann.

00:14:06: Dass man es kaufmännisch besser darstellen kann aber das wird nicht die Schlüssel Thema sein.

00:14:13: Das ist eher dann tatsächlich in diesem methodischen und technologischen Bereich zu sehen.

00:14:20: Ich bleibe dabei.

00:14:21: Es ist eigentlich für jede Organisation und jeden Bereich der Einsteigen will in die Informationssicherheit eine gute Idee damit mal den Erstlingswurf zu machen und dann aus dem Feindings heraus auch Maßnahmen eben abzuleiten.

00:14:37: Das ist eigentlich das Wichtigste, dass man da wirklich wie im Management System bekannt Maßnahmen verankert die mit Zeitstempeln, Verantwortlichkeiten versieht.

00:14:48: und dann ist man schon wieder mehr in dem organisatorisch-prozessualen Thema.

00:14:53: Ich wollte gerade sagen, dann ist es eigentlich schon fast eine subdiszipline Informationssicherheit.

00:15:00: Aber ja und man muss das einfach im Blick behalten und man darf sich nie zu sicher fühlen.

00:15:06: Das ist glaube ich wirklich wichtig.

00:15:09: So ist es.

00:15:09: Und sehr spannend!

00:15:11: Das ist auch das Schöne an dem Thema.

00:15:13: Sehr spannend sind immer die Dinge, die bei den Nachbesprechungen erörtert werden.

00:15:21: Wir sind ja beide im Vertrieb mal häufiger dabei, wenn es genau darum geht.

00:15:24: Das heißt wir sitzen ja nicht dem Pentester quasi auf den Schoß und schauen was der tut.

00:15:29: das verstehen wir im Zweifel auch gar nicht.

00:15:31: aber Wenn eben der Geschäftsführung erläutert wird was ist bedeutet was da gefunden wurde Da bin ich immer wieder baff was da für Möglichkeiten bestehen um was dabei solchen Geschichten rauskommt.

00:15:44: also der

00:15:44: gibt schon mal große aus Ja, gibt schon mal große Augen.

00:15:47: Das merkt man und ich will es nicht so sagen.

00:15:50: aber manchmal sieht man auch der IT-Leiter denkt sich Ich habe's ja schon öfter gesagt Aber man braucht dann doch mal die externe Bestätigung dass vielleicht hier und da noch Nachholbedarf in puncto Sicherheitsfragen gibt.

00:16:03: Genau das beschleunigt dann auch wieder andere Trämenstellungen Die bearbeitet werden müssen.

00:16:09: am Ende muss jemand das Budget freigeben.

00:16:13: Das sind alles vernünftige, rational denkende Menschen.

00:16:15: Die brauchen aber eben auch eine vernünftig nahvollziehbare Erklärung, warum ein Investment Informationssicherheit Sinn macht und das Lieferten-Pentest in der Regel sehr gut.

00:16:28: Das ist doch schon fast ein wunderbares Schlussdämen.

00:16:32: Das muss dich auch jetzt abgeben, weil ich habe tatsächlich du wirst lachen gleich einen Kundentermin wo es genau um dieses Thema geht.

00:16:39: Es geht um das Thema Scoping zum Penetrationstest und Vorbesprechung.

00:16:44: da will ich natürlich vorbereitet reingehen.

00:16:47: Dann würde ich sagen, wenn es noch Fragen zur Motivation des Pentests gibt.

00:16:51: Kannst du ja einfach in unserem Podcast abspielen und dann hast du dir noch eine Viertelstunde Zeit gehabt.

00:16:56: Perfekt!

00:16:56: Gute Idee.

00:16:57: Das machen wir nicht das.

00:16:58: Da müssen wir jetzt schnell Schluss machen damit er veröffentlicht werden kann.

00:17:03: Stefan, ich danke dir.

00:17:04: Ich fand da super.

00:17:06: Danke für die gute Idee.

00:17:07: und dann bis dahin.

00:17:10: Alles klar.

00:17:12: Dir auch.

00:17:12: Mach's gut.

00:17:13: Tschüss.

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.