Hallo Bernhard, schön, dass du dir die Zeit genommen hast. Stell dich gerne zu Beginn kurz vor – Wie lange arbeitest du schon im Bereich Offensive Security und was sind deine Schwerpunkte?

Ich arbeite seit März 2018 in der IT-Sicherheit, bin seit Januar 2021 bei der NSIDE und arbeite dort aktuell als Senior IT Security Analyst. Meine Haupttätigkeit ist dabei die Leitung und Durchführung professioneller Angriffssimulationen wie Red Team Assessments, IT-Sicherheitstests wie Penetrationstests und Lateral Movement Tests auf Netzwerke und IKT-Systeme verschiedenster Technologien, sowie konzeptionelle IT Security Beratung von Unternehmen unterschiedlichster Größen und Branchen vor Ort und Remote.

Was sind nach deiner Erfahrung als Pentester die häufigsten Fehler, die Unternehmen machen?

Die häufigsten Fehler beobachte ich vor allem in drei Bereichen: Konfiguration, Einsatz unsicherer Software (entweder aufgrund unsicherer Softwareentwicklung oder lückenhaftes Patchmanagement) oder der fehlerhafte Umgang mit sensiblen Daten wie Zugangsdaten.

Oftmals wird die Tragweite von vermeintlich kleinen Konfigurationsfehlern unterschätzt. Gerade in Active Directory gibt es so manche Einstellungsoptionen, die nicht unmittelbar gefährlich klingen und gerne im Rahmen von Problemlösungen oder zu Testzwecken aktiviert und anschließend vergessen werden. Dabei reicht aber oftmals schon ein einziger an der falschen Stelle gesetzter Haken, um einem Angreifer die Übernahme der Kontrolle über einen Großteil der IT-Infrastruktur zu ermöglichen. Dass die für die Konfiguration verwendeten Tools oftmals nicht auf das mit einer Einstellung verbundene Risiko hinweisen, begünstigt leider die Existenz von langanhaltenden Sicherheitslücken entsprechend.

Was war dein überraschendstes und dein schwerwiegendstes Finding?

Eine einzelne bzw. bestimmte Schwachstelle zu nennen ist gar nicht so einfach, da auch sehr unterschiedliche Schwachstellen gerne mal zu ähnlich kritischen Ergebnissen führen können, wie beispielsweise die Übernahme der gesamten Domäne eines Unternehmens und somit vollständige Kontrolle über nahezu die komplette IT-Systemlandschaft. Daher betrachte ich als schwerwiegendste Feststellung vielmehr die Summe an Schwachstelle, die man im Rahmen so mancher Projekte sammeln kann.

Hierbei fallen mir gleich mehrere Projekte ein, bei denen wir es innerhalb weniger Stunden schafften, Benutzerkonten mit Domain Administrator Rechten zu übernehmen und innerhalb weniger Tage gleich mehrere disjunkte Wege identifizieren konnten, die zu einem ähnlichen Ergebnis führten. Gerade letzteres betrachte ich nochmal als besonders kritisch, denn je mehr Angriffsvektoren existieren, umso größer ist natürlich auch die Wahrscheinlichkeit, dass ein Angreifer zumindest einen davon auch findet und anschließend ausnutzt.

Dabei besonders überraschend empfinde ich rückblickend die teils stark unterschiedlichen IT-Security-Reifegrade, mit denen man so konfrontiert ist, denn oftmals ist gar kein Bezug zur Unternehmensgröße oder Branche zu erkennen. So hatten wir es schon mit manch kleinem Unternehmen zu tun, bei dem die IT-Ansprechpartner sogar den aktuellen Zustand skeptisch betrachteten, deren Schutzmaßnahmen uns aber so manches graues Haar beschert hat. Und auf der anderen Seite gab es große internationale Unternehmen, die uns erst gar nicht glauben konnten, dass wir bereits am ersten Tag einen hochprivilegierten Benutzer übernehmen konnten und somit vollständige Kontrolle über deren Systeme hatten.

Gab es auch ein Finding was besonders „lustig“ war?

Insbesondere bei internen Tests gelingt es einem öfters, die Passwörter von anderen Benutzerkonten, also von Mitarbeitern des Unternehmens, zu ermitteln. Hierbei ist es oft doch witzig, welche teils – nun ja – ich sage mal „skurrilen“ Passwörter eingesetzt werden.

Bei der Berichterstattung achten wir daher allerdings besonders darauf, dass darin keine Informationen enthalten sind, welche Rückschlüsse auf einzelne Mitarbeiter ermöglichen. Schließlich ist das Ziel dieser Tests primär die technische Betrachtung der Systeme. Die Security-Awareness der Mitarbeiter wird dabei höchstens generisch für das gesamte Unternehmen betrachtet, also ohne konkreten Bezug zu einzelnen Personen.

Hast du noch einen Rat für Unternehmen, die einen Pentest benötigen?

Sofern bereits Anhaltspunkte identifiziert wurden, dass ein Penetrationstest benötigt wird, sei es einfach nur aus Routine aufgrund eines größeren Versionssprungs eines Systems oder aufgrund eines Zwischenfalls, würde ich dringend empfehlen, diesen auch tatsächlich zeitnah umzusetzen, bzw. auf die eigene IT-Abteilung zu hören, sollte sich diese für die Durchführung von einem Test aussprechen. Leider sind wir schon des Öfteren Zeugen von traurigen Fällen geworden, bei denen ein schnelles Vorgehen einen größeren Schaden hätte verhindern können. So wurden wir bspw. bzgl. der Durchführung von einem Penetrationstest kontaktiert, aber trotz Drängen der IT-Abteilung und „mulmigen Gefühl“ wurde die Durchführung des Tests jedoch entweder nicht freigegeben oder auf unbestimmte Zeit verschoben. Ein bis zwei Jahre später wurden wir dann „panisch“ erneut kontaktiert, aber da war der Schaden bereits entstanden: Eine Ransomware hatte zugeschlagen und einen Großteil der Systeme inkl. Backups verschlüsselt.

Für diese Unternehmen führte dies zu teils enormen finanziellen Schäden, in einem besonders tragischen Fall musste als Folge sogar Insolvenz angemeldet werden. Gerade in solchen Fällen, bei denen man mit Mitarbeitern des Unternehmens ja bereits Kontakt hatte, ist es besonders schade.

Was würdest Du jemanden empfehlen, der Pentester werden möchte?

Zunächst hat es mir persönlich immens geholfen, mit unterschiedlichsten Produkten, sei es Hardware oder Software, zu experimentieren und selbst ein kleines Home Lab aufzubauen. Dadurch beginnt man die Funktionsweise dieser Systeme viel besser zu verstehen und sollte man im Rahmen eines Projekts über ein Produkt stolpern, das man bereits selbst mal konfiguriert hat, weiß man auch gleich, worauf man besonders achten bzw. was man sich genauer anschauen muss. Außerdem schafft es auch mehr Verständnis für die Existenz von Fehlkonfigurationen, wenn man mal eine eigene Fehlkonfiguration in einem System entdeckt, das man zum damaligen Zeitpunkt nach besten Gewissen aufgesetzt hatte.

Im Studium konnte ich im Rahmen von „Hacking Labs“ erste Erfahrungen sammeln, wie man Umgebungen auf Sicherheitslücken überprüfen und diese auch ausnutzen kann. Außerdem wurde man dabei auch damit vertraut gemacht, wie man diese Feststellungen für andere möglichst leicht nachvollziehbar dokumentieren kann – letztendlich möchte man ja, dass der Leser eines Testberichts auch versteht, wo genau das Problem liegt, dieses gezielt beheben kann und bestenfalls sogar noch selbst verifizieren kann, ob die getroffene Maßnahme wie gewünscht greift. Wer noch studiert und dessen Uni solche Kurse anbietet, würde ich daher sehr empfehlen, sich für diese einzuschreiben.

Aber es muss nicht zwingend über die Uni laufen. Inzwischen gibt es diverse Onlinekurse oder CTFs (Capture The Flag), die einem erlauben, das Vorgehen für die Suche nach Schwachstellen zu erlernen. Auch gängige Zertifizierungen wie bspw. der OSCP helfen einem sehr, die Grundlagen zu vermitteln oder Wissenslücken zu schließen.