Penetrationstests richtig auswerten

|
Penetrationstest prüfen Webseiten auf Sicherheitsrisiken. Die Ergebnisse sind nicht immer eindeutig.

Geht es um Sicherheit, wird es schnell emotional. Denn hundertprozentige Sicherheit gibt es nicht. Gleichzeitig geht es in vielen Fällen um Kunden- und Geschäftsdaten. In dieser Gemengelage helfen Penetrationstests. Sie prüfen die Verwundbarkeit deiner Webprojekte und zeigen potentielle Schwachstellen auf. Doch die Auswertung der Testergebnisse ist in vielen Fällen nicht ganz einfach. Worauf du dabei achten solltest und wie du die richtigen Schlüsse aus dem Reporting ziehst, erfährst du hier. 

Penetrationstest, was ist das?

Bei einem Penetrationstest, kurz Pentest, versucht man, Sicherheitslücken eines Webprojektes offen zu legen. Dazu werden alle Bestandteile des Projektes, etwa der Webserver, die Server-Software oder auch die Webseite, künstlich verschiedenen Angriffsszenarien ausgesetzt. Das geschieht mit dem Ziel, Schwachpunkte frühzeitig zu erkennen und Sicherheitslücken zu schließen.

Grundsätzlich gilt: Die Durchführung eines Pentests ist gesetzlich verboten. Dieser Umstand lässt sich allerdings durch eine vertragliche Vereinbarung (Permission to Attack, kurz PTA) zwischen der zu testenden und der den Test durchführenden Organisation umgehen.

Was muss ich bei der Auswertung eines Penetrationstests beachten?

Das Reporting eines Pentests ist oftmals sehr ausführlich. Häufig werden vom Anbieter extrem viele Daten ausgeliefert, die konzentriert und priorisiert abgearbeitet werden müssen. Oftmals stellt sich dabei heraus, dass den vielen Angaben weitaus weniger Maßnahmen folgen müssen. Starte am besten mit den Problemen, die als “High” klassifiziert wurden. Als “Medium” oder “Low” eingestufte Issues sind selten dringlich und können in der Regel im nächsten Entwicklungszyklus, wenn du sowieso am Code arbeitest, betrachtet werden.

Typische Probleme, die ein Pentest offen legt:

 

  • Fehlende SSL Verschlüsselung: Der Klassiker unter den Sicherheitsanforderungen an ein Webprojekt. Das SSL-Zertifikat lässt sich ohne großen Aufwand implementieren. Hostest du deine Projekte bei mittwald, stehen dir sowohl kostenlose als auch kostenpflichtige Zertifikate für unterschiedliche Anwendungsbereiche zur Verfügung.
     
  • Weak cipher: Schwache TLS-Chiffren sind ein Sicherheitsrisiko. Deshalb wird etwa bei mittwald standardmäßig TLS nur noch ab Version 1.2 aufwärts angewendet. Infos, wie du deine Verschlüsselungsprotokolle anpasst, findest du in unserem FAQ-Artikel.
     
  • Offene Ports: Die offenen Ports 21,22,80 und 443 und 3306 werden häufig als Sicherheitsrisiko ausgezeichnet. Allerdings wird kaum eine Webseite ohne zumindest einen dieser Ports auskommen.

    Zur Erklärung:

Port

Verwendungszweck

Kommentar

21

FTP 

wird von verschiedenen Systemen noch genutzt. Ist FTP nicht zwingend erforderlich, raten wir zur Deaktivierung.

22

SSH 

für fast alle Entwickler erforderlich. Kann aber temporär deaktiviert werden, wenn gerade nicht an der Seite gearbeitet wird.

80

http://

unverschlüsselte Zugriffe auf die Webseite, z.B. per Browser. Das kann man vermeiden, indem der Zugriff per 443 erzwungen wird. Wie das funktioniert, erfährst du in diesem Artikel.

443 

https://

verschlüsselter Zugriff auf deine Webseite

3306

MySQL 

 

Hierüber greift deine Webseite auf ihre Datenbank zu. Bei mittwald wird der Port zwar als offen angezeigt, ist jedoch nur mit einem zusätzlichen Datenbanknutzer (der explizit berechtigt werden muss) nutzbar. Jeder Versuch die Datenbank auf andere Weise zu öffnen, läuft ins Leere. Zugriffe sind nur im internen Netz möglich

  • Fehlende security header: Können über PHP gesetzt werden , zum Beispiel so:
    <?php
    header("Strict-Transport-Security: max-age=63072000; includeSubDomains; preload");
    Weitere Informationen findest du in diesem Artikel.
  • Veraltete Software: Ein alter Hut. Nur wer seine Systeme regelmäßig updated, hält sie geschützt. Tipp: Nutze die Auto-Update-Funktion. Damit bist du diese Sorge los.

Das solltest du beachten, wenn du einen Penetrationstest beauftragst

Das 
Macht deine Arbeit leichter Hosting

mittwald
Hosting neu gedacht

Es gibt zahlreiche Anbieter für Pentests. Jeder legt den Fokus auf andere Stellen im System. Um den richtigen zu finden, solltest du also vorab genau definieren, was geprüft werden soll. Nur so findest du den für dich passenden Test. Einige Anbieter bitten dich um sogenannte Whitelistings für IP-Adressen, die den Test durchführen. Das kann unter Umständen bestehende Sicherungsmechanismen deaktivieren. Wir raten daher davon ab. Ein Test sollte immer auf das Gesamtsystem durchgeführt werden. Nur so erlangst du ein klares Bild.

So schützt du deine Seite gegen Angreifer

In manchen fällen reicht es aus, dein Projekt manuell zu überprüfen und Maßnahmen zu ergreifen. Die folgende Liste hilft dir dabei.

Checkliste
 

  • Ist dein SSL Zertifikat aktuell? Benötigst du evtl. ein besonderes SSL Zertifikat?
  • Werden deine Daten sicher gehostet? Achte auf Online Gütesiegel für Web Security und Rechtssicherheit
    Mach den Security Headers Check, z.B. über securityheaders oder wao.
  • Schütze dich vor DDoS Angriffen durch ein Content Delivery Network
  • Verwende eine Web Application Firewall (WAF)
  • Halte deine Software aktuell: CMS, Shop, Plugins, Extensions, …

Sicherheit für deine Daten

Der Pentest sowie alle anschließenden Maßnahmen dienen der Sicherheit deiner Projekte. Ein weiterer wichtiger Security-Baustein für deine Projekte ist das Hosting. Hier spielen viele Facetten eine Rolle - vom Monitoring über die Anomalieerkennung bis hin zur Gebäudesicherheit. All das bekommst du bei mittwald ab dem kleinsten Tarif. Zudem liegen deine Daten in einem Rechenzentrum in Deutschland, das mit der ISO 27001 zertifiziert ist.

Ähnliche Artikel:

Reidar Janssen und Katharina Hoffmann, beide aus unserem Security Team, halten das ISO 27001 Zertifikat in den Händen.
mittwald

Safety first: mittwald ist mit der ISO 27001 zertifiziert

Bei uns sind deine Daten sicher. Deshalb hat uns der TÜV Rheinland gemäß der international anerkannten Norm ISO 27001 zertifiziert. Alles Infos dazu hier.

mittwald

Kontaktformular als Spam-Schleuder? Nicht mit uns!

Eure Kontaktformulare sollen nicht zweckentfremdet und von Spammern gekapert werden. Darum überprüfen wir die Formulare regelmäßig.

Architektur des SSH-Tunnels
Hosting

SSH-Tunnel zu einer Datenbank erstellen

Wie baue ich eine verschlüsselte Verbindung zur Mittwald Datenbank auf? Welche Vorteile ein SSH-Tunnel bietet, erklärt Mittwald Support-Profi Andrej.

Minimalistische Darstellung Laptop + SSL-Zertifikat
Hosting

SSL-Zertifikat: Was ist das und wann brauche ich es?

Was ist ein SSL-Zertifikat? Welche Zertifikate gibt es? Wie unterscheiden sie sich? Wir bringen Licht ins Dunkel.

Kommentare

Ubuntu am

Hallo, vielen Dank für den informativen Beitrag über Hacker Schutz! Sicherheit ist wichtig heute! Viele Grüsse