Hacker gegen Hacker

Um die Sicherheit des eigenen Netzwerks zu gewährleisten, lässt Österreich Werbung regelmäßig Penetrationtests von A1 Digital durchführen, um Schwachstellen zu entdecken und zu beheben bevor andere es tun.

Die Österreich Werbung (ÖW) mit Sitz in Wien ist die nationale Tourismusorganisation Österreichs. Zentrales Anliegen der ÖW ist es, gemeinsam mit allen österreichischen Tourismuspartnern für den Erhalt bzw. den Ausbau der Wettbewerbsfähigkeit des Tourismuslandes Österreich zu sorgen. Auf www.austria.info bietet die ÖW allen, die nach Inspirationen und Informationen zu Urlaub in Österreich suchen, eine Fülle an Artikeln in acht Themenfeldern und ganzjährig Urlaubsangebote. Aktuell besteht die Website in 22 Sprachen für 27 Länder weltweit und ist für alle Endgeräte optimiert. Für diese Aufgaben sind weltweit rund 200 Mitarbeiterinnen und Mitarbeiter in Wien und den 21 Vertretungen im Ausland tätig.

Die zunehmende Vernetzung im Zuge der Digitalisierung erhöht die potenzielle Angriffsfläche und dient Datendieben und Hackern als mögliches „Einfallstor“. Aus diesem Grund lässt die ÖW regelmäßig Penetrationstests durchführen, bei denen professionelle Hacker Schwachstellen aufspüren, um diese gezielt beheben zu können. Dieses Mal beauftragte die ÖW die A1 Digital International GmbH aus Wien mit ihrer übers Intranet erreichbaren Infrastruktur, ihren internen Applikationen und ihren Windows-Clients mit einem Penetrationstest. Ein wesentlicher Bestandteil des Penetrationstests der A1 Digital-Experten besteht darin, jene Angriffsmuster nachzubilden, die auch von Cyberkriminellen benutzt werden.

In Vorbereitung auf den Penetrationstest analysierten die A1 Digital-Experten, sogenannte White Hat Hacker, das Tätigkeitsumfeld der ÖW und diskutierten über die Zielsetzung und die weitere Vorgehensweise. Im anschließenden Kick-off-Meeting wurde gemeinsam mit dem Kunden der Ablauf des Security Assessments besprochen. Dabei wurde der zu überprüfende Testgegenstand festgelegt und geklärt, wie mit der Erkennung von Gefahrenpotentialen umgegangen werden soll. Im Zuge des Penetrationstests stellte die ÖW den A1 Digital-Experten eine Liste von anonymisierten internen IP-Adressen zur Verfügung und erteilte explizit den Auftrag für intrusive Angriffe („Permission to Attack“), da diese ansonsten illegal wären. Bei intrusiven Angriffen wird versucht, die technischen Schutzmaßnahmen zu umgehen und gegebenenfalls vorhandene Sicherheitslücken auszunützen.

Im Rahmen der Client Analyse stellte ÖW einen Standard-Client zur Verfügung, der auf verwundbare Software hin überprüft wurde. Die Analyse umfasste installierte bzw. dem Benutzer zugängliche und verfügbare Software-Programme, Virenschutz sowie laufende aktivierte Dienste. Darüber hinaus wurde auch die sichere Konfiguration des Geräts wie etwa Gruppenrichtlinien, Verschlüsselung, Administrator-Rechte und Netzwerkintegration geprüft.

Bei ihren Tests verfolgten die Experten einen Timebox- und Greybox-Ansatz. Das bedeutet, dass das Aufdecken von Sicherheitsrisiken Beschränkungen durch Zeit (Timebox) und Ressourcen sowie Wissen über System-Interna (Greybox) unterworfen war. Auf diese Weise wurde der gemeinsam mit der ÖW festgelegte Testumfang überprüft. Der gesamte Prozess dauerte vier Wochen. Die Ergebnisse des Security Assessments sowie die sich daraus ergebenden konkreten Handlungsempfehlungen wurden in einem Bericht dargestellt.

„Für ihren Penetrationstest hat A1 Digital Methoden und Techniken eingesetzt, die von echten Angreifern oder Hackern verwendet werden, um sicherzustellen, möglichst viele Schwachstellen zu finden. Die Planung und Umsetzung eines auf unsere IT-Systeme individuell zugeschnittenen Penetrationstests ist sehr umfassend. Insofern haben uns die Ergebnisse geholfen, bisher unbekannte Schwachstellen zu identifizieren und schnell zu beheben. A1 Digital hat sich dabei als ein verlässlicher und professioneller Partner im Umgang mit potenziellen Hackerangriffen erwiesen“

Daniela Rechberger, Bereichsleitung IT & FM Österreich Werbung