Für eine Bank ist ein starkes IT-Sicherheitskonzept unverzichtbar. In diesem Blogpost und dem abschliessenden Interview mit dem IT Security-Spezialisten Philipp Rohrbach erfahren Sie, wie PostFinance Ethical Hacking gezielt einsetzt, um Schwachstellen in IT-Systemen frühzeitig zu erkennen und zu beheben.
Vulnerability Management, auch Schwachstellen-Management genannt, umfasst die kontinuierliche Überprüfung und Bewertung aller IT-Komponenten, wie Server, Netzwerke, Computer und Cloud-Technologien. Identifizierte Schwachstellen werden bewertet, priorisiert, behoben und dokumentiert.
Klare Verantwortlichkeiten sind entscheidend, um den Prozess effektiv zu gestalten. Unternehmen minimieren so das Risiko von Sicherheitsvorfällen, erhöhen die Cybersicherheit und sichern die Einhaltung gesetzlicher Vorschriften, insbesondere im Umgang mit sensiblen Daten. Der wachsende regulatorische Druck zwingt Unternehmen ohnehin dazu, sich dieser Bedrohungen ernsthaft anzunehmen, um Datenschutzverletzungen und Reputationsschäden zu vermeiden.
Ethical Hacking ermöglicht es Unternehmen, ihre IT-Systeme proaktiv auf Sicherheitslücken zu prüfen. Zu diesem Zweck stellen Unternehmen professionelle Hacker an, die auch Ethical Hacker genannt werden. Diese führen dann Penetrationstests durch, um Schwachstellen in Netzwerken, Anwendungen und Systemen aufzudecken, bevor sie von Cyberkriminellen ausgenutzt werden. Dies stärkt die Widerstandsfähigkeit des Unternehmens gegen Cyberangriffe und minimiert das Risiko kostspieliger Sicherheitsvorfälle, die den Ruf des Unternehmens schädigen könnten. So stellt Ethical Hacking sicher, dass Massnahmen geplant und umgesetzt werden können, um Sicherheitsstandards und Compliance-Vorschriften einzuhalten.
Die Netzwerk- und Systemadministration ist das Rückgrat der IT-Infrastruktur eines Unternehmens und spielt eine zentrale Rolle im Schwachstellen-Management. Regelmässige Scans und Analysen helfen nicht nur, die Leistung zu optimieren, sondern auch Schwachstellen in den Systemen zu erkennen, die behoben werden müssen, um eine stabile und sichere IT-Umgebung zu gewährleisten.
In der Softwareentwicklung und IT-Implementierung ist es entscheidend, dass Sicherheitslücken während des Entwicklungsprozesses identifiziert und adressiert werden. Schwachstellen in neu entwickelten oder implementierten IT-Systemen können gravierende Sicherheitsrisiken darstellen. Ein gewissenhaftes Security-Testing während des Entwicklungsprozesses und vor dem Go-Live spielt hierbei eine wichtige Rolle, damit Schwachstellen in der Software aufgedeckt werden, bevor diese in den Betrieb gehen. So wird sichergestellt, dass neue Anwendungen und Systeme robust und sicher sind, was die Effizienz und Sicherheit der IT-Systeme erhöht.
Technologien wie Verschlüsselungssysteme und Authentifizierungsmethoden sichern digitale Geschäftsprozesse ab und unterstützen die reibungslose Datenverarbeitung. Schwachstellen in diesen Systemen stellen jedoch erhebliche Sicherheitsrisiken dar, besonders beim Schutz sensibler Informationen. Umso wichtiger ist es, Schwachstellen in sicherheitskritischen Technologien wie Verschlüsselungssystemen aufzudecken. Diese Sicherheitsaudits sind integraler Bestandteil des Schwachstellen-Managements und gewährleisten, dass Unternehmen ihre Systeme sicher betreiben können.
Durch praxisnahe Trainings und simulierte Cyberangriffe kann Mitarbeitenden anschaulich gezeigt werden, wie Schwachstellen in Systemen entstehen und wie diese gezielt ausgenutzt werden könnten. Dies fördert ein tiefes Verständnis dafür, wie wichtig es ist, Sicherheitsprotokolle einzuhalten und proaktiv auf potenzielle Bedrohungen zu reagieren. Darüber hinaus sollten die Mitarbeitenden in der Anwendung bewährter Sicherheitspraktiken regelmässig geschult werden. Dazu sollte etwa das sichere Management von Passwörtern oder die Erkennung von Phishing-Versuchen gehören. So wird das Bewusstsein für die Notwendigkeit eines robusten Schutzes der Unternehmensdaten nachhaltig im gesamten Unternehmen gestärkt.
Wenn bei der «gelben Bank» das Red Team auf das Blue Team losgelassen wird, geschieht dies im Auftrag der Sicherheit. Was dahinter steckt, erklärt der IT Security-Spezialist Philipp Rohrbach.
Sie stehen auf der guten Seite: Ethical Hacker decken für Unternehmen Schwachstellen in Webapplikationen, Netzwerken und Systemen auf, bevor dies böswillige Hacker tun können. Ein solcher Ethical Hacker ist Philipp Rohrbach. Er arbeitet bei PostFinance in der IT Security und leitet das Red Team. Was seine Aufgaben im Detail sind und wie er dabei vorgeht, erklärt er im Interview.
Als rotes Team übernehmen wir innerhalb der IT Security von PostFinance die Rolle der Angreifer:in. Wir bedienen uns der Technologien oder Angriffsszenarien wie sie bei «echten» Angriffen verwendet werden und setzen diese gezielt gegen die eigenen Systeme ein. Wir versuchen zum Beispiel unsere Services und Systeme für einen Zweck zu verwenden, für den sie nicht gedacht waren – mit dem Ziel, Schwachstellen aufzudecken, bevor sie andere finden können. Wenn man in der IT einen Service betreibt, der von aussen erreichbar ist, muss man davon ausgehen, dass man angegriffen wird. Es ist nicht die Frage ob, sondern wie häufig dies geschieht und wie gut die Angriffe von unserem Blue Team erkannt, abgewehrt und eingedämmt werden können. Die Farb-Bezeichnungen stammen ursprünglich aus dem Militär: Das Red Team ist der offensive Teil der IT Security, das Blue Team der defensive Teil.
Nehmen wir an, wir testen eine App. Dann tauschen wir uns in einem ersten Schritt mit jenen Spezialist:innen aus, die die App entwickeln, betreiben oder weiterentwickeln und definieren die Ziele des Testings. Ein solches Ziel kann sein, in einer Testumgebung eine Finanztransaktion zu manipulieren oder Informationen über eine Schnittstelle innerhalb der App abzugreifen. Anschliessend wird bestimmt, welchen Ansatz wir verfolgen wollen – den Blackbox-, den Graybox- oder den Whitebox-Ansatz. Beim Blackbox-Ansatz erhalten wir fürs Testing Zugang zur Applikation ohne weitere Informationen zur inneren Struktur. Beim weit häufigeren Graybox-Ansatz kriegen wir etwas mehr Unterstützung, indem wir zum Beispiel mit einer Version arbeiten können, in der gewisse Schutzmassnahmen ausgeschaltet sind. Dies verschafft uns einen Vorsprung gegenüber potenziellen Angreifer:innen, die meist mehr Zeit zur Verfügung haben als wir – und die Möglichkeit, die kostbare Testzeit zur Prüfung verwenden zu können und nicht für die Umgehung von Sicherheitsmassnahmen. Oder aber man geht mit dem Whitebox-Ansatz noch einen Schritt weiter und legt den Quellcode offen, sodass es für uns Tester:innen einfacher wird, die Schutzmassnahmen zu umgehen. Anschliessend bauen wir das Testsetup auf und legen los. Wir prüfen zum Beispiel die Authentisierung, das Loginverfahren oder die Zurücksetzung des Passworts auf logische Fehler und Abweichungen von Standards. Oder wir beobachten, wie sich die App verhält, wenn wir sie mit Informationen füttern, für die sie eigentlich nicht gedacht war. Läuft zum Beispiel eine Zahlung von Kunde A zu Kunde B im Hintergrund über zehn Schritte, schauen wir, was passiert, wenn wir die Reihenfolge der Schritte oder den Inhalt verändern. Haben wir dann genügend solche Ansatzpunkte geprüft, ziehen wir Rückschlüsse und dokumentieren diese. Wo nötig, werden dann Massnahmen getroffen, um erkannte Schwachstellen zu beheben.
Je nach Umfang der Überprüfung und entsprechend dem Testaufwand immer anders. Bei kleinen Tests reicht eine Person, bei grösseren braucht es mehrere Tester:innen. Wir greifen dabei auf interne Mitarbeitende, aber auch auf Externe zu. Besonders wichtig ist, dass nicht immer dieselben Personen dieselben Testobjekte unter die Lupe nehmen. Denn insbesondere bei Sicherheitsprüfungen ist oft auch «Out-of-the-Box-Thinking» gefragt – und dabei spielen die individuelle Erfahrung und das persönliche Know-how eine grosse Rolle.
Voraussetzung sind solide Kenntnisse von Netzwerken, ein fundiertes Verständnis dafür, wie Webapplikationen funktionieren und wie Computer und Server zusammenspielen und aufgebaut sind (siehe auch Box). Aber etwas vom Wichtigsten ist, dass man neugierig ist: Ein Ethical Hacker will die Cyberwelt verstehen und diese immer wieder mit anderen Augen betrachten. Er will hinter die Kulissen schauen. Und er verfügt über Hartnäckigkeit und Beharrlichkeit: Er versucht, das untersuchte Objekt solange zu füttern, bis etwas Unerwartetes passiert. Und dann zu verstehen, warum das, was passiert ist, passiert ist. Unser Ziel ist es, Schwachstellen zu entdecken, die zuvor von anderen Augenpaaren, aber auch von automatisierten Tools zur Qualitätssicherung nicht gesehen worden sind.
Kenntnisse über
Es gibt verschiedene Testarten. Für den Bereich des klassischen Pentestings gibt es Zertifizierungen, die in der Branche anerkannt sind. Wer Ethical Hacker werden will, kann und muss sich sehr vieles autodidaktisch aneignen. Dabei unterstützt einen die Community, die ihr Wissen sehr gerne teilt. Gute Möglichkeiten, um seine Skills zu trainieren, sind Plattformen wie Try Hack me oder Hack the Box, die Challenges anbieten oder öffentliche Bug-Bounty-Programme.
Die enorme Vielseitigkeit. Zum einen kann ich mich immer wieder mit unterschiedlichen Technologien auseinandersetzen – wie verschiedenen Programmiersprachen, Applikationen oder Frameworks. Zum anderen komme ich laufend mit unterschiedlichen Leuten in Kontakt. Wir sind nicht auf jedem Gebiet Spezialist:innen, aber wir haben bei PostFinance viele sehr gute Leute. Wenn wir uns auf einen Test vorbereiten, können wir ihr Wissen und ihre Erfahrung anzapfen. Das ist sehr, sehr spannend. Hinzu kommt, dass wir beim Testing wohl nach einer gleichbleibenden Methodik vorgehen, diese jedoch immer wieder auf andere Testobjekte anwenden. Dabei reicht die Palette von Voice Authentification über eine «normale» Webapplikation bis hin zu sehr komplexen Systemen, die Finanztransaktionen verarbeiten. Und nicht zuletzt ist dieser Job nicht nur Arbeit, sondern auch eine Einstellung: Ich will meinen Teil dazu beitragen, dass die Cyberwelt immer wieder ein Stück sicherer wird.
Ich habe ursprünglich Elektroniker gelernt und entwickelte mich im Anlagenbau in Richtung Projektleitung weiter. Da ich dann den technischen Aspekt etwas vermisst habe, studierte ich an der Höheren Fachschule Informatik und Systemtechnik und war anschliessend in einer Agentur für den Bereich New Media verantwortlich, wo ich mir in zahlreichen Projekten ein fundiertes Verständnis von Webapplikationen und Mobileapps aneignen konnte. Dann absolvierte ich ein Informatikstudium mit Schwerpunkt IT-Sicherheit. Das Thema Ethical Hacking hat mich auf meinem Weg stets begleitet. Aus Eigeninteresse eignete ich mir dazu sehr viel Wissen selbst an. Nach dem Studium wechselte ich schliesslich zur IT der Schweizerischen Post als Betriebsspezialist im Bereich E-Voting und kam in Kontakt mit Sicherheitsüberprüfungen. Als dann PostFinance eine:n IT Security-Spezialist:in im Bereich Ethical Hacking suchte, habe ich gedacht: Das ist meine Chance. Seit diesem Jahr bin ich in leitender Funktion tätig und darf zusammen mit einem sehr engagierten Team meinen Teil dazu beitragen, die IT-Systeme und -Prozesse der PostFinance für ihre Kund:innen kontinuierlich sicherer zu machen.
Philipp Rohrbach arbeitet seit 2019 in der IT Security bei PostFinance.
