Vortrag der Firma ETAS zum Job Profil "Penetration Tester"

Der Hauptsitz der Firma ETAS in Stuttgart
Der Hauptsitz der Firma ETAS in Stuttgart

Im Rahmen der Vorlesung "IT-Sicherheit: Angriff und Verteidigung", gab es am Freitag, den 22. April 2022 wieder einen Vortrag, der sich mit der Thematik IT-Sicherheit und genauer mit dem sogenannten Penetration Test beschäftigte. Dazu waren zweit Mitarbeiter der Firma Engineering Tools, Application and Services (ETAS) an der Hochschule der Medien (HdM) zu Gast. Auch dieser Vortrag fand konnte vor Ort und als Live-Stream verfolgt werden.

Die beiden ETAS-Mitarbeiter Rene Reuter und Finn Steglich, die für den Vortrag zu Gast an der HdM waren, arbeiten beide als Pentester im Security-Team der Firma. In ihrem Vortrag sprachen sie darüber, was ein Penetration Test ist, wie er durchgeführt wird und funktioniert.

 

Was ist ein Penetration Test?

 

Bei einem Penetration Test werden Seiten im Internet, Programme oder ganze Netzwerke auf Schwachstellen für Angriffe von Dritten geprüft. Dabei wird in Blackbox und White hat pentesting unterschieden, wobei bei ersterem wenig über das anzugreifende Ziel bekannt ist, gibt es beim White hat Modell viele Informationen vom Kunden, teilweise sogar Quellcode der Anwendung. Bei ETAS ist es meist eine Mischung aus beiden Szenarien, wie die ETAS-Mitarbeiter erläutern. Ein Pentest wird während der Implementation und vor der Produktion/Veröffentlichung von Programmen durchgeführt, damit die Schwachstellen noch vor dem Einsatz im Wirkbetrieb bekannt werden und behoben werden können. "Für ein ausgiebiges Testen bleibt meist in der Praxis keine Zeit und wird auch häufig bei Projektplanungen nicht bedacht", erklärt Rene Reuter.

 

Ablauf von Pentests

 

Vor dem Durchführen eines Pentests gibt es ein Gespräch mit dem Kunden, in dem Besprochen wird, welcher Umfang getestet werden soll. Die Firma ETAS zeigte hierfür die Checkliste, die sie selbst nutzen. Darin enthalten sind Aspekte wie Kundendaten, Scope der Anwendung, wo die Anwendung testbar ist - Internet oder Intranet - und eine Einstiegs URL mit Accounts für die Anwendung. Bei dem Gespräch mit dem Kunden werden auch zum einen mögliche Angriffsszenarien besprochen, zum anderen aber auch, welche Ausgeschlossen werden. Der eigentliche Pentest nimmt die kürzeste Zeit in Anspruch. Dabei wird versucht, die Schwachstellen des Systems zu finden. Nach der Durchführung des Tests wird ein Abschlussgespräch mit dem Kunden geführt, in dem die Schwachstellen erläutert werden und es allgemeine Empfehlungen gibt, wie diese behoben werden können. Teilweise gibt es auch erneute Tests, bei denen überprüft wird, ob die bekannte Schwachstelle oder die bekannten Schwachstellen noch vorhanden sind oder ob neue Probleme aufgetaucht sind.

 

Die gesammelten Informationen werden für den Kunden in einem Pentestreport zusammengefasst. Hier werden auch die Probleme bewertet, damit der Kunde weiß, welche zuerst behoben werden sollen. ETAS nutzt dazu das Bewertungsschema nach Common Vulnerability Scoring System (CVSS).

 

Wie funktioniert ein Pentest?

 

Der eigentliche Pentest besteht aus der Überprüfung der Funktionalität der Anwendung. Hier wird zum Beispiel geprüft, ob eine SQL Injection oder Cross-Site-Scripting (XSS) möglich ist.

 

ETAS zeigte in seinem Vortrag anhand einer Beispielseite, wie erweiterte Rechte erhalten werden können. Dazu manipuliert Rene Reuter die URL so, dass durch eine andere ID in der URL auf die Seite mit der Rechteverwaltung zugegriffen werden kann. Weitere Angriffsszenarien werden in der Vorlesung "Anwendungssicherheit" anhand der Open Web Application Security Project (OWASP) Top 10 besprochen und auch selbst durchgeführt und ebenso in der Vorlesung "IT-Sicherheit: Angriff und Verteidigung".

 

Über ETAS

 

Die ETAS GmbH ist ein Softwarehersteller für die Automobilindustrie und eine Tochtergesellschaft der Bosch-Gruppe. Die Abteilung des Security-Teams von ETAS hat neben Pentesting auch noch weitere Schwerpunkte, wie Threat und Risk Analysen, Cloud Security, Industrial Cybersecurity für zum Beispiel Industrie 4.0. Sie stellen aber auch Security Experten und Manager für Projekte bei Bosch. ETAS bietet die Möglichkeit, ein Praxissemster in diesem Bereich zu machen oder als WerkstudentIn in der Firma zu arbeiten. Der Kontakt hierfür kann direkt über die Firma oder über Prof. Dr. Dirk Heuzeroth erfolgen.

 

- Carolin Zangl

 


Kontakt:
Dirk Heuzeroth
Telefon: 0711 8923-2696
E-Mail: heuzeroth@hdm-stuttgart.de

Weiterführende Links:
Zur Website von ETAS
Zur Veranstaltung "Anwendungssicherheit"
Zur Veranstaltung "IT-Sicherheit: Angriff und Verteidigung"

27. April 2022