Anfang Juli ließ die CPS-Datensysteme GmbH einen ganz besonderen Test auf ihre Systeme durchführen: einen sogenannten Penetrationstest. Dabei versuchten versierte White-Hats ("gute Hacker") von der Spezialfirma syret GmbH aus Halle an der Saale in das interne Netzwerk und die von außen erreichbaren Systeme einzudringen.
Die Tester gingen dabei vor, wie echter Angreifer. Sie erhielten dazu nur zwei Hilfestellungen: Einerseits wurde ihnen mitgeteilt, welche von außen erreichbaren Systeme der CPS-Datensysteme GmbH gehören und welche nicht. Dies ist eine rechtliche Notwendigkeit, um Angriffe auf fremde Systeme ohne Zustimmung ihrer Eigentümer zu vermeiden. Andererseits durfte ein Tester das Unternehmen für zwei Tage besuchen und sich mit dem internen Netzwerk verbinden, erhielt aber keine Zugangsdaten. So sollte auch ein Angriff simuliert werden, bei dem die Angreifer sich bereits Zugriff auf das Netzwerk verschafft haben und ihn weiter ausbauen möchten.
Doch die "Angreifer" bissen sich bei CPS die Zähne aus. Wie Marian Kogler, Geschäftsführer der syret GmbH ausführte, erreichen die Tester durchschnittlich bei mehr als drei Viertel der Testeinsätze Administratorenrechte und damit die vollständige Kompromittierung des Unternehmens. Bei der CPS-Datensysteme GmbH konnten jedoch keine kritischen Schwachstellen zur weiteren Eskalation gefunden werden.
Dank einer stark differenzierten Netzwerksegmentierung waren die im internen Netzwerk der CPS-Datensysteme GmbH gefundenen Schwachstellen im Gesamtkontext als unkritisch einzustufen und auch nur dann ausnutzbar, wenn sich der Angreifer kabelgebunden an das interne Netzwerk anschließen konnte. Das ist aufgrund der strengen Zugangskontrollen mit Videoüberwachung jedoch ausgeschlossen. Auf einem externen Server, der keine Vertrauensbeziehungen zu anderen Servern der CPS-Datensysteme GmbH unterhielt, wurde in einer Webanwendung für den internen Gebrauch eine Cross-Site-Scripting-Schwachstelle gefunden. Diese konnte bereits wenige Stunden nach Bekanntwerden der Schwachstelle vollständig behoben werden.
Unmittelbar nach der Berichterstattung durch die Tester, wurden die enthaltenen Handlungsempfehlungen durch die CPS-Datensysteme GmbH zur weiteren Härtung des Netzwerkes umgesetzt. Das Niveau der Cybersicherheit des Unternehmens hat sich damit noch einmal deutlich erhöht.
Felix Weigand, Geschäftsführer der CPS-Datensysteme GmbH, freut sich über das positive Ergebnis. Weigand empfiehlt allen Unternehmen, die sich Gedanken um ihre IT-Sicherheit machen, einen Penetrationstest durchführen zu lassen und fügt an, "Trotz des durchweg sehr guten Ergebnisses schärft ein solcher Test nochmals den Blick auf die wichtigen Komponenten, was letztlich auch unseren Kunden und den uns anvertrauten Domainnamen zugutekommt."
Das Projekt wurde durch das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) im Rahmen eines Förderprogrammes unterstützt.
