Penetrationstest
Funtap
Unter dem Begriff Penetrationstest wird eine systematische Prüfung eines IT-Systems, einer Softwareanwendung oder eines Netzwerks verstanden. Diese dient dazu, potenzielle Schwachstellen zu identifizieren, über die etwa Hacker in die Systeme eindringen könnten.
Das grundlegende Ziel eines Pentests besteht somit darin, ein System im Hinblick auf die Angriffe von Cyberkriminellen widerstandsfähiger zu machen. Besonders Unternehmen, Behörden und Organisationen sind heute darauf angewiesen, dass sie zu jeder Zeit die Integrität und die Sicherheit sensibler Daten sicherstellen können.
Die Durchführung
Die qualifizierten Sicherheitsexperten, welche das Penetration Testing in Form einer Dienstleistung für ihre Kunden ausführen, werden auch als Ethical Hacker bezeichnet. Durch sie werden reale Angriffe nachgestellt. So sind sie in der Lage, eventuell vorhandene Schwachstellen in der Unternehmens-IT aufzudecken. Für ihren Test können sie unterschiedliche Techniken und Methoden nutzen.
In der Erkundungsphase, welche auch als Reconnaissance bezeichnet wird, tragen die Pentester die nötigen Informationen über ihr Ziel zusammen. Diese bestehen etwa in dem Namen, der Domain oder den IP-Adressen. Im Rahmen des Scannings nutzen sie dann automatisierte Werkzeuge, um in der Zielanwendung oder dem Zielnetzwerk offene Dienste, Ports oder anderweitige Schwachstellen zu identifizieren.
Sind derartige Schwachstellen gefunden worden, unternehmen die Pentester den Versuch, diese auszunutzen und sich Zugang zu dem jeweiligen System zu verschaffen. Möglich ist dies zum Beispiel im Rahmen von Brute-Force-Attacken, Cross-Site-Scripting oder SQL-Injection.
Führt der Penetrationstest so dazu, dass die Tester Zugang erlangen, versuchen sie, noch tiefer in das System ihres Auftraggebers zu gelangen. Dazu erhöhen sie die Berechtigungen. Im Anschluss scannen die Pentester das System in seiner Tiefe nach weiteren Schwachstellen ab. Sie unternehmen außerdem den Versuch, aus dem System sensible Daten zu gewinnen. Auf diese Weise kann demonstriert werden, welche Auswirkungen ein echter Hackerangriff auf das Unternehmen hätte.
Die verschiedenen Arten der Pentests
Die Penetrationstests können auf unterschiedliche Arten durchgeführt werden. Welche sich davon als passend zeigt, hängt von den individuellen Zielen und Anforderungen des Kunden ab.
Bei dem sogenannten Black Box Testing erhalten die Pentester im Vorfeld keinerlei Informationen hinsichtlich des Zielsystems. Der Pentest erfolgt demnach exakt so, wie durch einen externen Angreifer, der keine Berührungspunkte mit dem Unternehmen hat.
Detaillierte Informationen erhalten die Dienstleister im Gegensatz dazu im Zuge des White Box Testings. Die Angriffe können so wesentlich gezielter gestaltet werden.
Daneben existiert auch die Möglichkeit des Grey Box Testings. Dieses stellt eine Kombination der Ansätze von White und Black Box-Tests dar. Die Pentester erhalten so nur einen Teil der Systeminformationen.
Dokumentation des Penetration Testings
Nachdem der Penetrationstest abgeschlossen wurde, folgt die Erstellung eines detaillierten Berichts. In diesem werden sowohl die verwendeten Angriffsmethoden dokumentiert als auch die gefundenen Schwachstellen und möglichen Konsequenzen.
Durch diese Dokumentation erhält der Kunde die Chance, ein Verständnis für die Risiken seiner IT-Landschaft zu entwickeln und geeignete Maßnahmen zu finden, um diese in Zukunft zu beheben.
Im Rahmen der grundlegenden Informationssicherheit stellen Pentests ein äußerst wichtiges Werkzeug dar. Allerdings sollten die Tests unbedingt in regelmäßigen Abständen durchgeführt werden, denn die Bedrohungen durch die Cyberkriminellen entwickeln sich stetig weiter. Somit müssen auch die Sicherheitsvorkehrungen stets dem aktuellen Stand entsprechen.