Was ist ein Penetrationstest? Dabei handelt es sich um einen Teil einer Sicherheitsanalyse und dient der Überprüfung einzelner Rechner oder ganzer Netzwerke. Aber gibt es unterschiedliche Pentests? Wie lange dauern Pentests und was ist das Ergebnis?
Wir fassen alles Wissenswerte um diesen besonderen IT-Sicherheitscheck zusammen.
Unser Beitrag im Überblick zur Frage: Was ist ein Penetrationstest:
Was ist ein Penetrationstest?
In Zeiten immer weiter zunehmender Digitalisierung haben kriminelle Hacker nur ein Ziel: Sie suchen Schwachstellen in IT-Systemen, um Geld zu erbeuten oder Daten zu stehlen, mit denen Sie Identitätsdiebstahl begehen können. Mittlerweile nutzen Hacker sogar schon Anwendungstools für Pentests, um ihre Angriffe auszuführen.
Was ist ein Penetrationstest und wie hilft er? Ein Penetrationstest zeigt Schwachstellen, die auch Hacker nutzen, auf. Mit ihm kann die aktuelle Sicherheit einer IT-Landschaft oder Web-Anwendung festgestellt werden. Er ist aber nicht gleichzusetzen mit dem sogenannten Ethical Hacking.
Pentester, also Personen, die einen Penetrationstest (auch Pentest oder Pentesting genannt) ausführen, nutzen Mitteln und Methoden, die geeignet sind, unautorisiert in das System einzudringen, also es zu penetrieren. Dabei bilden sie Angriffsmuster nach, die sich aus zahlreichen bekannten Angriffsmethoden ableiten lassen. Diese Art der Tests können Sicherheitslücken zwar aufdecken, sie aber nicht schließen.
Für Unternehmen ist ein Penetrationstest besonders wichtig, denn er liefert Hinweise auf Schwachstellen und Sicherheitslücken. Bild: Pexels/@fauxels
Pentest: relevant für Unternehmen
Ein Pentest gilt als IT-Sicherheitscheck von Systemen jeder Größenordnung und ist vor allem für Unternehmen von Bedeutung. Durch einen Penetrationstest wird festgestellt, wie empfindlich das IT-System auf mögliche Angriffe reagiert und ob eingeschleuste Viren und Trojaner die Möglichkeit haben, sensible Betriebsgeheimnisse und persönliche Informationen der Mitarbeiter zu stehlen.
Wichtig: Bei solchen Tests muss auch der Risikofaktor Mensch, der durch spezielle Awareness-Schulungen aufgeschlaut wird, mit einbezogen werden. Durch den Einsatz spezieller Social-Engineering-Techniken lässt sich das Verhalten von Mitarbeitern untersuchen.
Ein Penetrationstest hat oft weitreichende Folgen. Aber die Ergebnisse, die er liefert sind für mehr als wertvoll. Die daraus gezogenen Konsequenzen sollten allerdings nur von Personen mit sehr gutem sicherheitstechnischem Know-how durchgeführt werden.
Ziele von Pentests
Was ist ein Penetrationstest? Diese Frage haben wir beantwortet – aber welche Ziele verfolgt er. Das können sein:
- die Identifikation von Schwachstellen
- das Aufdecken potenzieller Fehler, die sich aus einer (fehlerhaften) Bedienung ergeben
- die Erhöhung der Sicherheit auf technischer und organisatorischer Ebene und
- die Bestätigung der IT-Sicherheit durch einen externen Dritten.
Allerdings stellt ein Penetrationstest nur eine Momentaufnahme dar. Ursache dafür ist, dass sich die Angriffsszenarien und Bedrohungen kontinuierlich ändern und an neue Sicherheitsentwicklungen anpassen. Dennoch ist ein Pentest von Bedeutung, da er die Ist-Situation der IT-Sicherheit in einem Unternehmen feststellt und Handlungsanweisungen für mögliche Probleme liefert.
Die IT-Analyse und Dokumentation von PC-SPEZIALIST stellt ebenfalls die aktuelle Ist-Situation fest. Unsere IT-Experten vor Ort überprüfen dabei Ihr Unternehmensnetzwerk, analysieren Schwachstellen und stellen sicher, dass IT-Systeme und sämtliche Komponenten optimal eingebunden sind.
Ein Penetrationstest kann je nach Anforderung des Auftraggebers unterschiedliche Ziele verfolgen. Bild: Pexels/@divinetechygirl
Was für Penetrationstests gibt es?
Es gibt verschiedenen Arten von Penetrationstests, deshalb sollte zuvor das Ziel des Tests eindeutig festgelegt sein. Grundsätzlich lassen sie sich klassifizieren in
- Black Box: Pentester haben kein Insiderwissen vom Unternehmen; eine Situation wird nachgestellt, in der Unbekannte von außen versuchen, in die IT-Infrastruktur des Unternehmens einzudringen; es stehen offensichtliche Probleme im Fokus, allerdings können Schwachstellen schnell übersehen werden, wie zum Beispiel interne Bedrohungen.
- White Box: Pentester haben umfassende Kenntnisse über die IT-Infrastruktur des Unternehmens und waren gegebenenfalls Teil der Belegschaft; durch die volle Sicht auf alle Systeme können auch obskurere Schwachstellen aufgedeckt werden; das Ergebnis steht oftmals kaum in Bezug zu echten Bedrohungen; Pentester können ihren „neutralem Blick“ verlieren.
- Grey Box: Pentester haben teilweise Einblicke ins und Vorwissen vom Unternehmen; es können Szenarien simuliert werden, bei denen keine klare Abgrenzung zwischen internen und externen Bedrohungen gezogen werden kann.
Je nachdem, welche Art des Pentests gewählt wird, werden auch immer gewisse Ergebnisse vorgegeben, denn je nach Szenario wird die Richtung und das Ergebnis eingegrenzt. Um die Wahl des möglichen Pentest zu erleichtern, hat das Bundesamt für Sicherheit in der Informationstechnologie (BSI) ein Klassifikationsschema für Penetrationstests entwickelt. Es umfasst sechs Kriterien, die im Vorfeld geklärt werden: Informationsbasis, Aggressivität, Umfang, Vorgehensweise, Technik und Ausgangspunkt.
Was ist ein Penetrationstest? Wie läuft er ab und was kostet er?
Ein Penetrationstest durchläuft in der Regel und trotz aller Individualität vier Phasen. Sie heißen Reconnaissance, Enumeration, Exploitation und Documentation.
- Reconnaissance beschreibt die Informationsbeschaffung vor einem Angriff.
- Enumeration meint die Identifikation möglicher Angriffsvektoren
- In der Exploitation nutzen die Pentester gefundene Schwachstellen aus.
- Documentation bedeutet das Notieren sämtlicher Schritte und die Erstellung eines ausführlichen Berichts.
Der Pentester durchläuft alle vier Phasen in einem Kreislauf mehrfach. Das dient dazu, Erkenntnisse aus vorigen Durchläufen in die weitere Untersuchung mit einzubeziehen.
Eine wichtige Frage ist bei jedem Penetrationstest die Frage nach den Kosten. Doch sie lässt sich nicht allgemein gültig beantworten, sondern ist von verschiedenen Faktoren abhängig. Dazu zählen beispielsweise die Anzahl der Netzwerk-IP-Adressen, die Komplexität und Anzahl der (Web-)Anwendungen sowie die Anzahl der Mitarbeitenden. Oder zusammenfassend: Je größer das Projekt, desto höher werden die Kosten. Möchten Sie in einem ersten Schritt eine IT-Analyse und Dokumentation von PC-SPEZIALIST durchführen, nehmen Sie gern Kontakt zu uns auf lassen Sie sich individuell beraten.
Wie lange ein Pentest dauert, hängt von mehreren Faktoren ab. Bild: Pexels/@mikhail-nilov
Wie lange dauert ein Penetrationstest?
Auch die Dauer eines Pentests lässt sich nicht von vornherein eindeutig bestimmen. Sie ist abhängig von Art und Umfang des Tests. So kann ein Penetrationstest für ein gesamtes Netzwerk mit vielen Komponenten mehrere Tage dauern. Wird allerdings nur ein einzelner Bereich wie beispielsweise die Cloud oder die Web-Applikation getestet, läuft das ganze Prozedere schneller ab. Außerdem hängt die Dauer des Pentests von der Anzahl der Tester und der Komplexität der zu testenden IT-Infrastruktur ab.
Aber es gibt noch weitere Faktoren, die die Dauer des Test beeinflussen. Dazu gehören folgende Fragestellungen:
- Findet der Pentest intern oder extern statt? Beide Tests werden getrennt voneinander ausgeführt.
- Handelt es sich um einen physischen Test, bei dem die Gebäudesicherheit getestet wird?
- welche Informationen (zum Beispiel: Anmeldeinformationen) haben die Tester zuvor vom Unternehmen erhalten?
Sie sehen, eine einfache Antwort auf die Frage nach der Dauer eines Penetrationstests gibt es nicht. Dafür sind die Faktoren, die mit hineinspielen, zu verschieden.
Was tun mit Pentest-Ergebnissen?
Haben Sie in Ihrem Unternehmen einen Penetrationstest in Auftrag gegeben und nun die Ergebnisse erhalten, reicht es nicht, das Dokument in Ordner XY verschwinden zu lassen. Denn auf einen Penntest folgen meistens Handlungsanweisungen. Schließlich war das Ziel des Pentests, die IT–Sicherheit zu erhöhen. Haben die Tester Sicherheitslücken und Schwachstellen gefunden, müssen Sie handeln.
Bei den gefundenen Schwachstellen handelt es sich meistens um Fehlkonfigurationen, fehlerhafte Softwareprogrammierungen, zu schwache Passwörter oder ein nicht optimal aufgestelltes Session-Management. Um die IT-Sicherheit in Ihrem Betrieb nachhaltig zu erhöhen und es Hackern möglichst schwer zu machen, in Ihr Netzwerk einzufallen, müssen Sie handeln und die Einfallstore schließen.
Wichtig: Sie sollten nicht damit anfangen, einen Flickenteppich an einzelnen IT-Sicherheitsmaßnahmen zu bilden. Stattdessen ist es ratsam, das vorhandene Sicherheitskonzept auf Grundlage der Pentest-Ergebnisse auf den Prüfstand zu stellen. Möglicherweise ist eine ganz neue IT-Sicherheitsarchitekur notwendig. Dazu gehören neue Firewalls, Authentifizierungsverfahren, Passwort-Manager usw. Gehen diese Maßnahmen Hand in Hand, sind Siue gut aufgestellt. Gern übernimmt PC-SPEZIALIST als IT-Dienstleister des Ihres Vertrauens diese Aufgabe für Sie.
_______________________________________________
Quellen: BSI, tüv-rheinland, infopoint-security, ohb-digital, redteam-pentesting, Wikipedia
Schreiben Sie einen Kommentar