Penetration Testing, auch bekannt als „Pentesting“, ist ein elementarer Bestandteil der IT-Sicherheitsstrategie von Unternehmen, Organisationen und Regierungen. Aber was ist ein Penetration Test? Erfahrene Ethical Hacker (sprich: die „guten“ Hacker) erklären in diesem Artikel, wie Pentesting funktioniert und wie es Verantwortlichen hilft, ihre Systeme vor Cyber-Angriffen zu schützen.
Ein Penetrationstest (kurz Pentest) ist ein kontrollierter Angriff auf ein IT-System aus der Perspektive eines Angreifers, um Sicherheitslücken aufzudecken. Gefundene Schwachstellen werden dabei ausgenutzt und kombiniert, um zu prüfen, welchen Schaden böswillige Angreifer anrichten könnten. Das Ergebnis eines Penetrationstests ist ein Report, der alle gefundenen Schwachstellen dokumentiert, nach Kritikalität einstuft und Maßnahmen zur Behebung bereitstellt.
So kann das Ergebnis eines Pentests inform eines Reports mit Priorisierung und Maßnahmen aussehen: Action Plan Demo
Pentester unterscheiden sich hauptsächlich in 3 Punkten von böswilligen Hackern:
Stellen wir uns ein Schachspiel vor – oder ein beliebiges anderes Strategiespiel. Ein Spieler analysiert vor seinem nächsten Zug seine aktuelle Lage und wägt seine Optionen gegeneinander ab. Dabei muss der Spieler berücksichtigen, welche Aktion sein Gegner im Anschluss durchführen kann. Nach einigen Überlegungen ist er sicher, die beste Option für sich gefunden zu haben und macht seinen Zug. Dann ist der Gegner an der Reihe – und der Spieler muss feststellen, dass er eine Falle übersehen hat und nun Schach matt ist.
Wie viel leichter hätte es der Spieler gehabt, wenn er vor seinem echten Zug einen Test-Gegner hätte nutzen können, der ihm zeigt, welche Auswirkungen seine Aktion haben kann?
Im Spiel würde man den Einsatz eines Probe-Gegners als unfairen Vorteil bezeichnen, der nicht erlaubt ist. Im Kampf gegen Hacker dürfen und sollen sich Unternehmen diesen Vorteil hingegen verschaffen – mit einem Penetrationstest.
Ein Penetrationstest verschafft Unternehmen, Organisationen und Regierungen einen strategischen Vorteil beim Schutz vor böswilligen Hackern: Sie müssen sich nicht auf ihren internen Blick auf die eigene Sicherheit verlassen. Pentester spielen für sie die Angreifer und finden heraus, über welche Sicherheitslücken sie wie weit vordringen können. Im Anschluss unterstützen sie das IT-Team des Unternehmens dabei, diese Lücken nach und nach zu schließen, sodass sich Hackern möglichst keine Angriffsfläche mehr bietet.
Viele Verantwortliche denken, dass IT Security zu den Kernaufgaben des eigenen IT-Teams oder eines externen Providers zählt. Insbesondere, wenn die IT komplett ausgelagert ist, fühlen sie sich sicher. Die Wahrheit ist: Die Unternehmensleitung (Vorstand oder Geschäftsführer) ist IMMER selbst verantwortlich für die IT-Sicherheit. Aufgaben kann sie in diesem Zusammenhang zwar abgeben, Verantwortung aber nicht.
Diese Verantwortung für die Informationssicherheit ist durch verschiedene Gesetze und Vorschriften festgelegt. Beispielsweise legt die Legaliitätspflicht fest, dass Geschäftsführer alle geltenden Rechtsvorschriften beachten muss. Hierzu zählt auch das IT-Sicherheitsgesetz 2.0 und die NIS2-Richtlinie ab Inkrafttreten.
Genügt es, wenn der Geschäftsführer seinem IT-Team sagt „Kümmert euch darum, dass wir sicher sind!“? Oder wenn er bei einem IT-Dienstleister davon ausgeht, dass alles sicher ist? Nein, denn IT-Fachkräfte sind nicht automatisch IT-Security-Fachkräfte, da verhält es sich ähnlich wie bei Allgemeinmedizinern und Fachärzten.
Ihren gesetzlichen Pflichten kommt die Unternehmensleitung in Sachen IT-Sicherheit also nur nach, wenn sie entweder ausgewiesene Experten in diesem Bereich in ihrem eigenen Team beschäftigt oder entsprechende externe Dienstleister hinzuzieht.
Unternehmen müssen ihre IT-Sicherheit nicht nur aus Eigeninteresse optimieren, sondern auch, um gesetzliche Vorgaben zu erfüllen oder bestimmte Zertifizierungen zu erhalten. Zu den wichtigsten Anforderungen gehören:
Diese Gesetze und Zertifikate helfen nicht nur dabei, IT-Systeme sicherer zu machen, sondern sind auch entscheidend, um Strafen und Bußgelder zu vermeiden.
Die Vorstellung von verschiedenen Pentest-Arten beruht im Grunde auf falschen Vorstellungen von dieser Dienstleistung. Richtig ist: Im Kern hat jeder Pentest dasselbe Ziel und dieselbe Strategie: Jeder Pentest simuliert angriffe auf eine IT-Infrastruktur, um ein möglichst umfassendes Bild der Sicherheit zu erhalten und Schwachstellen aufzudecken.
Unterschiede beziehen sich bei Penetration Tests hauptsächlich auf
Mögliche kombinierbare Varianten von Penetration Tests sind:
Der Realismus-Grad eines Penetrationstests bestimmt, wie nah der Test an einem echten Angriffsszenario durchgeführt wird. Achtung: Es gilt nicht unbedingt „Je realistischer, desto besser“! Hilfsmittel wie eine Pentest-Box können sinnvoll sein, um zeit- und kosteneffizient einen möglichst breiten Überblick der eigenen Sicherheit zu erhalten. Die vorherige Weitergabe von unternehmensinternen Informationen kann außerdem wichtig sein, um Schäden an besonders sensiblen Systemen durch einen Pentest zu vermeiden.
Ein Penetrationstest ist ein Projekt, das in mehreren, aufeinander aufbauenden Phasen abläuft. Jede einzelne Phase ist wichtig, um einerseits ein möglichst umfassendes Bild der IT-Sicherheit zu erhalten und andererseits keinesfalls echten Schaden anzurichten.
Penetration Tester gehen genauso vor wie böswillige Angreifer. Das bedeutet, sie nutzen einerseits vorhandene Frameworks und Tools, entwickeln aber bei Bedarf auch eigene Ansätze. Im Gegensatz zu böswilligen Hackern müssen sie dabei immer sicherstellen, keinen echten Schaden anzurichten. Hierfür benötigen sie umfassendes Fachwissen und die notwendige Kreativität, um verschiedene Ansätze geschickt zu kombinieren.
Dies sind einige der gängigsten Werkzeuge und Vorgehensweisen für Penetration Tests:
Der richtige Zeitpunkt für einen Penetration Test ist: Jetzt. (Sofern der letzte Penetration Test länger als 12 Monate zurückliegt.)
Wir als Dienstleister im Bereich Penetration Testing erleben häufig, dass Kunden zwar die Notwendigkeit eines Pentests sehen und diesen auch beauftragen möchten, den Projektstart aber mehrere Monate in die Zukunft verlegen möchten.
Die üblichen Gründe für das Aufschieben von Penetration Tests sind:
Der Punkt ist: Hackern sind all diese Punkte egal. Sie greifen an, auch wenn die Schwachstelle eigentlich in zwei Wochen geschlossen wäre oder gerade eine wichtige Deadline ansteht.
Gute Gründe für die zeitnahe Durchführung eines Pentests sind:
Bei der Wahl des richtigen Pentest-Anbieters sind drei Aspekte entscheidend:
Wie können Sie herausfinden, ob diese Punkte auf einen Anbieter zutreffen?
Ein Penetrationstest ist ein kontrollierter Angriff auf ein IT-System, um Sicherheitslücken zu identifizieren, bevor echte Angreifer diese ausnutzen.
Ein Pentest deckt Schwachstellen auf, verbessert die IT-Sicherheit und hilft, gesetzliche Compliance-Anforderungen zu erfüllen.
Beim Blackbox-Pentest hat der Tester keine internen Informationen, beim Whitebox-Pentest erhält der Tester vollen Zugang zu Systeminformationen.
Netzwerke, Webanwendungen, mobile Apps, physische Sicherheit und menschliche Schwachstellen werden auf Sicherheitslücken untersucht.
Idealerweise jährlich oder nach größeren IT-Änderungen.
Ein Pentest simuliert echte Angriffe und nutzt Schwachstellen aus, während ein Vulnerability Scan bekannte Schwachstellen auflistet.
Vorschriften wie ISO 27001, IT-Sicherheitsgesetz 2.0 und NIS2 fordern regelmäßige Sicherheitsprüfungen wie Pentests.
Wir verwenden Cookies, und Google reCAPTCHA, das Google Fonts lädt und mit Google-Servern kommuniziert. Durch die weitere Nutzung unserer Website stimmen Sie der Verwendung von Cookies und unserer Datenschutzerklärung zu.