Penetration Testing erklärt von Hackern

Das sollten IT-Profis und Verantwortliche wissen

Penetration Testing, auch bekannt als „Pentesting“, ist ein elementarer Bestandteil der IT-Sicherheitsstrategie von Unternehmen, Organisationen und Regierungen. Aber was ist ein Penetration Test? Erfahrene Ethical Hacker (sprich: die „guten“ Hacker) erklären in diesem Artikel, wie Pentesting funktioniert und wie es Verantwortlichen hilft, ihre Systeme vor Cyber-Angriffen zu schützen.

Bei einem Pentest werden Netzwerke, Webanwendungen, mobile Apps, physische Sicherheit und menschliche Schwachstellen auf Sicherheitslücken untersucht.

Inhaltsverzeichnis

Was ist ein Penetrationstest?​

Ein Penetrationstest (kurz Pentest) ist ein kontrollierter Angriff auf ein IT-System aus der Perspektive eines Angreifers, um Sicherheitslücken aufzudecken. Gefundene Schwachstellen werden dabei ausgenutzt und kombiniert, um zu prüfen, welchen Schaden böswillige Angreifer anrichten könnten. Das Ergebnis eines Penetrationstests ist ein Report, der alle gefundenen Schwachstellen dokumentiert, nach Kritikalität einstuft und Maßnahmen zur Behebung bereitstellt.

So kann das Ergebnis eines Pentests inform eines Reports mit Priorisierung und Maßnahmen aussehen: Action Plan Demo

Wie unterscheidet sich ein Pentest von einem echten Hacking-Angriff?

Pentester unterscheiden sich hauptsächlich in 3 Punkten von böswilligen Hackern:

  1. Sie hacken ausschließlich im Auftrag (nicht von Dritten, sondern vom Verantwortlichen für das betreffende System).
  2. Sie richten keinen Schaden an.
  3. Sie dokumentieren alle Schritte und gefundene Schwachstellen.

Warum sollten Unternehmen einen Pentest durchführen?

Strategischer Vorteil im Kampf gegen Hacker

Stellen wir uns ein Schachspiel vor – oder ein beliebiges anderes Strategiespiel. Ein Spieler analysiert vor seinem nächsten Zug seine aktuelle Lage und wägt seine Optionen gegeneinander ab. Dabei muss der Spieler berücksichtigen, welche Aktion sein Gegner im Anschluss durchführen kann. Nach einigen Überlegungen ist er sicher, die beste Option für sich gefunden zu haben und macht seinen Zug. Dann ist der Gegner an der Reihe – und der Spieler muss feststellen, dass er eine Falle übersehen hat und nun Schach matt ist.

Ein Pentest hilft, den nächsten Zug zu planen – wie bei einem Schachspiel mit Hackern als Gegner.
Ein Pentest ermöglicht einen Blick durch die Angreifer-Brille und hilft so, Verteidigungsmaßnahmen strategisch und effizient zu planen.

Wie viel leichter hätte es der Spieler gehabt, wenn er vor seinem echten Zug einen Test-Gegner hätte nutzen können, der ihm zeigt, welche Auswirkungen seine Aktion haben kann?

Im Spiel würde man den Einsatz eines Probe-Gegners als unfairen Vorteil bezeichnen, der nicht erlaubt ist. Im Kampf gegen Hacker dürfen und sollen sich Unternehmen diesen Vorteil hingegen verschaffen – mit einem Penetrationstest.

Ein Penetrationstest verschafft Unternehmen, Organisationen und Regierungen einen strategischen Vorteil beim Schutz vor böswilligen Hackern: Sie müssen sich nicht auf ihren internen Blick auf die eigene Sicherheit verlassen. Pentester spielen für sie die Angreifer und finden heraus, über welche Sicherheitslücken sie wie weit vordringen können. Im Anschluss unterstützen sie das IT-Team des Unternehmens dabei, diese Lücken nach und nach zu schließen, sodass sich Hackern möglichst keine Angriffsfläche mehr bietet.

„Darum kümmert sich meine IT“

Viele Verantwortliche denken, dass IT Security zu den Kernaufgaben des eigenen IT-Teams oder eines externen Providers zählt. Insbesondere, wenn die IT komplett ausgelagert ist, fühlen sie sich sicher. Die Wahrheit ist: Die Unternehmensleitung (Vorstand oder Geschäftsführer) ist IMMER selbst verantwortlich für die IT-Sicherheit. Aufgaben kann sie in diesem Zusammenhang zwar abgeben, Verantwortung aber nicht.

Diese Verantwortung für die Informationssicherheit ist durch verschiedene Gesetze und Vorschriften festgelegt. Beispielsweise legt die Legaliitätspflicht fest, dass Geschäftsführer alle geltenden Rechtsvorschriften beachten muss. Hierzu zählt auch das IT-Sicherheitsgesetz 2.0 und die NIS2-Richtlinie ab Inkrafttreten.

Genügt es, wenn der Geschäftsführer seinem IT-Team sagt „Kümmert euch darum, dass wir sicher sind!“? Oder wenn er bei einem IT-Dienstleister davon ausgeht, dass alles sicher ist? Nein, denn IT-Fachkräfte sind nicht automatisch IT-Security-Fachkräfte, da verhält es sich ähnlich wie bei Allgemeinmedizinern und Fachärzten.

Ihren gesetzlichen Pflichten kommt die Unternehmensleitung in Sachen IT-Sicherheit also nur nach, wenn sie entweder ausgewiesene Experten in diesem Bereich in ihrem eigenen Team beschäftigt oder entsprechende externe Dienstleister hinzuzieht.

Gesetzliche Vorgaben und Zertifikate: NIS2, ISO27001 & Co.

Unternehmen müssen ihre IT-Sicherheit nicht nur aus Eigeninteresse optimieren, sondern auch, um gesetzliche Vorgaben zu erfüllen oder bestimmte Zertifizierungen zu erhalten. Zu den wichtigsten Anforderungen gehören:

  • ISO 27001 Zertifizierung: Verlangt die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) mit regelmäßigen Prüfungen wie Pentests.
  • NIS2-Richtlinie: Verschärft EU-weit die Anforderungen an die Cybersicherheit, besonders für kritische Infrastrukturen.
  • IT-Sicherheitsgesetz 2.0: Verlangt von KRITIS-Betreibern erhöhte Sicherheitsstandards, darunter regelmäßige Pentests.
  • Branchen-spezifische Vorgaben:
    • BAFIN (Finanzsektor): Regelmäßige Sicherheitsüberprüfungen für Finanzunternehmen.
    • BfArm (Gesundheitswesen): Fokus auf Sicherheit von medizinischen IT-Systemen.
    • EnWG (Energiewirtschaft): Hohe Sicherheitsanforderungen zur Absicherung kritischer Infrastrukturen.

Diese Gesetze und Zertifikate helfen nicht nur dabei, IT-Systeme sicherer zu machen, sondern sind auch entscheidend, um Strafen und Bußgelder zu vermeiden.

Müssen Sie einen Pentest nachweisen?
Mit uns erreichen Sie nicht nur zuverlässig angestrebte Zertifikate und Compliance, sondern ganz nebenbei echte Sicherheit für Ihr Unternehmen.
Jetzt Beratung anfordern

Unterschiedliche Arten von Penetration Tests

Die Vorstellung von verschiedenen Pentest-Arten beruht im Grunde auf falschen Vorstellungen von dieser Dienstleistung. Richtig ist: Im Kern hat jeder Pentest dasselbe Ziel und dieselbe Strategie: Jeder Pentest simuliert angriffe auf eine IT-Infrastruktur, um ein möglichst umfassendes Bild der Sicherheit zu erhalten und Schwachstellen aufzudecken.

Unterschiede beziehen sich bei Penetration Tests hauptsächlich auf

  • die Zielsysteme
  • die Angriffs-Szenarien
  • Angreifer-Typ
  • den Realismus-Grad
 

Mögliche kombinierbare Varianten von Penetration Tests sind:

Zielsysteme

  • Infrastruktur-Pentest
    • Fokus: Die gesamte IT-Infrastruktur eines Unternehmens, einschließlich Netzwerke, Server, Firewalls, Router und anderer Komponenten.
    • Ziel: Aufdeckung von Schwachstellen, die durch interne oder externe Angreifer ausgenutzt werden könnten, um kritische IT-Komponenten anzugreifen oder unbefugten Zugang zu erhalten.
    • Typische Schwachstellen: Fehlkonfigurationen, veraltete Software oder unzureichend gesicherte Netzwerkverbindungen.
  • Web Application Pentest
    • Untersucht Webanwendungen auf Schwachstellen wie SQL-Injection oder Cross-Site Scripting (XSS).
    • Besonders relevant für Anwendungen, die von externen Nutzern genutzt werden.
  • Mobile Application Pentest
    • Testet mobile Anwendungen auf Sicherheitslücken, wie unsichere Datenspeicherung und fehlerhafte Authentifizierung.
    • Ziel ist es, Schwachstellen zu finden, die bei der Nutzung auf mobilen Geräten auftreten.
  • Cloud Pentesting
    • Fokus: Sicherheitsüberprüfung von Cloud-Infrastrukturen und -Diensten (z.B. AWS, Azure/ Entra, Google Cloud).
    • Ziel: Identifikation von Schwachstellen in Cloud-Umgebungen, wie falsch konfigurierte Zugriffsrechte, unsichere API-Endpunkte oder Schwächen in der Cloud-Speicherverwaltung. (Hinweis: Cloud-Pentesting unterscheidet sich nicht wesentlich von einem On-Premise-Pentest – eine Cloud ist schließlich auch nur „someone else’s computer“.)
  • Container-Sicherheit (Container Pentesting)
    • Fokus: Prüfung der Sicherheit von Containern und Orchestrierungssystemen (z.B. Docker, Kubernetes).
    • Ziel: Aufdeckung von Schwachstellen, die durch Container-Isolationsfehler oder unsichere Konfigurationen entstehen, um die Container-Sicherheit zu gewährleisten.

Angriffs-Szenarien

  • Technical Pentest
    • Überprüfung der Sicherheit von Systemen aus der Distanz. Diese Tests decken Sicherheitslücken auf, die durch Fehlkonfigurationen (z. B. in Active Directories wie Microsoft Entra), fehlenden Sicherheitsupdates oder ungesicherte Schnittstellen entstehen können.
  • Social Engineering Pentest (Phishing)
    • Testet den menschlichen Faktor, indem Angriffe wie Phishing simuliert werden, um zu prüfen, wie leicht Mitarbeiter auf manipulative Taktiken hereinfallen.
  • Physical Security Pentest
    • Prüft die physische Sicherheit, um zu ermitteln, ob Angreifer Zugang zu Serverräumen oder anderen kritischen Infrastrukturen erlangen können. Auch frei zugängliche Drucker mit Netzwerk-Zugang sind hier ein beliebter Angriffspunkt.

Realismus-Grad

Der Realismus-Grad eines Penetrationstests bestimmt, wie nah der Test an einem echten Angriffsszenario durchgeführt wird. Achtung: Es gilt nicht unbedingt „Je realistischer, desto besser“! Hilfsmittel wie eine Pentest-Box können sinnvoll sein, um zeit- und kosteneffizient einen möglichst breiten Überblick der eigenen Sicherheit zu erhalten. Die vorherige Weitergabe von unternehmensinternen Informationen kann außerdem wichtig sein, um Schäden an besonders sensiblen Systemen durch einen Pentest zu vermeiden.

  • Blackbox-Pentest (auch als External Pentest bezeichnet) bedeutet, dass der Tester keine internen Informationen über das Zielsystem hat und aus der Sicht eines externen Angreifers handelt.
  • Whitebox-Pentest (auch Internal Pentest) dagegen gibt dem Tester Zugang zu Informationen wie Quellcode, Architektur oder Netzwerkdetails, um gezielt Schwachstellen aufzuspüren.
  • Pentest-Box: Simuliert einen erfolgreichen initialen Zugriff eines Angreifers auf ein Zielsystem. Wird genutzt, um zeiteffizient zu prüfen, wie weit Angreifer nach erfolgreichem Zugriff vordringen könnten und welchen Schaden sie so anrichten könnten.

Ablauf eines Penetration Tests: Von der Planung bis zum Abschlussbericht (und darüber hinaus)

Ein Penetrationstest ist ein Projekt, das in mehreren, aufeinander aufbauenden Phasen abläuft. Jede einzelne Phase ist wichtig, um einerseits ein möglichst umfassendes Bild der IT-Sicherheit zu erhalten und andererseits keinesfalls echten Schaden anzurichten.

  1. Vorbereitung: Festlegung von Testzielen, Umfang und Rahmenbedingungen in enger Abstimmung mit dem Kunden.
  2. Informationsbeschaffung: Sammlung von Daten über das Zielsystem, um potenzielle Angriffsvektoren zu identifizieren.
  3. Analyse und Auswertung: Bewertung der gesammelten Informationen, um Angriffsstrategien zu entwickeln.
  4. Exploitation: Ausnutzung und Kombination der Schwachstellen, um die potenziellen Risiken zu simulieren.
  5. Reporting: Erstellung eines detaillierten Berichts mit gefundenen Schwachstellen (Findings), Einstufung nach Kritikalität und Maßnahmenempfehlungen.
  6. Ergebnispräsentation und Workshop (optional, aber empfehlenswert):Präsentation der Ergebnisse und Durchführung von Workshops, um Maßnahmen zu priorisieren und Lösungsansätze zu erarbeiten.
  7. Behebung der Findings (intern oder mit Dienstleister): Schrittweise und priorisierte Behebung der gefundenen Schwachstellen (Findings).
  8. Validierung/ Retest: Erneute Prüfung der IT-Sicherheit, um durchgeführte Maßnahmen zu validieren und zu prüfen, ob neue Schwachstellen hinzugekommen sind (z. B. durch neue Zero-Day-Schwachstellen)
Pentesting erklärt von Hacker

So gehen Hacker beim Penetration Testing vor: Tools und Techniken

Penetration Tester gehen genauso vor wie böswillige Angreifer. Das bedeutet, sie nutzen einerseits vorhandene Frameworks und Tools, entwickeln aber bei Bedarf auch eigene Ansätze. Im Gegensatz zu böswilligen Hackern müssen sie dabei immer sicherstellen, keinen echten Schaden anzurichten. Hierfür benötigen sie umfassendes Fachwissen und die notwendige Kreativität, um verschiedene Ansätze geschickt zu kombinieren.

Dies sind einige der gängigsten Werkzeuge und Vorgehensweisen für Penetration Tests:

Vorgehensweisen

  • Reconnaissance: In dieser Phase sammeln Hacker Informationen über das Zielsystem, oft durch öffentliche Quellen (OSINT) oder durch Netzwerkscans.
  • Scanning & Enumeration: Tools wie Nmap oder Nessus werden verwendet, um die Schwachstellen des Netzwerks oder der Anwendungen detailliert zu identifizieren.
  • Exploitation: Hier versuchen Hacker, Schwachstellen gezielt auszunutzen. Dies kann durch manuelle Angriffe oder durch Frameworks wie Metasploit geschehen.
  • Privilege Escalation: Nach dem initialen Zugriff versuchen Hacker, ihre Zugriffsrechte zu erhöhen, um auf sensible Daten zuzugreifen oder kritische Systeme zu übernehmen.
  • Pivoting: Sobald Hacker Zugang zu einem System erhalten haben, nutzen sie es, um weitere Systeme im Netzwerk anzugreifen.

Techniken und Ansätze

  • Social Engineering: Hacker setzen oft Phishing oder andere Täuschungstechniken ein, um Informationen von Mitarbeitern zu erlangen.
  • Brute Force: Ein Ansatz, bei dem Passwörter systematisch durchprobiert werden, um Zugang zu Konten zu erhalten.
  • Man-in-the-Middle (MitM): Angriffe, bei denen Hacker den Datenverkehr zwischen zwei Systemen abfangen und manipulieren.

Frameworks und Automatisierung

  • OWASP ZAP: Ein Open-Source-Tool zur automatisierten Webanwendungssicherheit, das für Schwachstellenprüfungen verwendet wird.
  • Nikto: Ein weiteres Open-Source-Tool, das Webserver auf Schwachstellen prüft.
  • Cobalt Strike: Ein beliebtes Tool für Red-Teaming-Simulationen, das Hacker nutzen, um Angriffe zu simulieren und Sicherheitsmaßnahmen zu testen.

Tools

  • Nmap: Zur Netzwerkscannung und -analyse, um Informationen über offene Ports, Dienste und Betriebssysteme zu sammeln.
  • Metasploit Framework: Ein Exploit-Framework, das Hacker nutzen, um Schwachstellen automatisiert anzugreifen.
  • Burp Suite: Ein Web-Security-Tool, das zur Untersuchung von Webanwendungen genutzt wird, speziell zur Analyse von HTTP-Anfragen.

Der richtige Zeitpunkt für einen Penetration Test

Der richtige Zeitpunkt für einen Penetration Test ist: Jetzt. (Sofern der letzte Penetration Test länger als 12 Monate zurückliegt.)

Wir als Dienstleister im Bereich Penetration Testing erleben häufig, dass Kunden zwar die Notwendigkeit eines Pentests sehen und diesen auch beauftragen möchten, den Projektstart aber mehrere Monate in die Zukunft verlegen möchten.

Die üblichen Gründe für das Aufschieben von Penetration Tests sind:

  • Akuter Zeitmangel durch Personalknappheit oder andere Projekte
  • „Wir wissen schon, dass wir an dieser Stelle nicht sicher sind, und wollen das zuerst beheben.“
  • Entscheider müssen zuerst ins Boot geholt werden und die Prozesse hierfür sind langwierig.

 

Der Punkt ist: Hackern sind all diese Punkte egal. Sie greifen an, auch wenn die Schwachstelle eigentlich in zwei Wochen geschlossen wäre oder gerade eine wichtige Deadline ansteht.

Gute Gründe für die zeitnahe Durchführung eines Pentests sind:

  • Zeit ist immer Mangelware. Warum nicht sofort priorisieren?
  • Wer sagt, dass die Sicherheitslücken, an denen sie gerade arbeiten, die wichtigsten sind? Eine neutrale Prüfung von außen hilft bei der strategischen Planung der Maßnahmen und spart Zeit.
  • Gute Pentest-Anbieter unterstützen Sie bei der Vermittlung zwischen IT und Management. So können Sie Entscheidungsprozesse beschleunigen und Ressourcen freisetzen.
  • Im ersten Moment kostet ein Pentest Zeit und Geld, mittelfristig spart er jedoch beides. Insbesondere im Vergleich mit einem erfolgreichen Hacking-Angriff.

So wählen Sie den richtigen Pentest-Anbieter

Bei der Wahl des richtigen Pentest-Anbieters sind drei Aspekte entscheidend:

  1. Der Pentest-Anbieter muss qualitativ hochwertig und sauber arbeiten.
  2. Der Pentest-Anbieter muss vertrauenswürdig sein.
  3. Der Pentest-Anbieter muss zu Ihnen passen.

 

Wie können Sie herausfinden, ob diese Punkte auf einen Anbieter zutreffen?

So bewerten Sie die Qualität eines Pentest-Dienstleisters

  • Hören Sie sich bei Geschäftspartnern oder Kunden um: Haben sie kürzlich einen Pentest absolviert? Wie zufrieden waren sie mit ihrem Anbieter?
  • Das Endprodukt eines Pentest-Projekts ist der abschließende Report/ Action Plan. Prüfen Sie, ob das Unternehmen eine Demo-Version bereitstellt und falls ja, ob diese übersichtlich und lösungsorientiert strukturiert ist.
  • Sehen Sie sich auf der Website des Unternehmens um: Sind die Menschen dort in der Lage, sowohl in technischer als auch in allgemein verständlicher Sprache zu kommunizieren? Das wird Ihnen dabei helfen, in Ihrem eigenen Unternehmen zwischen IT und Management zu vermitteln.
  • Deckt das Unternehmen in seinen Pentests neben einer technischen Prüfung auch Social Engineering und Physical Access ab?
  • Bietet das Unternehmen neben Penetration Tests auch Unterstützung bei der Behebung von Schwachstellen an, ohne dabei eigene Tools verkaufen zu wollen?

Passt der Pentest-Anbieter zu Ihnen?

  • Hat das Unternehmen Erfahrung mit Projekten in Ihrer Größenordnung?
  • Passt das Unternehmen zu Ihren Zielen? Geht es Ihnen beispielsweise hauptsächlich um das Abhaken von gesetzlichen Regularien und Zertifizierungen? Oder suchen Sie nach einem Partner, mit dem Sie langfristig echte Sicherheit aufbauen können?
  • Passt die Mentalität Ihrer Unternehmen zusammen? Auf der Website und den Social-Media-Kanälen des Unternehmens können Sie sich hiervon einen ersten Eindruck verschaffen. Anschließend eignet sich ein Kennenlern-Gespräch, um diesen Punkt zu klären.
Passen wir zu Ihnen?
Finden Sie es in einem persönlichen Gespräch heraus!
Unverbindlichen Termin vereinbaren

FAQ

Ein Penetrationstest ist ein kontrollierter Angriff auf ein IT-System, um Sicherheitslücken zu identifizieren, bevor echte Angreifer diese ausnutzen.

Ein Pentest deckt Schwachstellen auf, verbessert die IT-Sicherheit und hilft, gesetzliche Compliance-Anforderungen zu erfüllen.

Beim Blackbox-Pentest hat der Tester keine internen Informationen, beim Whitebox-Pentest erhält der Tester vollen Zugang zu Systeminformationen.

Netzwerke, Webanwendungen, mobile Apps, physische Sicherheit und menschliche Schwachstellen werden auf Sicherheitslücken untersucht.

Idealerweise jährlich oder nach größeren IT-Änderungen.

Ein Pentest simuliert echte Angriffe und nutzt Schwachstellen aus, während ein Vulnerability Scan bekannte Schwachstellen auflistet.

Vorschriften wie ISO 27001, IT-Sicherheitsgesetz 2.0 und NIS2 fordern regelmäßige Sicherheitsprüfungen wie Pentests.

Newsletter Form (#7)

Become a Cyber Security Insider

Sichere dir frühen Zugang und exklusive Inhalte!


Bitte akzeptiere die Cookies unten auf dieser Seite, um das Formular abschicken zu können!
ANDERE BEITRÄGE

Inhaltsverzeichnis

Hast du Fragen oder Ergänzungen? Immer her damit!
Schreibe einen Kommentar und wir antworten so bald wie möglich!

Dein E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

PSN_KU_Cover
NewsLetter Form Pop Up New

Become a Cyber Security Insider

Abonniere unsere Knowledge Base und erhalte:

Frühen Zugriff auf neue Blogbeiträge
Exklusive Inhalte
Regelmäßige Updates zu Branchentrends und Best Practices


Bitte akzeptiere die Cookies unten auf dieser Seite, um das Formular abschicken zu können!