Was ist Penetration Testing?

Penetration Test

Der Penetration Test

Penetrationstest sind umfassende Sicherheitstest einzelner Rechner oder Netzwerke jeglicher Größe, im Gegensatz zu einen Cracker, arbeitet ein Pentester Auftrags bedingt.

Ein Pentester bedient sich dabei denselben Mitteln und Methoden die ein Angreifer (sog. Hacker “Cracker”) anwenden würde um fremde Systeme auszuspionieren und einzudringen, dabei verwendet er meistens das Betriebssystem Kali Linux oder eine vergleichbare Linux Pentest Distribution wie z.b. BackBox oder Parrot Security OS . Er führt Blackbox-, Greybox- und Whitebox Tests durch (obwohl nicht alle Penetration-Tests lassen sich in eine dieser Kategorien einordnen, viel wichtiger sind Ihre eigene Zielsetzung). Durch einen Penetrationstest kann geprüft werden, inwieweit die Sicherheit der IT-Systeme durch Bedrohungen von Hackern, Crackern, etc. gefährdet ist bzw. ob die IT-Sicherheit durch die eingesetzten Sicherheitsmaßnahmen aktuell gewährleistet ist. Ein Pentester ermittelt so die Empfindlichkeit Ihres Systems, nur so kann er Gegenmaßnahmen treffen um Ihr System sicherer zu machen. Denn nur wer die Gefahren und Schwachstellen kennt, kann sich auch dementsprechend dagegen schützen.

Penetration Tests sollte man generell ausserhalb der Arbeitszeiten durch führen, um den gewohnten Betrieb nicht zu stören oder zu gefährden.

 Penetration Testing “Ethical Hacking”
Ziele eines Penetrationstests sind:

  die Identifikation von Schwachstellen,
  das Aufdecken potentieller Fehler, die sich aus der (fehlerhaften) Bedienung ergeben
  die Erhöhung der Sicherheit auf technischer und organisatorischer Ebene und
  die Bestätigung der IT-Sicherheit durch einen externen Dritten.

Viele fragen mich, “was ist denn ein Penetration Test, das hört sich so komisch an”.
Ja, an was die wohl dachten, naja.

    Das Wort “Penetration Test”, stammt aus dem Krieg. So wurden z.b. Stützpunkte ausgekundschaftet und es wurde ausgemacht wo man eindringen konnte um den Stützpunkt zu übernehmen, zu infiltrieren.   

Häufig gestellte fragen:

Was ist ein Penetration Test ?

Bei der Durchführung eines Penetration-Tests simuliert ein Tester (-Team) Angriffe auf IT-Infrastrukturen oder Applikationen, um diese auf Sicherheitslücken und Schwächen zu testen. Der Tester verwendet hierbei die gleichen Techniken und Werkzeuge, die auch ein echter Angreifer (Hacker) nutzen würde.

Der Penetration-Test verifiziert als einziges Sicherheitswerkzeug die gefundenen Schwachstellen. Er dokumentiert keine sog. „falsch positiven“ Ergebnisse wie z.B. das Listing, ein Fehler der keine negativen Auswirkungen auf die Sicherheit hat.

Hierdurch wird der Penetration-Test zu einem sehr verlässlichen, genauen und effizienten Tool um den Sicherheitsstandard zu beurteilen.

Für wen ist ein Penetration Test interessant ?

Ein Penetration-Test ist interessant für jeden, der auf eine funktionierende und sichere IT-Umgebung vertraut. Je mehr Sie sich auf eine sichere Umgebung verlassen, umso größer ist der Nutzen.

Unternehmen jeder Größe nutzen Penetration-Tests um „offene Türen“ zu finden und zu schließen, bevor ein tatsächlicher Angreifer eindringen kann. Ebenso nutzen sie ihn zur Compliance-Einhaltung und er kann als Bestandteil zur ISO-Zertifizierung verwendet werden.

Penetration-Tests werden auch häufig genutzt, um die Effektivität einer neu installierten Sicherheitsmaßnahme unter einem gezielten Angriff zu testen.

Wie wird ein Penetration Test durchgeführt ?

Mein Penetration-Test besteht aus den 4 Phasen: Aufklärung, Scan, Eindringen und Erhaltung des Zugriffs. Während der Aufklärung, Vorbereitungsphase führe ich mit Ihnen detaillierte Gespräche, damit ich Ihre Test-Ziele auch wirklich verstehe und eine Übereinstimmung finde über den Umfang und die Reichweite des Tests.

Die Prüfungsphase (Scan) ist die tatsächliche Testphase, in der ich eine Serie von Angriffen ausführe um potenzielle Schwachstellen zu identifizieren und versuchen werde diese auszunutzen, um in Ihr System (Netzwerk) einzudringen. Anschließend werde ich Nacharbeiten um den Zugriff zu erhalten. Am Ende werden alle Ergebnisse dokumentiert und von mir bewertet bevor ich sie Ihnen präsentiere. Dies ermöglicht Ihnen eine sehr genaue und realistische Einschätzung darüber, wie sicher das geprüfte Ziel ist.

Kann der Penetration Test Schaden verursachen ?

Ja, ein Penetration-Test kann Schaden verursachen. Aber mit der richtigen Vorbereitung und Sorgfalt, kann das tatsächliche Risiko auf ein akzeptables Minimum reduziert werden.

Vor Testbeginn müssen die möglichen Risiken aufgezeigt und besprochen werden, so dass vorab die notwendigen präventiven Schritte unternommen werden können.

Was sind Blackbox-, Greyboy- und Whitebox – Tests ?

Unter Blackbox-, Greybox- und Whitebox-Tests versteht man:

Der Blackbox-Test simuliert einen Angriff von außerhalb Ihres Unternehmens. Der Tester hat wenig bis gar kein Wissen über das Ziel.

Der Whitebox-Test simuliert einen Angriff von innen heraus, d.h. durch einen Techniker, Programmierer oder Administrator. Der Tester erhält im Vorhinein detaillierte Informationen über das Ziel.

Der Greybox-Test simuliert einen Angriff mit Insider-Wissen und direktem Zugang, aber ohne spezielle technische Kenntnisse und ist somit eine Mischung aus den zuvor genannten.

Nicht alle Penetration-Tests lassen sich in eine dieser Kategorien einordnen. Viel wichtiger sind Ihre eigene Zielsetzung und die Verfolgung dieser während des Tests.

Ist das sog. “Social Engineeging auch Teil eines Penetration Tests ?

Bei ca. 90% aller Cyberangriffe wird das sog. Social Engineering genutzt. Hier werden zum Beispiel die Hilfsbereitschaft und das Vertrauen Ihrer Mitarbeiter benutzt, um Zugriff auf Ihr IT-System und damit auch auf Ihre Daten zu erhalten.

Daher empfehle ich Ihnen, diese Elemente mit in den Test zu nehmen, so dass Sie ein realistisches Bild über die tatsächliche Sicherheitslage erhalten. Gleichzeitig werden Ihre Mitarbeiter stark für dieses Thema sensibilisiert und können sich in Zukunft anders verhalten.

Ich empfehle Ihnen die Ergebnisse sehr sorgfältig, professionell und anonym zu behandeln. Ob und auf welche Art Elemente genutzt werden, sollten Sie im Vorhinein entscheiden (ggf. mit der Personalvertretung) und wir gemeinsam detailliert besprechen.

Werden die Ergebnisse des Tests Präsentiert ?

Die Ergebnisse des Tests werden von mir in einem leicht verständlichen Format dokumentiert. Der Fokus liegt hierbei auf die Beschreibung der Schwachstellen, des potenziell möglichen Schadens hieraus und meine Empfehlung, wie diese Schwachstellen behoben werden sollten.

Die Ergebnisse werden von mir danach priorisiert, wie zugänglich die Schwachstelle ist und wie einfach oder schwierig sie ausgenutzt werden kann.

Ich werde Ihnen selbstverständlich die Ergebnisse persönlich präsentieren, so dass ich in diesem Rahmen alle Ihre Fragen beantworten kann.

Wie oft soll ein Penetration Test durchgefürht werden ?

Die Durchführung eines jährlichen Penetration-Tests ist eine gute Voraussetzung. Hingegen ist es ratsam einen Penetration-Test jedes Mal dann durchzuführen, wenn Sie in Ihrem Netzwerk, Infrastruktur oder Applikation Änderungen vornehmen – entweder vor oder kurz nach der Umstellung.

Manche meiner Kunden wünschen einen 3 bis 6-monatigen Überprüfungs-Rhythmus, um ihren Sicherheitsstandard beizubehalten.

Welche anderen Möglichkeiten gibt es ?

Penetration-Tests sind nicht die einzige Möglichkeit, um Sicherheitslücken aufzudecken. Sicherheits-Audits und sog. Vulnerability Scans helfen auch, den Sicherheitsstandard Ihres Unternehmens zu erhöhen.

Der größte Unterschied zum Penetration-Test liegt darin, dass dieser tatsächliche Schwachstellen verifiziert und auswertet und auch den tatsächlichen Schaden aufzeigt, den ein Angriff verursachen kann.

Der Penetration-Test zeigt sehr genaue und präzise Ergebnisse und hilft Ihnen so Aufwand, Zeit und Geld zu sparen.

Share via
Copy link
Powered by Social Snap