Penetrationstest


Ein Penetrationtest ist die praktische Überprüfung von IT-Systemen auf Sicherheitslücken und Schwachstellen. Hierbei kommen diverse Tools zum Einsatz, die einen tatsächlichen Angriff simulieren oder sogar durchführen können. Die Methoden, die hier zum Einsatz kommen, nennt man auch „Ethical Hacking“ oder „White Hacking“.

Systeme und Anwendungen werden dabei auf tatsächlich vorhandene Lücken überprüft mit der Zielsetzung, diese danach zu schließen. Aufgrund der zahlreichen Angriffsszenarien und der heutzutage großen Auswahl an Soft- und Hardwareprodukten ist es kaum möglich, einen solchen Test zu standardisieren. Grundsätzlich sind aber zwei Arten von Penetrationtests denkbar: „Black Box“ und „White Box“.

Beim Black-Box-Test bekommt der Penetrationtester lediglich eine URL des Webservers oder die IP-Adresse des Sicherheitsgateways. Alle anderen Informationen muss sich der Tester selbst beschaffen. Hierdurch wird simuliert, wie ein echter Angreifer vorgehen würde. Der Vorteil dieser Methode ist, dass der Tester absolut unvoreingenommen prüfen kann und eine Vielzahl an Methoden ausprobieren muss. Der Nachteil ist, dass aufgrund der fehlenden Informationen über das System unerwünschte Beeinträchtigungen auftreten könnten. Zudem ist der Aufwand für den Auftragnehmer für diese Art des Tests sehr hoch.

Bei einem White-Box-Test bekommt der Auftragnehmer sämtliche Informationen über das Testobjekt, weshalb sich gezielt die Schwächen analysieren lassen. Der Test kann sowohl von außen über das Internet als auch von innen erfolgen. Der Vorteil eines White-Box-Tests ist, dass der Tester einen Ansprechpartner des Auftraggebers vor Ort hat und ein Großteil der äußeren Sicherheitsmechanismen keine Auswirkungen auf das Testergebnis haben.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt generell, einen White-Box-Test durchführen zu lassen, da diese Methode vor allem die wirtschaftlichste Lösung für beide Seiten ist.

Bevor ein Penetrationtest durchgeführt werden kann, sind eine Reihe von vorbereitenden Gesprächen und vor-Ort-Analysen notwendig. Die Informationsbeschaffung und deren Qualität sind für die Durchführung und den Erfolg des Penetrationtests von höchster Bedeutung. Zudem muss vor der tatsächlichen Durchführung ein schriftlicher Vertrag geschlossen werden, um auch die (straf)rechtlichen Risiken bei der Durchführung zu minimieren. Sind alle Formalitäten erledigt, kann mit der tatsächlichen Vorbereitung begonnen werden.

Bei der Durchführung von Penetrationtests kommt es vor allem auf die individuellen Fähigkeiten des Penetrationtesters und das Zusammenspiel zwischen Auftraggeber und Auftragnehmer an. Daher kommen bei MORGENSTERN nur Tester zum Einsatz, die eine mehrjährige praktische Erfahrung nachweisen können.