Penetrationstest – Was ist das?

Nahezu jedem IT-Anwender ist mittlerweile bewusst, dass Angriffe auf die eigene IT-Systeme tatsächlich stattfinden. Auch vor vermeintlich weniger attraktiven Zielen wird heute nicht mehr Halt gemacht. Aus diesem Grund sollten besonders Unternehmen, die mit vernetzten IT-System arbeiten regelmäßig IT-Sicherheitstests durchführen, die entwickelt wurden, um aktuelle Angriffsmöglichkeiten aufzudecken.

Eine bewährte Vorgehensweise ist der Penetrationstest, um das Angriffspotenzial auf ein IT-Netz, ein einzelnes IT-System oder eine (Web-)Anwendung festzustellen. Dabei werden die Erfolgsaussichten eines vorsätzlichen Angriffs auf das IT-System eingeschätzt und daraus resultierende Gegenmaßnahmen in das Sicherheitskonzept aufgenommen, um die Angriffschancen zu minimieren.

Zielsysteme für einen Penetrationstest sind:

  • Server und Speichersysteme (Datenbankserver, Webserver, Fileserver, Domänencontroller, etc.)
  • Clients (Desktop-PCs, Notebooks, Tablets, Smartphones etc.)
  • Drahtlose Netze (WLAN, Bluetooth)
  • Webanwendungen (Internetauftritt, Vorgangsbearbeitung, Webshop)
  • Netzkoppelelemente und Sicherheitsgateways (Router, Switches, Firewalls, IDS/IPS-Systeme)
  • Telekommunikationsanlagen
  • Infrastruktureinrichtungen (Zutrittskontrollmechanismen, Gebäudesteuerung)
  • IoT-Geräte

Gängige Arten sind die Blackbox– sowie Whitebox-Tests. Mit Hilfe des Blackbox-Test wird der typische Angriff eines Außentäters simuliert, der nur wenige oder keine Kenntnisse über das Zielsystem besitzt. Im Gegensatz dazu wird beim Whitebox-Test mit umfangreichen Informationen des anzugreifenden Systems gearbeitet. Dazu gehören beispielsweise Informationen über die Netzwerkstruktur des internen Netzes (z.B. Gerätenamen, IP-Adressen etc.), die eingesetzte Soft- und Hardware sowie weitere interne Konfigurationsinformationen etc. Um effektiv viele Schwachstellen mit angemessenem Aufwand zu ermitteln, wird in der Praxis der Whitebox-Test meistens bevorzugt.


Ein Penetrationstest ersetzt keine Qualitätssicherung von neuen oder geänderten IT-Anwendungen oder IT-Systemen. Die erforderliche Qualitätssicherung muss in jedem Unternehmen in den Lebenszyklus der eingesetzten Hard- und Software integriert sein.

 

Weshalb sollte der Penetrationstest von unabhängigen IT-Dienstleistern gemacht werden?

Das beauftragte Test-Unternehmen sollten zu jeder Zeit unabhängig von dem Prüfobjekt bleiben. So können sie – ähnlich wie der Angreifer – neue Angriffsszenarien aus einem unbeteiligten Blickwinkel heraus betrachten.

  • CCVOSSEL GmbH