Penetrationstest

Penetrationstest – Was ist das?

Nahezu jedem IT-Anwender ist mittlerweile bewusst, dass Angriffe auf die IT-Infrastruktur täglich im eigenen Unternehmen stattfinden. Auch vor vermeintlich weniger attraktiven Zielen wird heute nicht mehr Halt gemacht, denn gerade das schwächste Glied in der Systemkette ist als Einstieg für Hacker äußerst interessant. Aus diesem Grund sollten besonders Unternehmen, die mit vernetzten IT-Systemen arbeiten regelmäßig IT-Sicherheitstests durchführen, die entwickelt wurden, um aktuelle Angriffsmöglichkeiten aufzudecken.

 

Eine bewährte Vorgehensweise ist der Penetrationstest, um das Angriffspotenzial auf die gesamte IT-Infrastruktur, ein einzelnes IT-System oder eine (Web-)Anwendung festzustellen. Im Ergebnisbericht werden gefundene Schwachstellen kategorisiert, priorisiert und Hinweise zu deren Beseitigung gegeben. Auf Wunsch versuchen die Penetrationstester auch aktiv Schwachstellen auszunutzen, um eine Einbruchsmöglichkeit praktisch durchzuführen und zu dokumentieren.

Leistung Pentest CCVossel

Zielsysteme für einen Penetrationstest sind:

  • Server und Speichersysteme (Datenbankserver, Webserver, Fileserver, Applikationsserver, Domänencontroller etc.)
  • Clients (Desktop-PCs, Notebooks, Tablets, Smartphones etc.)
  • Webanwendungen (Internetauftritt, Vorgangsbearbeitung, Webshop)
  • Drahtlose Netze (WLAN, Bluetooth, proprietäre Funkverbindungen)
  • Netzkoppelelemente und Sicherheitsgateways (Router, Switches, Firewalls, IDS/IPS-Systeme)
  • Industrieanlagen (ICS, SCADA)
  • Telekommunikationsanlagen
  • Infrastruktureinrichtungen (Zutrittskontrollmechanismen, Gebäudesteuerung)
  • IoT-Geräte

Unsere Vorgehensweise

Je nach Kundenwunsch führen wir ohne weitere Informationen über die Systeme Blackbox-Tests durch. Effektiver gestaltet sich allerdings ein Whitebox-Test, bei dem der Kunde uns möglichst viele Informationen der anzugreifenden Systeme vorab zur Verfügung stellt. Als Kompromiss zwischen Durchführungsaufwand und Informationsbereitstellung wird am häufigsten der Greybox-Test gewählt, bei dem uns der Kunde nur Basisinformationen für den Angriff zur Verfügung stellt.

Für einen Penetrationstest in der internen Infrastruktur führen wir den Test vor Ort oder aus der Ferne über eine von uns entwickelte Analysebox durch, die beim Kunden in das Netzwerk integriert wird und über ein gesichertes VPN im Durchführungszeitraum von uns gesteuert werden kann.

Ein Penetrationstest ersetzt keine Qualitätssicherung von neuen oder geänderten IT-Anwendungen oder IT-Systemen. Die erforderliche Qualitätssicherung muss in jedem Unternehmen in den Lebenszyklus der eingesetzten Hard- und Software integriert sein.

 

Weshalb sollte der Penetrationstest von unabhängigen IT-Dienstleistern gemacht werden?

Das beauftragte Test-Unternehmen sollten zu jeder Zeit unabhängig von dem Prüfobjekt bleiben. So können sie – ähnlich wie der Angreifer – neue Angriffsszenarien aus einem unbeteiligten Blickwinkel heraus betrachten.