Heutzutage ist Cyber Security ein immer wichtiger werdendes Thema für Unternehmen jeder Größe. Die Herausforderung liegt hier, die Infrastruktur und die damit einhergehenden Daten vor Angriffen zu schützen – Hier kommt Penetration Testing zum Einsatz.
Was ist ein Penetration Test?
Ein Penetration Test, auch Pentest, ist die Simulation eines Cyber-Angriffes und Ziel ist es Sicherheitslücken zu finden, bevor sie von Angreifer:innen ausgenutzt werden.
Erfahrene Sicherheitsexpert:innen nutzen dabei dieselben Techniken und Tools wie Hacker:innen, um die Sicherheit von IT-Infrastrukturen auf Herz und Nieren zu prüfen.
Warum ist Penetration Testing so wichtig?
- Frühzeitiges Erkennen von Schwachstellen: Durch
einen Pentest werden Sicherheitslücken identifiziert, bevor sie zu einem Problem werden.
- Schutz sensibler Daten
- Compliance: Unternehmen werden angehalten sich an gewisse Sicherheitsstandards zu halten und regelmäßig Sicherheitsüberprüfungen durchführen zu lassen.
- Unternehmenssicherheit: Durch die gewonnenen Erkenntnisse, werden Sicherheitsmaßnahmen verbessert und optimiert.
Arten von Pentests
Externe & Interne Pentests
Bei Externen Pentests wird versucht von außen in die Systeme und Netzwerke einzudringen. Wo hingegen beim Internen Pentest versucht wird, über das interne Netzwerk an Informationen zu gelangen.
Black-Box-Test
Es werden Testungen ohne Informationen oder Kenntnisse über die Interne Netzwerkinfrastruktur durchgeführt, um zu sehen, wie weit ein Angreifer:innen von außen in das System eindringen kann und wo Handlungsbedarf besteht.
White-Box-Test:
Diese Tests erfolgen mit Hilfe von Vorwissen wie z.B. Benutzerkonten von Mitarbeiter:innen, um so die Stabilität und Sicherheit der Infrastruktur auf die Probe zu stellen.
Hier gibt es auch noch den Grey-Box-Test, der eine Mischform der beiden ist.
Netzwerk-Pentest:
Beim Netzwerk-Pentest wird geprüft, ob die Netzwerkinfrastruktur Schwachstellen oder Sicherheitslücken aufweist.
Social Engineering:
Es wird die menschliche Ebene auf die Probe gestellt. Hier kommen dann z. B. Phishing Mails zum Einsatz. Der Mail-Server liegt auf einer kontrollierten Domain, für den Fall, dass Persönliche Daten, Passwörter o. Ä. eingegeben werden. Die eingegeben Daten werden nicht gespeichert.
Ablauf eines Pentests
- Vorbereitungsphase: Ziele, Umfang und Methoden werden festgelegt und im Vorfeld klar definiert.
- Informationsbeschaffung: Es werden Informationen über Domain, Anwendungen, Unternehmen und deren Mitarbeiter:innen gesammelt. Wesentlicher Bestandteil dieser Phase sind Security Scans (Schwachstellenscan).
- Risikoanalyse: Durch die im vorhergehenden Schritt gewonnen Informationen, werden analysiert und in Risikostufen eingeteilt. So wird festgelegt, wo aktive Angriffe mit erhöhter Wahrscheinlichkeit erfolgreich sind.
- Aktive Eindringversuche: nach der Freigabe (PtA – Permission to Attack) wird gezielt versucht die ermittelten Schwachstellen auszunutzen (Exploiting). Um sicher zu gehen, dass die Stabilität der geprüften Systeme weiterhin besteht, werden keine Tests durchgeführt, die zum Absturz dieser führt, z. B. „DDoS-Angriffe“. Diese Schwachstellen werden mit einem entsprechenden Hinweis in den Bericht aufgenommen.
- Berichterstattung und Dokumentation: Ein Prüfbericht, der die Ergebnisse in Dringlichkeit unterteilt und Empfehlungen zur Behebung mitliefert. Jede dokumentierte Schwachstelle wird durch eine Beweisführung belegt.
Zum Abschluss nochmal zusammenfassend
Professionell ausgeführte Pentests liefern ein klares Bild über die Sicherheit Ihrer IT-Infrastruktur. Der Prüfbericht zeigt auf wo es Schwachstellen gibt, und liefert gleichzeitig die dazugehörigen Empfehlungen zur Behebung mit. Das Ausmaß der Tests ist so variabel und umfangreich, dass es für Unternehmen jeder Größe angepasst werden kann, von Schwachstellenscans bis hin zu Aktiven Eindringversuchen.