1. www.wn.de
  2. >
  3. Freizeit
  4. >
  5. Digitales
  6. >
  7. Pentest: Verbesserung der IT-Sicherheit durch die Sicht des Hackers

  8. >

Pentest: Verbesserung der IT-Sicherheit durch die Sicht des Hackers

Ein Penetrationstest ist ein umfassender Test für IT-Systeme und Netzwerke, um die Angreifbarkeit von außen zu überprüfen. Dabei wenden Sicherheitsexperten die Methoden und Techniken von echten Hackern an, mit dem Unterschied, dass der Angriff autorisiert ist.

Aschendorff Medien

Die Digitalisierung macht Unternehmen angreifbarer für Cyber-Attacken. Zu den Horrorvorstellungen vieler Unternehmen zählt sicherlich die Meldung „Sie wurden gehackt“. Penetrationstests helfen dabei, Sicherheitslücken in IT-Systemen und -Netzwerken aufzudecken. Foto: Pixabay.com

Mit einem Pentest ist es möglich Schwachstellen zu finden oder Gefährdungspotenzial zu erkennen und besser einzuschätzen. Der gesamte Test wird sehr genau protokolliert, alle Maßnahmen sind am Ende nachvollziehbar. Ein abschließender Bericht führt alle Schwachstellen auf und bietet Lösungsansätze, um die IT-Sicherheit zu verbessern. Die Schwachstellen zu beseitigen oder Härtungsmaßnahmen durchzuführen gehört nicht zum Umfang eines Penetrationstests. Wie umfangreich ein Pentest stattfindet, hängt vor allem vom Gefährdungspotenzial ab. Systeme, Anwendungen oder Netzwerke, beispielsweise öffentlich erreichbare Webserver, durchlaufen meist ausführlichere Tests als interne Anwendungen, die nur wenig systemrelevant sind.

Bei einem Penetrationstest agieren IT-Sicherheitsexperten wie ein Angreifer von außen und wenden dieselben Techniken an, wie sie ein Hacker anwenden würde, um reale Schwachstellen aufzudecken. Foto: Pixabay.com

Was ist das Ziel eines Penetrationstests?

Ein Penetrationstest zielt darauf ab, die Schwachstellen eines Computers oder eines Netzwerkes zu identifizieren. Der Test beschränkt sich auf die technische und organisatorische Ebene. Die Schwachstellen zu beheben gehört hier nicht dazu. Das liegt in der Verantwortung des Betreibers der IT-Systeme oder des Auftraggebers. Der Penetrationstester versucht aus der Perspektive des Angreifers mit verschiedenen Mitteln und Tools die Sicherheit des IT-Systems auszuhebeln. Die Rahmenparameter, beispielsweise welche Mittel er dabei anwenden darf, sind mit dem Auftraggeber abgestimmt. Penetrationstester führen keine schädigenden Operationen durch, sodass der Produktionsbetrieb aufrechterhalten bleibt.

Der abschließende Bericht zeigt Möglichkeiten auf und empfiehlt Maßnahmen, um die aufgedeckten Schwachstellen zu beseitigen und die Sicherheit des untersuchten IT-Systems zu verbessern. Zu den möglichen Maßnahmen gehören Personalschulungen, Einspielen von Updates und Korrekturen, das System abschalten oder Personal aufstocken.

Warum sollten Unternehmen einen Penetrationstest durchführen?

Penetrationstests ergänzen allgemeine Sicherheitsanalysen. Ziel dabei ist, die Empfindlichkeit eines IT-Systems gegenüber Angriffen unter realen Bedingungen zu testen. Der Perspektivwechsel erlaubt es dem Tester, andere Sicherheitsaspekte zu überprüfen als internes IT-Sicherheitspersonal. Sie sind daher ein wichtiger Teil im IT-Sicherheitsprozess.

Ein Penetrationstest untersucht die Breitenwirkung der vorhandenen IT-Sicherheitsmaßnahmen, wie Application-Layer Firewalls, AV/AM Software oder Secure Coding Standards. Der Test zeigt auf, wo die verschiedenen Maßnahmen keine ausreichende Schutzwirkung entfalten.

Mit einem Penetrationstest lassen sich insbesondere sicherheitskritische Komponenten und deren Konfiguration prüfen. Nach der Einführung neuer Systeme oder Anwendungen ist ein Penetrationstest eine sehr gute Möglichkeit, die Wirksamkeit der Sicherheitsmechanismen zu überprüfen und nach Schwachstellen zu suchen. „Normale Schwachstellen-Scans decken nur die Standard-Schwachstellen auf. Ein Penetrationstest findet auch unbekannte Schwachstellen oder Zero-Day-Exploits“, erklärt Dr. Ewan Fleischmann. Zero-Day-Exploits sind einfache Fehler, die große Schwierigkeiten verursachen können und meistens nicht einfach erkannt werden.

Auch Compliance-Anforderungen können einen Penetrationstest notwendig machen. Die Compliance enthält Gesetze und Richtlinien, die einzuhalten sind und zum Teil auch branchenspezifische Regelungen, denen Unternehmen sich freiwillig unterwerfen, wie beispielsweise bestimmte ISO-Normen.

Unautorisierte Penetrationstests sind illegal

Ein Penetrationstest darf nicht ohne Einverständnis der zu testenden Organisation durchgeführt werden. Wer dennoch einen Pentest ohne entsprechende Vereinbarung durchführt, handelt illegal. Ein unautorisierter Pentest kann sogar eine Straftat sein. Mit einer entsprechenden Einverständniserklärung darf der „Hacker“ nur die IT-Systeme testen, über die die Organisation tatsächlich auch alle Rechte hat. Dabei muss der Auftraggeber genau angeben, welche Komponenten im Detail geprüft werden dürfen. IT-Systeme oder Netzwerke Dritter dürfen die IT-Experten nicht angreifen. Sind verschiedene Cloud-Dienste im Einsatz oder IT-Dienstleistungen sowie Hard- oder Software Drittern, ist eine solche Erklärung schwieriger.

Was ist der Unterschied zwischen den Begriffen Schwachstellenanalyse, Vulnerability- oder Security Scan und Penetrationstest

Eine Schwachstellenanalyse ist der Sammelbegriff für Vulnerabilitäts- und Security-Scan sowie Penetrationstest. Dabei erfolgen Vulnerabilitäts- und Security-Scans automatisch mithilfe von automatisch ablaufenden Programmen, die gegen bekannte Sicherheitslücken und Probleme prüfen.

Der Penetrationstest ist nur wenig bis gar nicht automatisiert und sehr ausführlich. Oft erfolgt eine manuelle Sammlung der Informationen. Der Test ist ganz individuell auf die jeweilige Organisation und deren IT-System abgestimmt. Planung, Auswahl der zu verwendenden Tools und die Durchführung sind dabei viel aufwendiger. Allerdings können die externen Experten damit bislang unentdeckte Sicherheitslücken identifizieren. Dazu nutzen die Tester manuelle Angriffe und verschiedene Hacking-Tools, wie sie echte Angreifer auch anwenden.

Zu den Schwachstellen in Unternehmen zählen vor allem auch die Mitarbeiter. Entsprechende Schulungsmaßnahmen helfen, diese Schwachstelle zu minimieren. Foto: Pixabay.com

Was steht alles im Pentest-Bericht?

Im Gegensatz zu einem echten Hacker-Angriff gibt es bei einem Pentest eine Dokumentation. Der Auftraggeber erhält am Ende einen schriftlichen Nachweis, welche Schwachstellen der Pentest aufgedeckt hat und wie sich diese Schwachstellen konkret ausnutzen lassen. Darüber hinaus enthält der Bericht Vorschläge, wie sich die Schwachstellen beseitigen lassen.

Pentest-Reports bestehen meistens aus zwei Teilen. Zum einen gibt es eine Zusammenfassung für das Management und zum anderen einen technischen Report für die IT-Spezialisten. Der Management-Report ist dabei meist ein gekürzter technischer Report. Der ausführliche Report enthält nach Good Practices in der Regel folgende Bestandteile

-       eine Vertraulichkeitserklärung

-       Inhaltsverzeichnis

-       Auftrag und Ziel des Penetrationstests

-       die getesteten Zielsysteme

-       eine Zusammenfassung

-       Methodik der Durchführung

-       gefundene Schwachstellen mit vielen Details

-       Hinweise und Empfehlungen, wie sich die Schwachstellen beseitigen lassen

-       zusammenfassende Bewertung des gesamten Tests.

Fazit – einmalige Aktionen nutzen kaum

Der Penetrationstest und auch alle anderen Sicherheitsprüfungen liefern im Ergebnis nur eine Momentaufnahme der Resilienz eines Unternehmens, also wie gut es im Moment dazu in der Lage ist, mit einer Krise fertig zu werden und einem Angriff standzuhalten. Deshalb sind regelmäßige Wirksamkeitsprüfungen für die eigenen IT-Sicherheitsmaßnahmen so wichtig. Sinnvoll ist es, einen Dienstleister zu beauftragen, der nicht immer mit denselben Teams arbeitet. Denn andere IT-Experten finden andere Fehler.

Startseite
ANZEIGE