Bei einem Penetrationstest, oft auch nur kurz als Pentest bezeichnet, handelt es sich um einen meist technischen Test, bei dem die IT-Sicherheit eines definierten Ziels - meist eine Anwendung, ein Netzwerk oder auch eines Gebäudes, getestet wird. Der Penetrationstester oder Ethical Hacker nutzt dabei die gleichen Methoden, Techniken und Werkzeuge, wie ein echter Angreifer. Somit wird meist ein realistisches Bild der Sicherheitslage des Ziels erzeugt.
Wie läuft ein Penetrationstest ab?
Penetrationstests werden in der Regel von qualifiziertem Fachpersonal durchgeführt (siehe Pentest Anbieter). Gelegentlich versuchen auch Teams aus mehreren IT-Experten das Ziel zu penetrieren. Dabei ist das Vorgehen im Allgemeinen gleich. Es wird zusammen mit dem Auftraggeber ein Scope definiert (was darf angegriffen werden und was nicht). Das passiert im Rahmen des so genannten Kick-Off-Meetings - hier werden auch weitere Details besprochen. Es werden die technischen Ansprechpartner definiert, Kommunikationskanäle festgelegt sowie relevante Informationen den Testern zur Verfügung gestellt (Accounts, Dokumentationen). Auch die Methodik wird strikt definiert.
Im Anschluss wird der Test im festgelegten Testzeitraum (Tage, Uhrzeiten) durchgeführt.
Als Ergebnis erwartet der Auftraggeber in der Regel einen Bericht in PDF-Form, der alle relevanten Informationen enthält. Dieser wird virtuell oder persönlich übergeben und besprochen. Oft findet noch das Retesting statt - dabei testen die White Hat Hacker, ob die Patches und Fixes für die gefundenen Schwachstellen auch wirklich funktionieren. Eine Übersicht zum Ablauf eines Penetrationstests findet man im verlinkten Artikel.
Welche Arten von Penetrationstests gibt es?
Im Allgemeinen wird zwischen 3 Arten von Penetrationstests unterschieden - Details zu jeder Art findet man im verlinkten Artikel:
- Black Box Penetrationstest: Tester haben kein Wissen über das Ziel
- Grey Box Penetrationstest: Tester haben teilweise Wissen über das Ziel
- White Box Penetrationstest: Tester haben volles Wissen über das Ziel
Eine Sonderform ist der physische Penetrationstest, bei dem das Ziel ein Gebäude oder ein Gelände ist. Hierbei versucht der Penetrationstester physischen Zugang zum Ziel zu bekommen, das kann durch Einbruch geschehen oder auch durch Techniken, wie Tail Gaiting. Das Umgehen von Sicherheitspersonal, das Ausnutzen von Schwachstellen in der Gebäudesicherheit oder das Manipulieren von Zugangskontrollen sind hierbei typische Angriffsszenarien.
Auch Red Teaming, Social Engineering und Phishing sind eng mit Penetrationstests verbunden und können als spezielle Formen von Penetrationstests betrachtet werden. Gleiches gilt für Kampagnen, dien den Fokus auf spezielle Angriffsszenarien legen oder bestimmte Techniken testen. Als Beispiel wäre hier Assume Breach zu nennen.
Welche Risiken gehen mit Penetrationstests einher?
Bei einem gut durchgeführten und geplanten Penetrationstest gibt es quasi keine Risiken. Muss der Penetrationstester allerdings ein Live/Prod-System testen, kann es zu Ausfällen (Denial of Service) oder Datenverlusten kommen. Aber auch hier lässt sich das Risiko auf quasi null reduzieren, wenn der Penetrationstester weiß, was er macht. Aus Compliance-Sicht kann es auch zu Problemen kommen, wenn der Penetrationstester Zugriff auf viele personenbezogene Daten bekommt. So etwas sollte im Vorfeld abgesprochen werden.
Der beste Weg für quasi null Risiko ist es den Penetrationstest in einer isolierten Demo/Test-Umgebung durchzuführen.
Sind Schwachstellenscans auch Penetrationstests?
Nein. Findige Marketing-Menschen in Unternehmen versuchen immer wieder automatisierte Scans nach Sicherheitslücken als echte Penetrationstests zu verkaufen. Begriffe, wie "Automated Penetrationstest" oder "Automated Vulnerability Scan" sind hierbei typisch. Ein echter Penetrationstest wird immer von einem Menschen durchgeführt.
Wie häufig sollte ein Penetrationstest durchgeführt werden?
Hierzu bitten wir Sie den folgenden Artikel zu lesen: "Wie oft muss man Penetrationstests wiederholen?. Im Allgemeinen gilt: mindestens jährlich, besser halbjährlich oder sogar quartalsweise. Bei großen Änderungen am System oder bei neuen Anwendungen sollte auch ein Penetrationstest durchgeführt werden. Kosteneffizienter sind Angebote, wie Pentest as a Service.
Wie ist die Rechtslage bei Penetrationstests?
Diese ist eigentlich recht klar. Wenn man keine Erlaubnis hat, ein System zu penetrieren, dann ist es illegal. In anderen Ländern kann die Rechtslage anders sein. Auf Basis des Hackerparagraphen 202c StGB ist es in Deutschland verboten, ohne Erlaubnis in fremde Systeme einzudringen.
Penetrationstest: Kosten und Preise
Wie so oft: Es hängt von vielen Faktoren ab. Hierzu bieten wir Ihnen den folgenden Artikel an: "Wie viel kostet ein Penetrationstest?". Allgemein müssen Sie mit Kosten im mittleren vier- bis fünfstelligen Bereich rechnen.
Wer ist der beste Pentest Anbieter?
Ist doch klar: DSecured. Nein, im Ernst: Es gibt viele gute Anbieter. Um Ihnen die Auswahl zu erleichern: "Penetrationstest Anbieter wählen". DSecured hat einen starken Fokus auf Penetrationstests gegen Anwendungen und Netzwerke - sowohl intern als auch extern.
Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.