Verschiedene Arten von Penetrationstests: Blackbox, Greybox und Whitebox
Penetrationstests variieren als Blackbox-, Greybox- und Whitebox-Ansätze, die je nach Zugangslevel und Zielsetzung unterschiedlich eingesetzt werden.
Blackbox-Tests simulieren Angriffe unter minimalen Informationen ähnlich externer Hacker, wohingegen Greybox-Tests etwas Einsicht in interne Strukturen bieten, ideal für regelmäßige Sicherheitsüberprüfungen. Whitebox-Tests bieten vollständige Transparenz und werden oft verwendet, um tiefgreifende Sicherheitslücken in Software und Systemen aufzudecken, wobei Tester vollen Zugriff auf alle Systemdaten und Codes haben.
Arten des Penetrationstests
Die groben Arten von Penetrationstests lassen sich in die Kategorien Blackbox, Greybox und Whitebox unterteilen. Darüber hinaus sieht man immer häufiger bezeichnungen, wie "Mobile Penetrationstest" oder "API Pentest" - dahinter verstecken sich in der Regel nur Aussagen über das Zielsystem, nicht aber, wie konkret vorgegangen wird.
Blackbox-Pentest
Bei einem Blackbox Penetrationstests handelt es sich meist um die realistische Art, wie ein Unternehmen heutzutage angegriffen wird. Der Angreifer startet ohne Informationen und muss sich diese erarbeiten. Hierzu werden diverse Phasen durchlaufen, die den Angreifer am Ende befähigen einen erfolgreichen Cyber-Angriff auf das Ziel durchzuführen. Dieses Vorgehen lehnt sich stark an Vorgehensweisen aus dem Militär an, bei denen vor dem eigentlichen Angriff viel Zeit in Aufklärung und Informationsbeschaffung investiert wird. Hierbei können diverse Quellen verwendet werden. In der Regel hat der Angreifer hier keine internen Informationen.
Je nach Art des Auftrags ist oft eine Phase der Informationsbeschaffung nicht wirklich notwendig, weil beispielsweise der so genannte Scope eine bestimmte Applikation ist und die Aufgabe des Testers es ist von außen nach Sicherheitslücken zu suchen.
Greybox-Pentest
Penetrationstests, die den Greybox-Ansatz verfolgen, sind oft ähnlich gestrickt, wie der klassische Blackbox-Pentest. Hier hat der Tester allerdings die Möglichkeit an bestimmte Informationen zu kommen. So werden ihm beispielsweise Teil von Quellcodes, Dokumentationen, API Schema, Zugangsdaten zu Accounts mit wenig Rechten gewährt. Oft findet hier eine enge Zusammenarbeit mit dem Kunden statt, dieser gewährt je nach Situation weitere Informationen.
Auch hier ist das Ziel sich auf das eigentlich wichtige zu konzentrieren: relevante Sicherheitslücken im zu testenden System zu finden und das ohne Zeit bei der Reconnaissance-Phase zu verlieren. In der Regel hat dieser Ansatz den besten Kosten-Nutzen-Faktor. In unserem Artikel "Wie viel kostet ein Penetrationstest?" erfährst du alle Details und Einsparmaßnahmen.
Whitebox-Pentest
Bei einem Whitebox-Pentest werden den Testern alle Informationen zur Verfügung gestellt. So kann sich der Tester ein umfassendes Bild vom zu testenden System machen, es ist klar, wie es ggf. mit anderen Systemen kommuniziert und dank meist vorhandenem Quellcode lassen sich auch komplexe Sicherheitslücken finden. Es ist zu erwarten, dass die Ergebnisse hier besonders gut sind. Nachteilig ist aber, dass der Whitebox-Test oft sehr langwierig und damit teuer werden kann.
Was sind Vor- und Nachteile aller Pentest-Arten?
| Blackbox | Greybox | Whitebox | |
|---|---|---|---|
| Ziele | Simulation eines realistischen externen Angriffs sowie Identifikation externer Schwachstellen | Simulation eines teilweise informierten Angriffs sowie Identifikation von Schwachstellen mit begrenztem Wissen | Umfassende Analyse des Systems sowie Identifikation interner und externer Schwachstellen |
| Ausgangslage | Kein Vorwissen und kein Zugang zu internen Ressourcen | Begrenztes Vorwissen und begrenzter Zugang zu internen Ressourcen | Vollständiger Zugang zu allen Ressourcen und Quellcodes |
| Vorteile | Realistische Simulation eines Cyberangriffs Keine interne Beeinflussung |
Kombiniert Elemente von Black- und Whitebox-Tests Effizientere Identifikation von Schwachstellen |
Tiefgreifende Analyse möglich Identifikation von Schwachstellen in Quellcodes und Konfigurationen |
| Nachteile | Potenzielle Übersehen von internen & komplexeren Schwachstellen | Möglicherweise nicht so tiefgreifend wie ein Whitebox-Test | Benötigt viel Zeit und simuliert nur bedingt realistische Angriffsszenarien |
| Zeitaufwand | Wenig | Mittel | Hoch |
Penetrationstest anfragen