Was bedeutet Pentest?

26.09.2022 09:18 Uhr

Bei einem Penetrationstest wird ein IT-System oder Netzwerk gründlich auf seine Angriffsanfälligkeit untersucht. Penetrationstests verwenden Methoden und Techniken, die von echten Angreifern oder Hackern verwendet werden.

Mithilfe von Penetrationstests (Pentest) versuchen IT-Spezialisten, die Anfälligkeit eines Netzwerks oder IT-Systems für Eindringversuche und Manipulationen durch gezielte Angriffe zu ermitteln. Sie verwenden Methoden und Techniken, die denen von Hackern ähneln, um unbefugten Zugriff auf Systeme zu ermöglichen.

Durch Penetrationstests können Schwachstellen gefunden und potenzielle Risiken besser eingeschätzt werden. Während eines vollständigen Penetrationstests werden alle durchgeführten Aktionen genau aufgezeichnet. Identifizierte Schwachstellen und Lösungen zur Verbesserung des IT-Sicherheitsniveaus sind im Abschlussbericht aufgeführt.

Die Beseitigung von Schwachstellen und die Umsetzung von IT-Härtungsmaßnahmen sind nicht Teil des Penetrationstests. Der Umfang der durchgeführten Tests richtet sich nach den jeweiligen potenziellen Risiken des Systems, der Anwendung oder des Netzwerks. Systeme, die einem hohen Risiko ausgesetzt sind, wie etwa öffentlich zugängliche Webserver, werden in der Regel umfangreicheren Tests unterzogen als interne Anwendungen, die weniger systemabhängig sind.

Sinn und Zweck eines Pentests

Das Hauptziel von Penetrationstests ist es, Netzwerk- und Computerschwachstellen auf technischer und organisatorischer Ebene zu identifizieren und in einem detaillierten Bericht zu dokumentieren. Es liegt jedoch in der Verantwortung des Kunden bzw. des Betreibers des geprüften IT-Systems, entdeckte Schwachstellen zu beseitigen. Die Sicherheit des untersuchten Systems kann verbessert werden, wenn die empfohlenen Maßnahmen zur Beseitigung entdeckter Schwachstellen umgesetzt werden.

Mögliche Abhilfemaßnahmen sind die Schulung von Personal, das Hinzufügen von Personal, das Herunterfahren von Systemen oder das Einspielen von Korrekturen und Updates. Da Penetrationstests keine kontinuierliche IT-Überwachung darstellen, können sie als Momentaufnahme des Sicherheitszustands verstanden werden. Social-Engineering-Penetrationstests werden oft als Teil des Tests durchgeführt. Interne Mitarbeiter versuchen mithilfe von Social Engineering an Informationen oder Zugriffsmöglichkeiten zu kommen. Diese Tests sollen Schwachstellen im Unternehmen aufdecken, die beispielsweise durch Aufklärung und Information der Mitarbeiter behoben werden könnten.

Rechtliche Bewertung

Vor der Durchführung eines Penetrationstests, muss der Pentest Anbieter die Zustimmung der zu testenden Organisation einholen. Ohne eine solche Vereinbarung sind Penetrationstests illegal und können eine Straftat darstellen. Liegt eine Einverständniserklärung vor, darf die Prüfung nur Gegenstände betreffen, die in der tatsächlichen Hoheit der zu prüfenden Organisation liegen. Das Testen fremder IT-Systeme oder Netzwerke ist nicht gestattet. Vor dem Penetrationstest muss der Kunde klar formulieren, für welche Komponenten dies gilt. Die Vielfalt der in Anspruch genommenen IT-Dienste, unterschiedliche Cloud-Dienste und unterschiedliche Vertragsverhältnisse bei Hard- und Software können eine solche Klärung erschweren.

Der Ablauf eines Pentests und seine fünf Phasen

Gute Pentest Anbieter teilen einen Test in fünf Phasen auf: Erkundung, Scannen, Schwachstellenbewertung, Ausnutzung und Berichterstattung. Schauen wir uns jede dieser Phasen genauer an.

Erkundung

Die erste Phase der Penetrationstests ist die Erkundung. In dieser Phase sammelt der Tester so viele Informationen über das Zielsystem wie möglich, einschließlich Informationen über die Netzwerktopologie, Betriebssysteme und Anwendungen, Benutzerkonten und andere relevante Informationen. Das Ziel ist es, so viele Daten wie möglich zu sammeln, damit der Tester eine effektive Angriffsstrategie planen kann.

Die Aufklärung kann entweder als aktiv oder passiv kategorisiert werden, je nachdem, welche Methoden zur Informationsbeschaffung verwendet werden. Bei der passiven Aufklärung werden Informationen aus bereits öffentlich zugänglichen Ressourcen gewonnen, während bei der aktiven Aufklärung direkt mit dem Zielsystem interagiert wird, um Informationen zu erhalten. In der Regel sind beide Methoden notwendig, um sich ein vollständiges Bild von den Schwachstellen des Zielsystems zu machen.

Scannen

Sobald alle relevanten Daten in der Aufklärungsphase gesammelt wurden, ist es an der Zeit, zum Scannen überzugehen. In dieser Phase des Penetrationstests verwendet der Tester verschiedene Tools, um offene Ports zu identifizieren und den Netzwerkverkehr auf dem Zielsystem zu überprüfen. Da offene Ports potenzielle Einfallstore für Angreifer sind, müssen Penetrationstester so viele offene Ports wie möglich für die nächste Phase der Penetrationstests identifizieren.

Dieser Schritt kann auch außerhalb von Penetrationstests durchgeführt werden; in diesen Fällen wird er einfach als Schwachstellenscan bezeichnet und ist in der Regel ein automatisierter Prozess. Es hat jedoch auch Nachteile, wenn nur ein Scan ohne einen vollständigen Penetrationstest durchgeführt wird: Ein Scan kann zwar eine potenzielle Bedrohung identifizieren, aber nicht die Ebene bestimmen, auf der sich Hacker Zugang verschaffen können. Obwohl Scans für die Cybersicherheit unerlässlich sind, benötigen sie auch menschliches Eingreifen in Form von Penetrationstests, um ihr volles Potenzial auszuschöpfen.

Bewertung der Schwachstellen

Die dritte Phase der Penetrationstests ist die Schwachstellenbewertung, bei der der Tester alle in der Erkundungs- und Scanphase gesammelten Daten verwendet, um potenzielle Schwachstellen zu ermitteln und festzustellen, ob sie ausgenutzt werden können. Ähnlich wie das Scannen ist auch die Schwachstellenbewertung ein nützliches Werkzeug, das jedoch in Kombination mit den anderen Phasen der Penetrationstests noch leistungsfähiger ist.

Bei der Bestimmung des Risikos, der in dieser Phase entdeckten Schwachstellen, können Penetrationstester auf zahlreiche Ressourcen zurückgreifen. Eine davon ist die National Vulnerability Database (NVD), ein von der US-Regierung geschaffenes und gepflegtes System für Schwachstellenmanagementdaten, das die in der CVE-Datenbank (Common Vulnerabilities and Exposures) veröffentlichten Software-Schwachstellen analysiert. Die NVD bewertet den Schweregrad bekannter Schwachstellen mithilfe des Common Vulnerability Scoring System.

Ausbeutung

Sobald die Schwachstellen identifiziert wurden, ist es Zeit für die Ausnutzung. In dieser Phase der Penetrationstests versucht der Penetrationstester, auf das Zielsystem zuzugreifen und die identifizierten Schwachstellen auszunutzen, wobei er in der Regel ein Tool wie Metasploit verwendet, um reale Angriffe zu simulieren.

Dies ist vielleicht die heikelste Phase der Penetrationstests, da der Zugriff auf das Zielsystem die Umgehung von Sicherheitseinschränkungen erfordert. Auch wenn Systemabstürze während der Penetrationstests selten sind, müssen die Tester dennoch vorsichtig sein, um sicherzustellen, dass das System nicht gefährdet oder beschädigt wird.

Berichterstattung

Nach Abschluss der Exploitation-Phase erstellt der Tester einen Bericht, in dem die Ergebnisse des Penetrationstests dokumentiert werden. Der in dieser abschließenden Phase des Penetrationstests erstellte Bericht kann dazu verwendet werden, alle im System gefundenen Schwachstellen zu beheben und die Sicherheitslage des Unternehmens zu verbessern.

Abgrenzung zu anderen Verfahren

Schwachstellenanalyse ist ein allgemeiner Begriff, der Schwachstellen- oder Sicherheitsscans sowie Penetrationstests umfassen kann. Im Gegensatz zu Penetrationstests werden Schwachstellen- oder Sicherheitsscans automatisch durchgeführt. Überprüfen Sie Ihr System auf bekannte Probleme und Sicherheitslücken, indem Sie ein Programm automatisch ausführen.

Penetrationstests hingegen sind kaum automatisiert, sondern werden nach umfangreicher, oft manueller Informationsbeschaffung durchgeführt. Es wird individuell angepasst und auf das zu prüfende System abgestimmt. Beim Penetrationstest ist die Planung, Implementierung und Auswahl der zu verwendenden Tools viel komplexer. So können bisher unbekannte Sicherheitslücken durch Penetrationstests identifiziert werden. Penetrationstests sind als empirischer Teil der allgemeinen Schwachstellenanalyse zu verstehen.

Lesen Sie auch

Mentale Gesundheit: Gothaer Kranken kooperiert mit „Höhle der Löwen“ Start-up peers.

Suchmaschinenoptimierung (SEO) – So gewinnen Anwälte, Steuerberater und Co. mehr Mandanten

Handelsvertretergeschäft in Kapitalgesellschaft führen?

Mandanten wünschen sich technologisch innovative Steuerkanzleien

INEX-HUB: BiPRO-Lösung für Versicherer und Finanzdienstleister

Wenn das Finanzamt zweimal klingelt: Richtig vorbereitet sein bei einer Betriebsprüfung