Bei einem Penetrationstest wird ein IT-System oder Netzwerk gründlich auf seine Angriffsanfälligkeit untersucht. Penetrationstests verwenden Methoden und Techniken, die von echten Angreifern oder Hackern verwendet werden.
Mithilfe von Penetrationstests (Pentest) versuchen IT-Spezialisten, die Anfälligkeit eines Netzwerks oder IT-Systems für Eindringversuche und Manipulationen durch gezielte Angriffe zu ermitteln. Sie verwenden Methoden und Techniken, die denen von Hackern ähneln, um unbefugten Zugriff auf Systeme zu ermöglichen.
Durch Penetrationstests können Schwachstellen gefunden und potenzielle Risiken besser eingeschätzt werden. Während eines vollständigen Penetrationstests werden alle durchgeführten Aktionen genau aufgezeichnet. Identifizierte Schwachstellen und Lösungen zur Verbesserung des IT-Sicherheitsniveaus sind im Abschlussbericht aufgeführt.
Die Beseitigung von Schwachstellen und die Umsetzung von IT-Härtungsmaßnahmen sind nicht Teil des Penetrationstests. Der Umfang der durchgeführten Tests richtet sich nach den jeweiligen potenziellen Risiken des Systems, der Anwendung oder des Netzwerks. Systeme, die einem hohen Risiko ausgesetzt sind, wie etwa öffentlich zugängliche Webserver, werden in der Regel umfangreicheren Tests unterzogen als interne Anwendungen, die weniger systemabhängig sind.
Sinn und Zweck eines Pentests
Das Hauptziel von Penetrationstests ist es, Netzwerk- und Computerschwachstellen auf technischer und organisatorischer Ebene zu identifizieren und in einem detaillierten Bericht zu dokumentieren. Es liegt jedoch in der Verantwortung des Kunden bzw. des Betreibers des geprüften IT-Systems, entdeckte Schwachstellen zu beseitigen. Die Sicherheit des untersuchten Systems kann verbessert werden, wenn die empfohlenen Maßnahmen zur Beseitigung entdeckter Schwachstellen umgesetzt werden.
Mögliche Abhilfemaßnahmen sind die Schulung von Personal, das Hinzufügen von Personal, das Herunterfahren von Systemen oder das Einspielen von Korrekturen und Updates. Da Penetrationstests keine kontinuierliche IT-Überwachung darstellen, können sie als Momentaufnahme des Sicherheitszustands verstanden werden. Social-Engineering-Penetrationstests werden oft als Teil des Tests durchgeführt. Interne Mitarbeiter versuchen mithilfe von Social Engineering an Informationen oder Zugriffsmöglichkeiten zu kommen. Diese Tests sollen Schwachstellen im Unternehmen aufdecken, die beispielsweise durch Aufklärung und Information der Mitarbeiter behoben werden könnten.
Rechtliche Bewertung
Vor der Durchführung eines Penetrationstests, muss der Pentest Anbieter die Zustimmung der zu testenden Organisation einholen. Ohne eine solche Vereinbarung sind Penetrationstests illegal und können eine Straftat darstellen. Liegt eine Einverständniserklärung vor, darf die Prüfung nur Gegenstände betreffen, die in der tatsächlichen Hoheit der zu prüfenden Organisation liegen. Das Testen fremder IT-Systeme oder Netzwerke ist nicht gestattet. Vor dem Penetrationstest muss der Kunde klar formulieren, für welche Komponenten dies gilt. Die Vielfalt der in Anspruch genommenen IT-Dienste, unterschiedliche Cloud-Dienste und unterschiedliche Vertragsverhältnisse bei Hard- und Software können eine solche Klärung erschweren.
Der Ablauf eines Pentests und seine fünf Phasen
Gute Pentest Anbieter teilen einen Test in fünf Phasen auf: Erkundung, Scannen, Schwachstellenbewertung, Ausnutzung und Berichterstattung. Schauen wir uns jede dieser Phasen genauer an.
Erkundung
Die erste Phase der Penetrationstests ist die Erkundung. In dieser Phase sammelt der Tester so viele Informationen über das Zielsystem wie möglich, einschließlich Informationen über die Netzwerktopologie, Betriebssysteme und Anwendungen, Benutzerkonten und andere relevante Informationen. Das Ziel ist es, so viele Daten wie möglich zu sammeln, damit der Tester eine effektive Angriffsstrategie planen kann.
Die Aufklärung kann entweder als aktiv oder passiv kategorisiert werden, je nachdem, welche Methoden zur Informationsbeschaffung verwendet werden. Bei der passiven Aufklärung werden Informationen aus bereits öffentlich zugänglichen Ressourcen gewonnen, während bei der aktiven Aufklärung direkt mit dem Zielsystem interagiert wird, um Informationen zu erhalten. In der Regel sind beide Methoden notwendig, um sich ein vollständiges Bild von den Schwachstellen des Zielsystems zu machen.
Scannen
Sobald alle relevanten Daten in der Aufklärungsphase gesammelt wurden, ist es an der Zeit, zum Scannen überzugehen. In dieser Phase des Penetrationstests verwendet der Tester verschiedene Tools, um offene Ports zu identifizieren und den Netzwerkverkehr auf dem Zielsystem zu überprüfen. Da offene Ports potenzielle Einfallstore für Angreifer sind, müssen Penetrationstester so viele offene Ports wie möglich für die nächste Phase der Penetrationstests identifizieren.
Dieser Schritt kann auch außerhalb von Penetrationstests durchgeführt werden; in diesen Fällen wird er einfach als Schwachstellenscan bezeichnet und ist in der Regel ein automatisierter Prozess. Es hat jedoch auch Nachteile, wenn nur ein Scan ohne einen vollständigen Penetrationstest durchgeführt wird: Ein Scan kann zwar eine potenzielle Bedrohung identifizieren, aber nicht die Ebene bestimmen, auf der sich Hacker Zugang verschaffen können. Obwohl Scans für die Cybersicherheit unerlässlich sind, benötigen sie auch menschliches Eingreifen in Form von Penetrationstests, um ihr volles Potenzial auszuschöpfen.
Bewertung der Schwachstellen
Die dritte Phase der Penetrationstests ist die Schwachstellenbewertung, bei der der Tester alle in der Erkundungs- und Scanphase gesammelten Daten verwendet, um potenzielle Schwachstellen zu ermitteln und festzustellen, ob sie ausgenutzt werden können. Ähnlich wie das Scannen ist auch die Schwachstellenbewertung ein nützliches Werkzeug, das jedoch in Kombination mit den anderen Phasen der Penetrationstests noch leistungsfähiger ist.
Bei der Bestimmung des Risikos, der in dieser Phase entdeckten Schwachstellen, können Penetrationstester auf zahlreiche Ressourcen zurückgreifen. Eine davon ist die National Vulnerability Database (NVD), ein von der US-Regierung geschaffenes und gepflegtes System für Schwachstellenmanagementdaten, das die in der CVE-Datenbank (Common Vulnerabilities and Exposures) veröffentlichten Software-Schwachstellen analysiert. Die NVD bewertet den Schweregrad bekannter Schwachstellen mithilfe des Common Vulnerability Scoring System.
Ausbeutung
Sobald die Schwachstellen identifiziert wurden, ist es Zeit für die Ausnutzung. In dieser Phase der Penetrationstests versucht der Penetrationstester, auf das Zielsystem zuzugreifen und die identifizierten Schwachstellen auszunutzen, wobei er in der Regel ein Tool wie Metasploit verwendet, um reale Angriffe zu simulieren.
Dies ist vielleicht die heikelste Phase der Penetrationstests, da der Zugriff auf das Zielsystem die Umgehung von Sicherheitseinschränkungen erfordert. Auch wenn Systemabstürze während der Penetrationstests selten sind, müssen die Tester dennoch vorsichtig sein, um sicherzustellen, dass das System nicht gefährdet oder beschädigt wird.
Berichterstattung
Nach Abschluss der Exploitation-Phase erstellt der Tester einen Bericht, in dem die Ergebnisse des Penetrationstests dokumentiert werden. Der in dieser abschließenden Phase des Penetrationstests erstellte Bericht kann dazu verwendet werden, alle im System gefundenen Schwachstellen zu beheben und die Sicherheitslage des Unternehmens zu verbessern.
Abgrenzung zu anderen Verfahren
Schwachstellenanalyse ist ein allgemeiner Begriff, der Schwachstellen- oder Sicherheitsscans sowie Penetrationstests umfassen kann. Im Gegensatz zu Penetrationstests werden Schwachstellen- oder Sicherheitsscans automatisch durchgeführt. Überprüfen Sie Ihr System auf bekannte Probleme und Sicherheitslücken, indem Sie ein Programm automatisch ausführen.
Penetrationstests hingegen sind kaum automatisiert, sondern werden nach umfangreicher, oft manueller Informationsbeschaffung durchgeführt. Es wird individuell angepasst und auf das zu prüfende System abgestimmt. Beim Penetrationstest ist die Planung, Implementierung und Auswahl der zu verwendenden Tools viel komplexer. So können bisher unbekannte Sicherheitslücken durch Penetrationstests identifiziert werden. Penetrationstests sind als empirischer Teil der allgemeinen Schwachstellenanalyse zu verstehen.
Themen:
LESEN SIE AUCH
EZB jagt Banken in den Cyber-Stresstest
Die Bankenaufsicht der Europäischen Zentralbank (EZB) hat mit einem groß angelegten Test bei rund 100 Banken im Euroraum die Widerstandsfähigkeit der Bank-IT-Systeme geprüft. Dabei wurden die IT-Systeme der Banken einem vollumfänglichen Angriffsszenario ausgesetzt.
3rd-Party-Risiko: So schützen Sie Ihr Unternehmen
Auch wenn Unternehmen ihre digitalen Strukturen mit modernsten Sicherheitsmaßnahmen gegen Cyberattacken rüsten, können sie Gefahr laufen, Cyberkriminellen zum Opfer zu fallen. Denn es ist nicht ungewöhnlich, dass unzureichende Sicherheitsstandards von Zulieferern als Einfallstor dienen.
Datentool unterstützt Geschäftskontinuität und nachhaltiges Wachstum
Der FM Global Resilience Index unterstützt international agierende Unternehmen bei ihren strategischen Entscheidungen, indem es Länder auf der Grundlage von 15 Bewertungskriterien aus den Bereichen Wirtschaft, Risikoqualität und Lieferkette in einem Ranking gegenüberstellt.
Projektcontrolling: Definition und Aufgaben im Unternehmen
Eine präzise Planung und eine stete Prüfung sind wichtige Voraussetzungen für ein erfolgreiches Projektmanagement. Beim Teilbereich Projektcontrolling geht es nicht allein um die Überprüfung von Kennzahlen. Welche Tätigkeiten der Aufgabenbereich noch umfasst.
Wichtige Führungsaufgabe: Leistung steigern
Führung beinhaltet zahlreiche gewichtige Aufgaben. Eine davon ist es, Leistung zu steigern. Welche Herausforderungen sich dabei stellen, welche Stärken es dafür braucht und welche Werkzeuge dabei unterstützen, erfahren Sie in diesem Beitrag.
Textbroker: Was kann man erwarten?
Ob es sich um Websites, Blogs, soziale Medien oder Marketingmaterialien handelt, Texte spielen eine entscheidende Rolle bei der Kundenkommunikation und bei der Schaffung von Bewusstsein für eine Marke. Aber was tun, wenn kein eigenes Schreibteam vorhanden ist?
Wie Unternehmer Steuern im Voraus sparen können
Wie heißt es zum Jahreswechsel immer so schön? Neues Jahr, neues Glück. Um diesem geflügelten Wort auch Taten folgen zu lassen, gibt die Gesetzgebung Unternehmern einige praktische Hilfsmittel an die Hand, damit sich der geschäftliche Erfolg einstellt. Eines davon ist der Investitionsabzugsbetrag, kurz IAB. Wie der richtig genutzt wird, erklärt Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei JUHN Partner im Gastbeitrag.
Die Team- und Zusammenarbeit neu justieren
Viele Teams in den Unternehmen stehen aktuell vor der Herausforderung, sich selbst und ihre Zusammenarbeit neu zu definieren, um ihre Leistungsfähigkeit zu bewahren. Das zeigt eine Befragung von Personalverantwortlichen durch die Unternehmensberatung Kraus & Partner.
Mit Mitarbeiter-Benefits die Attraktivität als Arbeitgeber erhöhen
Deutschlands Mittelstand steht aktuell vor einem Dilemma. Die Auftragsbücher zahlreicher Firmen sind gut gefüllt. Doch leider fehlen Fachkräfte, um die nötigen Aufgaben zu übernehmen. Mitarbeiter-Benefits können helfen, sich als attraktiver Arbeitgeber zu positionieren. Werden sie richtig aufgebaut, können sie im Wettkampf um die besten Leute ausschlaggebend sein.
Voll versteuert!? Drei Stolperfallen, die Unternehmen mühelos vermeiden können
Teure Materialien sowie steigende Energie- und Transportpreise führen in zahlreichen Unternehmen zu Sparmaßnahmen. Unvorhergesehene und potenziell kostspielige Steuernachzahlungen können in einer angespannten Situation den Druck auf die finanziellen Ressourcen empfindlich erhöhen. . Dabei lassen sich einige steuerliche Stolperfallen umgehen.
ESG-Strategien stärken den Erfolg im Mittelstand
Jährlich veröffentlicht das Zentrum für Arbeitgeberattraktivität, kurz zeag GmbH, in Zusammenarbeit mit der Universität St. Gallen eine Trendstudie zum Status quo im Mittelstand und darüber hinaus. Dieses Jahr wurden ökologische und soziale Faktoren unter Berücksichtigung geltender ESG-Kriterien untersucht: ökologische Führung und ein ausgeprägtes Diversitätsklima wirken sich positiv auf den Unternehmenserfolg aus.
MICHAELIS-LIVE am 24.09.: "Haftungsmantel GmbH“ vs. deliktische Durchgriffshaftung auf den Geschäftsführer
Eine GmbH soll vor der persönlichen Haftung schützen. Dies ist auch häufig bei einer GmbH oder anderen „juristischen Personen“ der Fall. Trotzdem werden Konstellationen festgestellt, die zu einer persönlichen Haftung des Geschäftsführers führen können. Rechtsanwalt Boris Glameyer erläutert anhand ausgewählter Fallbeispiele aus der Praxis diese problematischen Konstellationen.