Was ist ein Penetrationstest? | Was ist Pen-Testing?

Beim Pentest dehnen ethische Hacker geplante Angriffe auf die Sicherheitsinfrastruktur eines Unternehmens aus, um Sicherheitslücken aufzuspüren, die behoben werden müssen. Pentests sind Teil einer ganzheitlichen Sicherheitsstrategie für Webanwendungen.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Penetrationstest (Pentest) definieren
  • Den Ablauf eines Pentests beschreiben
  • Beschreiben, wie Pentests genutzt werden, um neue Sicherheitsfunktionen zu empfehlen

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist ein Penetrationstest?

Penetrationstests (oder Pentests) sind Sicherheitsübungen, bei denen ein Experte für Cyber-Sicherheit versucht, Schwachstellen in einem Computersystem zu finden und auszunutzen. Der Zweck dieses simulierten Angriffs besteht darin, Schwachstellen in der Verteidigung eines Systems zu identifizieren, die Angreifer ausnutzen könnten.

Das ist dasselbe, wie wenn eine Bank jemanden beauftragt, sich als Einbrecher zur verkleiden und zu versuchen, in ihr Gebäude einzubrechen und Zugang zum Tresor zu erlangen. Wenn der „Einbrecher“ erfolgreich ist und in die Bank oder den Tresor gelangt, gewinnt die Bank wertvolle Informationen darüber, wie sie ihre Sicherheitsmaßnahmen verschärfen muss.

Wer führt Pentests durch?

Es ist am besten, einen Pentest von jemandem durchführen zu lassen, der wenige oder gar keine Vorkenntnisse darüber hat, wie das System gesichert ist. Dann kann er möglicherweise blinde Flecken aufdecken, die die Entwickler des Systems übersehen haben. Aus diesem Grund werden in der Regel externe Dienstleister hinzugezogen, um die Tests durchzuführen. Diese Dienstleister werden oft als „ethische Hacker“ bezeichnet, da sie sich im Auftrag und mit Erlaubnis zur Erhöhung der Sicherheit in ein System hacken.

Viele ethische Hacker sind erfahrene Entwickler mit hohen akademischen Abschlüssen und einer Zertifizierung für Pentests. Aber einige der besten ethischen Hacker sind Autodidakten. Einige sind sogar bekehrte kriminelle Hacker, die jetzt ihr Fachwissen nutzen, um Sicherheitslücken zu schließen, anstatt sie missbrauchen. Der geeignetste Kandidat für die Durchführung eines Pentests kann je nach Zielunternehmen und der Art des durchzuführenden Pentests jeweils ein anderer sein.

Welche Arten von Pentests gibt es?

  • Open-Box-Pentest. Bei einem Open-Box-Test erhält der Hacker vorab einige Informationen zu den Sicherheitsmaßnahmen des Zielunternehmens.
  • Closed-Box-Pentest. Er wird auch als Single-Blind-Test bezeichnet. Hierbei erhält der Hacker außer dem Namen des Zielunternehmens keinerlei Hintergrundinformationen.
  • Verdeckter Pentest. Er wird auch als „doppelblinder“ Pentest bezeichnet. Das ist eine Situation, in der fast niemand im Unternehmen weiß, dass der Pentest stattfindet. Auch die IT- und Sicherheitsexperten, die auf den Angriff reagieren sollen, wissen nichts. Bei solchen verdeckten Tests ist es besonders wichtig, dass die Hacker den Umfang und andere Details des Tests im Voraus schriftlich haben, um später keine Probleme mit der Strafverfolgung zu bekommen.
  • Externer Pentest. Bei einem externen Test tritt der ethische Hacker gegen die nach außen gerichtete Technologie des Unternehmens an wie z. B. die Website und externe Netzwerkserver. In einigen Fällen darf der Hacker nicht einmal das Firmengebäude betreten. Das kann bedeuten, dass der Angriff von einem entfernten Ort oder einem in der Nähe geparkten LKW oder Transporter durchgeführt wird.
  • Interner Pentest. Bei einem internen Test führt der ethische Hacker den Test über das interne Netzwerk des Unternehmens durch. Diese Art von Test ist sinnvoll, um festzustellen, wie viel Schaden ein verärgerter Mitarbeiter hinter der Firewall des Unternehmens anrichten kann.

Wie wird ein typischer Pentest durchgeführt?

Pentests beginnen mit einer Aufklärungsphase, in der ein ethischer Hacker Daten und Informationen sammelt, die er zur Planung des simulierten Angriffs nutzt. Danach richtet sich der Fokus darauf, Zugriff auf das Zielsystem zu erlangen und aufrechtzuerhalten. Das erfordert eine breite Palette an Werkzeugen.

Angriffstools sind beispielsweise für Brute-Force-Angriffe oder SQL-Injections entwickelte Software. Es gibt auch speziell für Pentests entwickelte Hardware. Das sind beispielsweise kleine unauffällige Boxen, die an einen Computer im Netzwerk angeschlossen werden können und Hackern Fernzugriff auf das Netzwerk ermöglichen. Darüber hinaus können ethische Hacker Social-Engineering-Techniken einsetzen, um Schwachstellen zu finden. Sie senden zum Beispiel Phishing-E-Mails an Mitarbeiter des Unternehmens oder verkleiden Sie sich als Zusteller, um physischen Zugang zum Gebäude zu erhalten.

Die Hacker schließen den Test mit dem Verwischen ihrer Spuren ab. Das bedeutet, dass sie eingeschleuste Hardware entfernen und alles unternehmen, um einer Entdeckung zu entgehen und das Zielsystem genau so zu verlassen, wie sie es vorgefunden haben.

Was geschieht nach einem Pentest?

Nach Abschluss des Pentests teilen die ethischen Hacker ihre Ergebnisse dem Sicherheitsteam des Zielunternehmens mit. Diese Informationen können dann genutzt werden, um Sicherheitsupgrades zu implementieren und die während des Tests entdeckten Schwachstellen zu beseitigen. Solche Upgrades sind beispielsweise Durchsatzbegrenzung, neue WAF-Regeln und DDoS-Abwehr sowie strengere Formularvalidierungen und -bereinigungen.