Was ist ein Penetrationstest? | Was ist Pen-Testing?

Beim Pentest dehnen ethische Hacker geplante Angriffe auf die Sicherheitsinfrastruktur eines Unternehmens aus, um Sicherheitslücken aufzuspüren, die behoben werden müssen. Pentests sind Teil einer ganzheitlichen Sicherheitsstrategie.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Penetrationstest (Pentest) definieren
  • Den Ablauf eines Pentests beschreiben
  • Beschreiben, wie Pentests genutzt werden, um neue Sicherheitsfunktionen zu empfehlen

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist ein Penetrationstest?

Penetrationstests (oder Pentests) sind Sicherheitsübungen, bei denen ein Experte für Cyber-Sicherheit versucht, Schwachstellen in einem Computersystem zu finden und auszunutzen. Der Zweck dieses simulierten Angriffs besteht darin, Schwachstellen in der Verteidigung eines Systems zu identifizieren, die Angreifer ausnutzen könnten.

Das ist dasselbe, wie wenn eine Bank jemanden beauftragt, sich als Einbrecher zur verkleiden und zu versuchen, in ihr Gebäude einzubrechen und Zugang zum Tresor zu erlangen. Wenn der „Einbrecher“ erfolgreich ist und in die Bank oder den Tresor gelangt, gewinnt die Bank wertvolle Informationen darüber, wie sie ihre Sicherheitsmaßnahmen verschärfen muss.

Warum sind Penetrationstests wichtig?

Ein Penetrationstest hilft einem Unternehmen, Sicherheitslücken und Schwachstellen in seinen Systemen aufzudecken, die es sonst möglicherweise nicht entdeckt hätte. Dies kann dazu beitragen, Angriffe zu stoppen, bevor sie beginnen, da Unternehmen diese Sicherheitslücken sofort nach ihrer Identifizierung beheben können.

Pentest und Compliance

Penetrationstest können Unternehmen bei der Einhaltung von Datensicherheits- und Datenschutzbestimmungen helfen, indem sie herausfinden, auf welche Weise sensible Daten offengelegt werden könnten. Dies trägt dazu bei, dass ihre Daten sicher und vertraulich bleiben und Unbefugte keinen Zugang zu sensiblen Daten erhalten.

Einige Datenschutzbestimmungen verlangen auch einen Penetrationstest. Beispielsweise verlangt PCI DSS Version 4.0, Abschnitt 11.4 von Unternehmen die Verwendung eines Penetrationstest.

Höhere Sicherheit
Verteidigung gegen die zehn wichtigsten Angriffstechniken

Wer führt Pentests durch?

Es ist am besten, einen Pentest von jemandem durchführen zu lassen, der wenige oder gar keine Vorkenntnisse darüber hat, wie das System gesichert ist. Dann kann er möglicherweise blinde Flecken aufdecken, die die Entwickler des Systems übersehen haben. Aus diesem Grund werden in der Regel externe Dienstleister hinzugezogen, um die Tests durchzuführen. Diese Dienstleister werden oft als „ethische Hacker“ bezeichnet, da sie sich im Auftrag und mit Erlaubnis zur Erhöhung der Sicherheit in ein System hacken.

Viele ethische Hacker sind erfahrene Entwickler mit hohen akademischen Abschlüssen und einer Zertifizierung für Pentests. Aber einige der besten ethischen Hacker sind Autodidakten. Einige sind sogar bekehrte kriminelle Hacker, die jetzt ihr Fachwissen nutzen, um Sicherheitslücken zu schließen, anstatt sie missbrauchen. Der geeignetste Kandidat für die Durchführung eines Pentests kann je nach Zielunternehmen und der Art des durchzuführenden Pentests jeweils ein anderer sein.

Whitepaper
Ein strategischer Ansatz für PCI DSS 4.0

Welche Arten von Pentests gibt es?

  • Open-Box-Pentest. Bei einem Open-Box-Test erhält der Hacker vorab einige Informationen zu den Sicherheitsmaßnahmen des Zielunternehmens.
  • Closed-Box-Pentest. Er wird auch als Single-Blind-Test bezeichnet. Hierbei erhält der Hacker außer dem Namen des Zielunternehmens keinerlei Hintergrundinformationen.
  • Verdeckter Pentest. Er wird auch als „doppelblinder“ Pentest bezeichnet. Das ist eine Situation, in der fast niemand im Unternehmen weiß, dass der Pentest stattfindet. Auch die IT- und Sicherheitsexperten, die auf den Angriff reagieren sollen, wissen nichts. Bei solchen verdeckten Tests ist es besonders wichtig, dass die Hacker den Umfang und andere Details des Tests im Voraus schriftlich haben, um später keine Probleme mit der Strafverfolgung zu bekommen.
  • Externer Pentest. Bei einem externen Test tritt der ethische Hacker gegen die nach außen gerichtete Technologie des Unternehmens an wie z. B. die Website und externe Netzwerkserver. In einigen Fällen darf der Hacker nicht einmal das Firmengebäude betreten. Das kann bedeuten, dass der Angriff von einem entfernten Ort oder einem in der Nähe geparkten LKW oder Transporter durchgeführt wird.
  • Interner Pentest. Bei einem internen Test führt der ethische Hacker den Test über das interne Netzwerk des Unternehmens durch. Diese Art von Test ist sinnvoll, um festzustellen, wie viel Schaden ein verärgerter Mitarbeiter hinter der Firewall des Unternehmens anrichten kann.

Wie wird ein typischer Pentest durchgeführt?

Pentests beginnen mit einer Aufklärungsphase, in der ein ethischer Hacker Daten und Informationen sammelt, die er zur Planung des simulierten Angriffs nutzt. Danach richtet sich der Fokus darauf, Zugriff auf das Zielsystem zu erlangen und aufrechtzuerhalten. Das erfordert eine breite Palette an Werkzeugen.

Angriffstools sind beispielsweise für Brute-Force-Angriffe oder SQL-Injections entwickelte Software. Es gibt auch speziell für Pentests entwickelte Hardware. Das sind beispielsweise kleine unauffällige Boxen, die an einen Computer im Netzwerk angeschlossen werden können und Hackern Fernzugriff auf das Netzwerk ermöglichen. Darüber hinaus können ethische Hacker Social-Engineering-Techniken einsetzen, um Schwachstellen zu finden. Sie senden zum Beispiel Phishing-E-Mails an Mitarbeiter des Unternehmens oder verkleiden Sie sich als Zusteller, um physischen Zugang zum Gebäude zu erhalten.

Die Hacker schließen den Test mit dem Verwischen ihrer Spuren ab. Das bedeutet, dass sie eingeschleuste Hardware entfernen und alles unternehmen, um einer Entdeckung zu entgehen und das Zielsystem genau so zu verlassen, wie sie es vorgefunden haben.

Was geschieht nach einem Pentest?

Nach Abschluss des Pentests teilen die ethischen Hacker ihre Ergebnisse dem Sicherheitsteam des Zielunternehmens mit. Diese Informationen können dann genutzt werden, um Sicherheitsupgrades zu implementieren und die während des Tests entdeckten Schwachstellen zu beseitigen.

Für Web-Apps umfassen solche Upgrades beispielsweise Rate Limiting, neue WAF-Regeln und DDoS-Abwehr sowie strengere Formularvalidierungen und -bereinigungen. Für interne Netzwerke könnten solche Upgrades ein sicheres Web-Gateway oder die Umstellung auf ein Zero Trust-Sicherheitsmodell umfassen. Wenn der ethische Hacker Social Engineering-Taktiken verwendet, um in das System einzudringen, könnte das Unternehmen in Erwägung ziehen, seine Mitarbeiter besser zu schulen sowie seine Systeme zur Zugriffskontrolle zu überprüfen und zu aktualisieren, um laterale Bewegungen zu verhindern.

Cloudflare schützt die Apps, Netzwerke und Menschen von Unternehmen mit einer Kombination aus Web-App-Sicherheitslösungen und einer Zero Trust-Sicherheitsplattform.