Was ist ein Penetrationstest?

Heutzutage sind IT-Sys­teme ein fes­ter Be­stand­teil un­se­res Le­bens. Häuf­ig ver­netzt, sind sie stän­di­gen Be­dro­hun­gen von Kri­mi­nel­len aus­ge­setzt. Bös­wil­lige Hacker ver­su­chen Schwach­stel­len von Pro­gram­men und Ser­vern aus­zu­nutzen, um da­raus Pro­fit zu schla­gen.

Gegen sol­che An­grif­fe müs­sen auf un­ter­schied­li­chen Ebe­nen Ge­gen­maß­nah­men er­grif­fen wer­den. So kön­nen durch gut aus­ge­bil­de­te Ent­wickler oder eine frü­he Be­rück­sich­ti­gung von IT-Si­cher­heit im Pla­nungs­pro­zess von Pro­jek­ten Feh­ler ver­mie­den wer­den. Durch die ho­he Kom­ple­xi­tät von IT- und Soft­ware­sys­te­men ist vor allem ein Pe­ne­tra­tions­test ein wir­kungs­vol­les Mittel, um prä­ven­tiv Schutz­maß­nah­men vor Hacker­an­grif­fen zu er­grei­fen. Ein Pe­ne­tra­tions­test ist eine um­fas­sen­de Prü­fung durch IT-Si­cher­heits­ex­per­ten, um mit den Mit­teln und Me­tho­den von bös­wil­ligen Hackern (so­ge­nann­te Black Hat Hacker) die Em­pfind­lich­keit von Sys­te­men ge­gen­über An­grif­fen fest­zu­stel­len.

IT-Sicher­heit durch Pen­tests

Ziel eines Pen­tests ist die Sicher­heits­prü­fung eines Sys­tems, da­bei Schwach­stel­len auf­zu­de­cken und eine Ein­schä­tzung der Ge­fah­ren­si­tua­tion zu ge­ben. Beim Ethical Hacking wird der Pro­band des­halb durch Sicher­heits­ex­per­ten ma­nu­ell un­ter­sucht und an­ge­grif­fen, wie wenn ein Cracker am Werk wäre. Alle durch­ge­führ­ten Tests wer­den pro­to­kol­liert, Lö­sungs­an­sätze für Schwach­punk­te er­ar­bei­tet und das Er­ge­bnis in einem Be­richt dem Auf­trag­ge­ber vor­ge­stellt. Die­ser ar­bei­tet eng mit den Pe­ne­tra­tion Tes­tern zu­samm­en, um ge­mäß Dring­lich­keit und Wich­tig­keit das an­ge­streb­te IT-Si­cher­heits­ni­veau zu er­rei­chen.

Was ist kein Pentest?

Im Un­ter­schied zu Pe­ne­tra­tion­tests sind Vul­ne­ra­bi­li­ty oder Se­cu­rity Scans auto­ma­tische Prü­fun­gen, meist für Stan­dard­soft­ware und be­kannte Schwach­stel­len. Durch die­se Scans wer­den be­kannte Sys­te­me auf be­kannte Pro­ble­me ge­tes­tet. Beim Ein­satz für In­di­vi­dual­sys­te­me ver­sa­gen sie meist bzw. lie­fern kein re­le­van­tes Er­geb­nis. Hier liegt die Stär­ke von Pe­ne­tra­tions­tests: nach gründ­li­cher Vor­be­rei­tung führt der Pen­tes­ter in­di­vi­du­ell auf das Ziel­sys­tem ab­ge­stimm­te An­grif­fe un­ter Zu­hil­fe­nah­me von Werk­zeu­gen durch, um die zahl­rei­chen An­griffs­me­tho­den von Hackern nach­zu­bil­den.