Skip to content

Blog

Home
DSS IT Security GmbH
IT-Sicherheit
Wichtige Wissensgrundlagen für die Beauftragung eines Penetration Tests (Ethical Hacking)

Wissensgrundlagen Penetration Test

Die 6 wichtigsten Punkte bei Beauftragung eines Penetration Tests (Ethical Hacking)

Ein Penetration Test, auch als Pen-Test oder Ethical Hacking bezeichnet, ist ein autorisierter und kontrollierter Angriff auf ein Computersystem, eine Netzwerkumgebung oder eine Anwendung, um deren Sicherheitslücken aufzudecken.

 Das Hauptziel eines Penetrationstests besteht darin, potenzielle Schwachstellen in der IT-Infrastruktur eines Unternehmens zu identifizieren, bevor diese von echten Angreifern ausgenutzt werden können.

15.08.2023
Lesezeit: 6 Minuten

Was passiert bei einem Penetration Test?

Während eines Penetrationstests versucht ein speziell geschulter Sicherheitsexperte, die Systeme zu durchdringen und Zugriff auf vertrauliche Informationen zu erlangen, unautorisierte Änderungen vorzunehmen oder Dienste und Ressourcen zu kompromittieren. Dies geschieht in einer kontrollierten Umgebung, um sicherzustellen, dass der Test keine negativen Auswirkungen auf den normalen Betrieb des Systems hat.

Ein Penetrationstest kann verschiedene Methoden und Techniken verwenden, um Schwachstellen zu identifizieren, einschließlich Netzwerkscans, Phishing-Angriffe, Social Engineering, Brute-Force-Angriffe, Denial-of-Service (DoS)-Angriffe und das Ausnutzen von Software-Schwachstellen. Nach Abschluss des Tests erstellt der Sicherheitsexperte einen Bericht, der die gefundenen Schwachstellen, die Auswirkungen und mögliche Gegenmaßnahmen beschreibt, um die Sicherheit des Systems zu verbessern.

A DALL-E generated picture of a CEO Fraud
Penetration Test: A DALL-E AI generated picture of a CEO Fraud Attack


Die 6 wichtigsten Punkte bei Penetration Tests:

Festlegung der Methodik

Variante 1: Es wird gezielt ein einzelnes System angegriffen. Dafür müssen die Voraussetzungen des Angreifers und das Zielsystem vorab genau definiert werden. Mit dieser Variante wird die Sicherheit des Zielsystems geprüft.
Variante 2: Es werden ein oder mehrere interne Systeme als Basis des Angriffs vorgegeben und dann ohne konkretes Ziel geprüft, wie weit sich der Pentester im System ausbreiten kann. Mit dieser Variante wird die Sicherheit der Netzwerkarchitektur geprüft.

Bei beiden Varianten muss vorab die Tiefe des Tests festgelegt werden, also ob ein Sicherheitsaudit, ein nicht invasiver Scan oder ein invasiver Test durchgeführt werden soll.

Grenzen von Penetration Tests

Penetration Tests zeigen Sicherheitslücken im Rahmen der festgelegten Vorbedingungen zum Zeitpunkt der Durchführung auf. Es werden fortlaufend neue IT-Sicherheitslücken entdeckt, sodass die Tests in zeitlichen Abständen regelmäßig wiederholt werden sollten (Empfehlung des BSI: alle zwei bis drei Jahre). 
 
Zudem sollte bedacht werden, dass ein bösartiger Angreifer sowohl Zero Day Exploits zum Angriff verwenden kann, gegen die häufig keine Tests durchgeführt werden können und das bösartige Angreifer bei gezielten Angriffen das Zielsystem häufig über mehrere Wochen angreifen, während ein Penetration Test der Variante 2 meist nur über ein bis zwei Wochen durchgeführt wird, weswegen durch Penetration Tests niemals eine 100%ige Sicherheit erlangt werden kann.

Stellenwert eines Penetration Test in der Informationssicherheit

Üblicherweise werden IT-Systeme im Rahmen eines Informationssicherheitsmanagements auf strategische und architektonische Weise gegen alle Arten von Angriffen abgesichert. Der Penetration Test soll dann als realer, praktischer Test die Wirksamkeit der Umsetzung der Sicherheitsmaßnahmen verifizieren. Damit ergibt sich die reale Erhöhung der Cybersicherheit und Abwehr bösartiger Angreifer nur durch die Einbindung von Penetration Tests in ein ganzheitliches, strategisches und operatives IT-Sicherheits-Managementsystem.

Diagramm zur Darstellung des Ablaufs eines Penetration Tests / Ethical Hacking

Drei Varianten von Penetration Tests

1. Ein Blackbox-Test ist ein Sicherheitstest, bei dem der Tester keinerlei Kenntnis über die interne Funktionalität oder den Quellcode des Systems hat. Es wird die externe Schnittstelle des Systems getestet, um Schwachstellen aufzudecken.     

 2. Ein Whitebox-Test ist ein Sicherheitstest, bei dem der Tester vollständigen Zugriff auf das interne System hat, einschließlich des Quellcodes. Dies ermöglicht eine detaillierte Analyse der internen Struktur und Logik, um Schwachstellen zu identifizieren und zu beheben.
      
3. Ein Greybox-Test kombiniert Elemente von Blackbox- und Whitebox-Tests. Der Tester hat begrenzte Kenntnisse über die interne Struktur des Systems. Dies ermöglicht eine gezielte Teststrategie, bei der sowohl die externe Schnittstelle als auch ausgewählte interne Aspekte untersucht werden, um Schwachstellen zu finden.


Für aussagekräftige Penetration Tests sollten möglichst immer Greybox-Tests durchgeführt werden. Falls dies nicht möglich ist, sollte ein Whiteboxtest durchgeführt werden.

Gefährdungen durch Penetration Tests

IS-Penetrationstests können in unterschiedlicher Tiefe durchgeführt werden. Zu vermeiden sind dabei destruktive Tests, das heißt Tests, bei denen die Zielsysteme zu Schaden kommen könnten. Wenn möglich, sollten Tests daher auf zu den Produktivsystemen identischen Testsystemen stattfinden. 
 
Ist dies nicht möglich, sind in Zusammenarbeit mit der Betreiber-IT und dem Pentester geeignete Maßnahmen zu ergreifen, die angegriffenen Systeme nicht aus versehen zu beschädigen. Dafür ist eine vorherige Sicherheitsanalyse der getesten IT-Systeme dringend zu empfehlen (IS-Kurzrevision)!

Stakeholder

Es müssen folgende Stellen vor Durchführung von Penetration Tests mit eingebunden werden: Geschäftsführung, Datenschutzbeauftragte, Informationssicherheitsbeauftragte, IT-Leitung, externe Infrastrukturbetreiber (je nach Zielsystem z.B. externe Rechenzentren, Cloudbetreiber, etc. ), ggf. Mitarbeiter, ggf. Kunden, ggf. Betriebsrat.

Axt hackt auf einen Bildschirm, der einen Hacker zeigt. Daneben steht der Slogan "Heute schon gehackt?"


DSS IT Security GmbH als Pentester

Wir bieten verschiedene Arten von Pentests an:

Technische Vulnerability Scans (nicht invasiv) sowie komplette Penetration Tests (invasiv) von Websites, Servern, Netzwerken, IT-Systemen und Anwendungen. Sie erhalten einen ausführlichen Ergebnisbericht über die gefundenen Schwachstellen. Für besonders spezialisierte, invasive Pentests kooperieren wir mit dem renommierten Flensburger IT-Sicherheitsspezialisten Lednerb IT-Security GmbH (externer Link).

In der Vorbereitung auf Penetration Tests führen wir bei Bedarf auch Strukturerhebungen und DSS IT-Basissicherheitsaudits für Sie durch. Es werden dabei aus den wichtigsten 180 IT-Sicherheitsmaßnahmen die relevanten Maßnahmen auf die jeweilige Systemgruppe modelliert und per Interview-Audit geprüft und ausgewertet (DSS IT-Basissicherheit).

> Mehr zu den insgesamt 1700 standardkonformen IT-Sicherheitsmaßnahmen des BSI finden Sie hier: IT-Sicherheit für den Mittelstand – ISO 27001 und BSI Standards verständlich erklärt

Zur Abwehr von Social Engineering Attacken bieten wir zudem ein 12-monatiges online IT-Sicherheits- und Anti-Phishing-Training für Ihre Mitarbeiter.

(Artikel von Georg Rasch)

Schreiben Sie uns für unverbindliches Angebot einfach an:

Empfohlene Beiträge

IT-Sicherheit für den Mittelstand – ISO 27001 und BSI Standards verständlich erklärt

Datenschutz – Strafen und Bußgelder vermeiden

Hinweisgeberschutzgesetz und Whistleblowing-Richtlinie: Tipps für Unternehmen

 

Anfrage

Lizenz cc-by-sa

Dieses Werk von DSS IT Security GmbH ist lizenziert unter einer Creative Commons Namensnennung – Weitergabe unter gleichen Bedingungen 4.0 International Lizenz (externer Link). Beruht auf dem Werk unter https://it-security.gmbh.

KONTAKTFORMULAR