Blog
Wissensgrundlagen Penetration Test
Die 6 wichtigsten Punkte bei Beauftragung eines Penetration Tests (Ethical Hacking)
Ein Penetration Test, auch als Pen-Test oder Ethical Hacking bezeichnet, ist ein autorisierter und kontrollierter Angriff auf ein Computersystem, eine Netzwerkumgebung oder eine Anwendung, um deren Sicherheitslücken aufzudecken.
Das Hauptziel eines Penetrationstests besteht darin, potenzielle Schwachstellen in der IT-Infrastruktur eines Unternehmens zu identifizieren, bevor diese von echten Angreifern ausgenutzt werden können.
15.08.2023
Lesezeit: 6 Minuten
Was passiert bei einem Penetration Test?
Während eines Penetrationstests versucht ein speziell geschulter Sicherheitsexperte, die Systeme zu durchdringen und Zugriff auf vertrauliche Informationen zu erlangen, unautorisierte Änderungen vorzunehmen oder Dienste und Ressourcen zu kompromittieren. Dies geschieht in einer kontrollierten Umgebung, um sicherzustellen, dass der Test keine negativen Auswirkungen auf den normalen Betrieb des Systems hat.
Ein Penetrationstest kann verschiedene Methoden und Techniken verwenden, um Schwachstellen zu identifizieren, einschließlich Netzwerkscans, Phishing-Angriffe, Social Engineering, Brute-Force-Angriffe, Denial-of-Service (DoS)-Angriffe und das Ausnutzen von Software-Schwachstellen. Nach Abschluss des Tests erstellt der Sicherheitsexperte einen Bericht, der die gefundenen Schwachstellen, die Auswirkungen und mögliche Gegenmaßnahmen beschreibt, um die Sicherheit des Systems zu verbessern.

Die 6 wichtigsten Punkte bei Penetration Tests:
Festlegung der Methodik
Variante 1: Es wird gezielt ein einzelnes System angegriffen. Dafür müssen die Voraussetzungen des Angreifers und das Zielsystem vorab genau definiert werden. Mit dieser Variante wird die Sicherheit des Zielsystems geprüft.
Variante 2: Es werden ein oder mehrere interne Systeme als Basis des Angriffs vorgegeben und dann ohne konkretes Ziel geprüft, wie weit sich der Pentester im System ausbreiten kann. Mit dieser Variante wird die Sicherheit der Netzwerkarchitektur geprüft.
Bei beiden Varianten muss vorab die Tiefe des Tests festgelegt werden, also ob ein Sicherheitsaudit, ein nicht invasiver Scan oder ein invasiver Test durchgeführt werden soll.
Grenzen von Penetration Tests
Stellenwert eines Penetration Test in der Informationssicherheit
Üblicherweise werden IT-Systeme im Rahmen eines Informationssicherheitsmanagements auf strategische und architektonische Weise gegen alle Arten von Angriffen abgesichert. Der Penetration Test soll dann als realer, praktischer Test die Wirksamkeit der Umsetzung der Sicherheitsmaßnahmen verifizieren. Damit ergibt sich die reale Erhöhung der Cybersicherheit und Abwehr bösartiger Angreifer nur durch die Einbindung von Penetration Tests in ein ganzheitliches, strategisches und operatives IT-Sicherheits-Managementsystem.
Drei Varianten von Penetration Tests
1. Ein Blackbox-Test ist ein Sicherheitstest, bei dem der Tester keinerlei Kenntnis über die interne Funktionalität oder den Quellcode des Systems hat. Es wird die externe Schnittstelle des Systems getestet, um Schwachstellen aufzudecken.
Für aussagekräftige Penetration Tests sollten möglichst immer Greybox-Tests durchgeführt werden. Falls dies nicht möglich ist, sollte ein Whiteboxtest durchgeführt werden.
Gefährdungen durch Penetration Tests
Stakeholder
Es müssen folgende Stellen vor Durchführung von Penetration Tests mit eingebunden werden: Geschäftsführung, Datenschutzbeauftragte, Informationssicherheitsbeauftragte, IT-Leitung, externe Infrastrukturbetreiber (je nach Zielsystem z.B. externe Rechenzentren, Cloudbetreiber, etc. ), ggf. Mitarbeiter, ggf. Kunden, ggf. Betriebsrat.
DSS IT Security GmbH als Pentester
Wir bieten verschiedene Arten von Pentests an:
Technische Vulnerability Scans (nicht invasiv) sowie komplette Penetration Tests (invasiv) von Websites, Servern, Netzwerken, IT-Systemen und Anwendungen. Sie erhalten einen ausführlichen Ergebnisbericht über die gefundenen Schwachstellen. Für besonders spezialisierte, invasive Pentests kooperieren wir mit dem renommierten Flensburger IT-Sicherheitsspezialisten Lednerb IT-Security GmbH (externer Link).
In der Vorbereitung auf Penetration Tests führen wir bei Bedarf auch Strukturerhebungen und DSS IT-Basissicherheitsaudits für Sie durch. Es werden dabei aus den wichtigsten 180 IT-Sicherheitsmaßnahmen die relevanten Maßnahmen auf die jeweilige Systemgruppe modelliert und per Interview-Audit geprüft und ausgewertet (DSS IT-Basissicherheit).
> Mehr zu den insgesamt 1700 standardkonformen IT-Sicherheitsmaßnahmen des BSI finden Sie hier: IT-Sicherheit für den Mittelstand – ISO 27001 und BSI Standards verständlich erklärt
Zur Abwehr von Social Engineering Attacken bieten wir zudem ein 12-monatiges online IT-Sicherheits- und Anti-Phishing-Training für Ihre Mitarbeiter.
(Artikel von Georg Rasch)
Schreiben Sie uns für unverbindliches Angebot einfach an:
Dieses Werk von DSS IT Security GmbH ist lizenziert unter einer Creative Commons Namensnennung – Weitergabe unter gleichen Bedingungen 4.0 International Lizenz (externer Link). Beruht auf dem Werk unter https://it-security.gmbh.