Kategorien
Seiten
-

IT Center Blog

Pentest: Angriffe, die für mehr Sicherheit sorgen

27. Februar 2023 | von
Mann mit Hut vor Laptop

Quelle: Eigene Darstellung

Cyberangriffe sind für Unternehmen und Organisationen inzwischen zum normalen Tagesgeschäft geworden, und die Frage der Absicherung gegen diese Angriffe spielt eine immer wichtigere Rolle. Dabei ist es besonders wichtig, zu verstehen, wie Hacker*innen bei ihren Angriffen vorgehen. Aus diesem Grund werden viele Unternehmen und Organisationen sogar freiwillig zur Zielscheibe, indem sie IT-Experten*innen mit sogenannten Penetrationstests beauftragen. Wie das genau funktioniert, erklären wir in diesem Beitrag.

Was ist ein Pentest?

Ein Penetrationstest, oft einfach nur als Pentest bezeichnet, ist ein Verfahren zur Ermittlung der Anfälligkeit von IT-Systemen und/oder Netzwerken für Angriffe. Dabei werden Methoden und Techniken verwendet, die im Allgemeinen von echten Hacker*innen eingesetzt werden. Um möglichst genaue und unverfälschte Untersuchungsergebnisse zu erhalten, werden Pentests aus der Perspektive der Angreifer*innen durchgeführt. Die Tests werden demnach immer von unabhängigen Dritten durchgeführt.

Das Ziel eines Pentests ist nicht, Sicherheitslücken und Schwachstellen zu beseitigen. Es geht vorerst lediglich darum, Schwachstellen aufzudecken und damit das Risikopotenzial eines Systems besser einschätzen zu können. Während des Tests werden alle durchgeführten Maßnahmen detailliert protokolliert. In einem anschließenden Bericht werden die einzelnen Maßnahmen, der genaue Ablauf des Tests sowie die aufgedeckten Schwachstellen und die entsprechenden Lösungsansätze zusammengestellt. Es liegt dann in der Verantwortung des Auftraggebenden bzw. des Betreibenden des IT-Systems, die durch den Pentest aufgedeckten Schwachstellen auf Grundlage des Abschlussberichts zu beseitigen und die eigene IT-Infrastruktur zu stärken.

Die Durchführung eines Penetrationstests muss immer von der zu testenden Organisation in Auftrag gegeben beziehungsweise autorisiert werden. Unautorisierte Pentests sind illegal und können als Straftatbestand eingestuft werden.

Unterschied zu anderen Sicherheitstests

Vulnerability- und Security-Scans werden in den meisten Fällen völlig automatisch durchgeführt. Dabei werden Systeme und Netzwerke mit automatisierten Werkzeugen und Software auf Sicherheitslücken untersucht. Bei einem Penetrationstest können zwar auch automatisch arbeitende Tools eingesetzt werden, der überwiegende Teil der Arbeit wird jedoch völlig manuell verrichtet. Ein Pentest ist wesentlich aufwendiger, da er auf die einzelne Organisation und ihre IT-Systeme angepasst wird. Im Verlauf des Tests werden Informationen manuell gesammelt und auch die Angriffe auf die IT-Infrastruktur werden manuell ausgeübt, um möglichst viele bisher unentdeckte Schwachstellen aufzudecken.

Arten von Pentest

Es wird allgemein zwischen drei Arten von Pentests unterschieden: die Black-Box-, White-Box und Grey-Box-Tests.

Bei Black-Box-Penetrationstests werden die Angriffe ganz ohne Kenntnisse über das anzugreifende System ausgeführt. Die Pentester*innen wissen dabei nicht mal, welche Organisation sie angreifen. Ihnen ist lediglich die IP-Adresse der Organisationswebsite bekannt. Von diesem Ausgangspunkt müssen sie dann versuchen, mithilfe von Cyberangriffen in die IT-Infrastruktur zu gelangen.

Bei White-Box-Penetrationstests werden die Angriffe von Angreifer*innen nachgestellt, die bereits über umfangreiche Insiderkenntnisse verfügen. Diese Tests werden beispielsweise aus der Perspektive eines konkurrierenden Unternehmens, ehemaligen Mitarbeitenden oder Ähnlichem durchgeführt. Damit soll also die Vorgehensweise von Eindringlingen simuliert werden, die ihr Ziel genau ausgewählt haben und bereits über einen längeren Zeitraum Nachforschungen angestellt haben.

Bei einem Grey-Box-Penetrationstest werden Hacker*innen imitiert, die zwar nur unvollständige oder veraltete Informationen über eine Organisation beschaffen konnten, zum Beispiel durch Social Engineering und weitere Methoden, aber dennoch einen Angriffsversuch starten möchten.

Wie sieht Pentesting in der Praxis aus?

Der genaue Ablauf eines Pentests hängt einerseits von der Art des Tests und andererseits von der anzugreifenden Organisation, ihrer Größe und Infrastruktur ab. Darüber hinaus unterliegen Pentests aber immer einer strukturierten Vorgehensweise, bei der bestimmte Schritte immer eingehalten werden sollten.

Zunächst werden die Anforderungen und Rahmenbedingungen im Rahmen eines Vorbereitungsgesprächs definiert. Dabei wird der genaue Ablauf des Tests besprochen und festgehalten. Es werden Ansprechpartner definiert und je nach Art des Pentests notwendige Zugänge zu Benutzerkonten bestimmt. Sobald diese Rahmenbedingungen festgelegt wurden, können die Pentester*innen damit beginnen, Informationen zu sammeln. Anhand dieser Informationen sollen dann konkrete Schwachstellen erkannt werden. Im nächsten Schritt wird das System dann tatsächlich angegriffen. Dabei werden die zuvor aufgedeckten Schwachstellen ausgenutzt.

Anschließend wird ein detaillierter Bericht mit ausführlicher Test- und Schwachstellenbeschreibung erstellt. In diesem Bericht werden alle aufgedeckten Sicherheitsschwachstellen sowie dazugehörige empfohlene Lösungsmaßnahmen beschrieben. Es folgt schließlich eine Nachbearbeitungsphase, in der die Schwachstellen mithilfe der Pentester*innen oder dritter Sicherheitsexpert*innen beseitigt und die Sicherheitslücken geschlossen werden.

In einer abschließenden Nachkontrolle werden die Sicherheitslücken dann erneut überprüft, um sicherzustellen, dass alle Lösungsmaßnahmen erfolgreich umgesetzt wurden und keine Schwachstellen übersehen wurden. Zum Schluss findet eine Abschlussbesprechung statt, in der der gesamte Prozess und die Ergebnisse des Pentests nochmals gemeinsam besprochen werden.

Penetrationstests stellen praxisnahe Sicherheitsprüfungen dar, bei denen Unternehmen und Organisationen ihre IT-Infrastruktur aus Sicht von Hacker*innen auf Herz und Nieren prüfen können. Dabei ist jedoch zu bedenken, dass diese Tests trotz ihrer Ausführlichkeit nur eine Momentaufnahme der Sicherheit einer IT-Infrastruktur darstellen. Ein einmaliger Pentest ist daher von geringem Nutzen.

Um Krisen zu überstehen und Angriffen langfristig widerstehen zu können, sind regelmäßige Tests unerlässlich. Wer in regelmäßigen Abständen Pentests durchführen lassen will, sollte zudem auf unterschiedliche IT-Expert*innen setzen. Denn verschiedene Perspektiven und Herangehensweisen können durchaus zu verschiedenen Ergebnissen führen.

 

Ihr wollt mehr über IT-Sicherheit erfahren? Unter dem Tag IT-Sicherheit findet ihr all unsere Blogbeiträge zu diesem Thema.

 

Verantwortlich für die Inhalte dieses Beitrags ist Stéphanie Bauens.

Kommentare sind geschlossen.