{"id":14236,"date":"2023-02-27T11:00:01","date_gmt":"2023-02-27T10:00:01","guid":{"rendered":"https:\/\/blog.rwth-aachen.de\/itc\/?p=14236"},"modified":"2023-02-24T11:50:08","modified_gmt":"2023-02-24T10:50:08","slug":"pentest","status":"publish","type":"post","link":"https:\/\/blog.rwth-aachen.de\/itc\/2023\/02\/27\/pentest\/","title":{"rendered":"Pentest: Angriffe, die f\u00fcr mehr Sicherheit sorgen"},"content":{"rendered":"<div class=\"twoclick_social_bookmarks_post_14236 social_share_privacy clearfix 1.6.4 locale-de_DE sprite-de_DE\"><\/div><div class=\"twoclick-js\"><script type=\"text\/javascript\">\/* <![CDATA[ *\/\njQuery(document).ready(function($){if($('.twoclick_social_bookmarks_post_14236')){$('.twoclick_social_bookmarks_post_14236').socialSharePrivacy({\"txt_help\":\"Wenn Sie diese Felder durch einen Klick aktivieren, werden Informationen an Facebook, Twitter, Flattr, Xing, t3n, LinkedIn, Pinterest oder Google eventuell ins Ausland \\u00fcbertragen und unter Umst\\u00e4nden auch dort gespeichert. N\\u00e4heres erfahren Sie durch einen Klick auf das <em>i<\\\/em>.\",\"settings_perma\":\"Dauerhaft aktivieren und Daten\\u00fcber-tragung zustimmen:\",\"info_link\":\"http:\\\/\\\/www.heise.de\\\/ct\\\/artikel\\\/2-Klicks-fuer-mehr-Datenschutz-1333879.html\",\"uri\":\"https:\\\/\\\/blog.rwth-aachen.de\\\/itc\\\/2023\\\/02\\\/27\\\/pentest\\\/\",\"post_id\":14236,\"post_title_referrer_track\":\"Pentest%3A+Angriffe%2C+die+f%C3%BCr+mehr+Sicherheit+sorgen\",\"display_infobox\":\"on\"});}});\n\/* ]]> *\/<\/script><\/div><p><div id=\"attachment_14237\" style=\"width: 310px\" class=\"wp-caption alignright\"><a href=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2023\/02\/IT-Center-Blog-Pentest.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-14237\" class=\"wp-image-14237 size-medium\" src=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2023\/02\/IT-Center-Blog-Pentest-300x169.png\" alt=\"Mann mit Hut vor Laptop\" width=\"300\" height=\"169\" srcset=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2023\/02\/IT-Center-Blog-Pentest-300x169.png 300w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2023\/02\/IT-Center-Blog-Pentest-1024x576.png 1024w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2023\/02\/IT-Center-Blog-Pentest-768x432.png 768w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2023\/02\/IT-Center-Blog-Pentest-1536x864.png 1536w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2023\/02\/IT-Center-Blog-Pentest-2048x1152.png 2048w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><p id=\"caption-attachment-14237\" class=\"wp-caption-text\">Quelle: Eigene Darstellung<\/p><\/div><\/p>\n<p>Cyberangriffe sind f\u00fcr Unternehmen und Organisationen inzwischen zum normalen Tagesgesch\u00e4ft geworden, und die Frage der Absicherung gegen diese Angriffe spielt eine immer wichtigere Rolle. Dabei ist es besonders wichtig, zu verstehen, wie Hacker*innen bei ihren Angriffen vorgehen. Aus diesem Grund werden viele Unternehmen und Organisationen sogar freiwillig zur Zielscheibe, indem sie IT-Experten*innen mit sogenannten Penetrationstests beauftragen. Wie das genau funktioniert, erkl\u00e4ren wir in diesem Beitrag.<!--more--><\/p>\n<h3><span style=\"color: #00549f;\">Was ist ein Pentest?<\/span><\/h3>\n<p>Ein Penetrationstest, oft einfach nur als Pentest bezeichnet, ist ein Verfahren zur Ermittlung der Anf\u00e4lligkeit von IT-Systemen und\/oder Netzwerken f\u00fcr Angriffe. Dabei werden Methoden und Techniken verwendet, die im Allgemeinen von echten Hacker*innen eingesetzt werden. Um m\u00f6glichst genaue und unverf\u00e4lschte Untersuchungsergebnisse zu erhalten, werden Pentests aus der Perspektive der Angreifer*innen durchgef\u00fchrt. Die Tests werden demnach immer von unabh\u00e4ngigen Dritten durchgef\u00fchrt.<\/p>\n<p>Das Ziel eines Pentests ist nicht, Sicherheitsl\u00fccken und Schwachstellen zu beseitigen. Es geht vorerst lediglich darum, Schwachstellen aufzudecken und damit das Risikopotenzial eines Systems besser einsch\u00e4tzen zu k\u00f6nnen. W\u00e4hrend des Tests werden alle durchgef\u00fchrten Ma\u00dfnahmen detailliert protokolliert. In einem anschlie\u00dfenden Bericht werden die einzelnen Ma\u00dfnahmen, der genaue Ablauf des Tests sowie die aufgedeckten Schwachstellen und die entsprechenden L\u00f6sungsans\u00e4tze zusammengestellt. Es liegt dann in der Verantwortung des Auftraggebenden bzw. des Betreibenden des IT-Systems, die durch den Pentest aufgedeckten Schwachstellen auf Grundlage des Abschlussberichts zu beseitigen und die eigene IT-Infrastruktur zu st\u00e4rken.<\/p>\n<p>Die Durchf\u00fchrung eines Penetrationstests muss immer von der zu testenden Organisation in Auftrag gegeben beziehungsweise autorisiert werden. Unautorisierte Pentests sind illegal und k\u00f6nnen als Straftatbestand eingestuft werden.<\/p>\n<h3><span style=\"color: #00549f;\">Unterschied zu anderen Sicherheitstests<\/span><\/h3>\n<p>Vulnerability- und Security-Scans werden in den meisten F\u00e4llen v\u00f6llig automatisch durchgef\u00fchrt. Dabei werden Systeme und Netzwerke mit automatisierten Werkzeugen und Software auf Sicherheitsl\u00fccken untersucht. Bei einem Penetrationstest k\u00f6nnen zwar auch automatisch arbeitende Tools eingesetzt werden, der \u00fcberwiegende Teil der Arbeit wird jedoch v\u00f6llig manuell verrichtet. Ein Pentest ist wesentlich aufwendiger, da er auf die einzelne Organisation und ihre IT-Systeme angepasst wird. Im Verlauf des Tests werden Informationen manuell gesammelt und auch die Angriffe auf die IT-Infrastruktur werden manuell ausge\u00fcbt, um m\u00f6glichst viele bisher unentdeckte Schwachstellen aufzudecken.<\/p>\n<h3><span style=\"color: #00549f;\">Arten von Pentest<\/span><\/h3>\n<p>Es wird allgemein zwischen drei Arten von Pentests unterschieden: die Black-Box-, White-Box und Grey-Box-Tests.<\/p>\n<p>Bei <strong>Black-Box-Penetrationstests <\/strong>werden die Angriffe ganz ohne Kenntnisse \u00fcber das anzugreifende System ausgef\u00fchrt. Die Pentester*innen wissen dabei nicht mal, welche Organisation sie angreifen. Ihnen ist lediglich die IP-Adresse der Organisationswebsite bekannt. Von diesem Ausgangspunkt m\u00fcssen sie dann versuchen, mithilfe von Cyberangriffen in die IT-Infrastruktur zu gelangen.<\/p>\n<p>Bei <strong>White-Box-Penetrationstests<\/strong> werden die Angriffe von Angreifer*innen nachgestellt, die bereits \u00fcber umfangreiche Insiderkenntnisse verf\u00fcgen. Diese Tests werden beispielsweise aus der Perspektive eines konkurrierenden Unternehmens, ehemaligen Mitarbeitenden oder \u00c4hnlichem durchgef\u00fchrt. Damit soll also die Vorgehensweise von Eindringlingen simuliert werden, die ihr Ziel genau ausgew\u00e4hlt haben und bereits \u00fcber einen l\u00e4ngeren Zeitraum Nachforschungen angestellt haben.<\/p>\n<p>Bei einem <strong>Grey-Box-Penetrationstest <\/strong>werden Hacker*innen imitiert, die zwar nur unvollst\u00e4ndige oder veraltete Informationen \u00fcber eine Organisation beschaffen konnten, zum Beispiel durch Social Engineering und weitere Methoden, aber dennoch einen Angriffsversuch starten m\u00f6chten.<\/p>\n<h3><span style=\"color: #00549f;\">Wie sieht Pentesting in der Praxis aus?<\/span><\/h3>\n<p>Der genaue Ablauf eines Pentests h\u00e4ngt einerseits von der Art des Tests und andererseits von der anzugreifenden Organisation, ihrer Gr\u00f6\u00dfe und Infrastruktur ab. Dar\u00fcber hinaus unterliegen Pentests aber immer einer strukturierten Vorgehensweise, bei der bestimmte Schritte immer eingehalten werden sollten.<\/p>\n<p>Zun\u00e4chst werden die Anforderungen und Rahmenbedingungen im Rahmen eines Vorbereitungsgespr\u00e4chs definiert. Dabei wird der genaue Ablauf des Tests besprochen und festgehalten. Es werden Ansprechpartner definiert und je nach Art des Pentests notwendige Zug\u00e4nge zu Benutzerkonten bestimmt. Sobald diese Rahmenbedingungen festgelegt wurden, k\u00f6nnen die Pentester*innen damit beginnen, Informationen zu sammeln. Anhand dieser Informationen sollen dann konkrete Schwachstellen erkannt werden.\u00a0Im n\u00e4chsten Schritt wird das System dann tats\u00e4chlich angegriffen. Dabei werden die zuvor aufgedeckten Schwachstellen ausgenutzt.<\/p>\n<p>Anschlie\u00dfend wird ein detaillierter Bericht mit ausf\u00fchrlicher Test- und Schwachstellenbeschreibung erstellt. In diesem Bericht werden alle aufgedeckten Sicherheitsschwachstellen sowie dazugeh\u00f6rige empfohlene L\u00f6sungsma\u00dfnahmen beschrieben. Es folgt schlie\u00dflich eine Nachbearbeitungsphase, in der die Schwachstellen mithilfe der Pentester*innen oder dritter Sicherheitsexpert*innen beseitigt und die Sicherheitsl\u00fccken geschlossen werden.<\/p>\n<p>In einer abschlie\u00dfenden Nachkontrolle werden die Sicherheitsl\u00fccken dann erneut \u00fcberpr\u00fcft, um sicherzustellen, dass alle L\u00f6sungsma\u00dfnahmen erfolgreich umgesetzt wurden und keine Schwachstellen \u00fcbersehen wurden. Zum Schluss findet eine Abschlussbesprechung statt, in der der gesamte Prozess und die Ergebnisse des Pentests nochmals gemeinsam besprochen werden.<\/p>\n<p>Penetrationstests stellen praxisnahe Sicherheitspr\u00fcfungen dar, bei denen Unternehmen und Organisationen ihre IT-Infrastruktur aus Sicht von Hacker*innen auf Herz und Nieren pr\u00fcfen k\u00f6nnen. Dabei ist jedoch zu bedenken, dass diese Tests trotz ihrer Ausf\u00fchrlichkeit nur eine Momentaufnahme der Sicherheit einer IT-Infrastruktur darstellen. Ein einmaliger Pentest ist daher von geringem Nutzen.<\/p>\n<p>Um Krisen zu \u00fcberstehen und Angriffen langfristig widerstehen zu k\u00f6nnen, sind regelm\u00e4\u00dfige Tests unerl\u00e4sslich. Wer in regelm\u00e4\u00dfigen Abst\u00e4nden Pentests durchf\u00fchren lassen will, sollte zudem auf unterschiedliche IT-Expert*innen setzen. Denn verschiedene Perspektiven und Herangehensweisen k\u00f6nnen durchaus zu verschiedenen Ergebnissen f\u00fchren.<\/p>\n<p>&nbsp;<\/p>\n<p>Ihr wollt mehr \u00fcber IT-Sicherheit erfahren? Unter dem Tag <a href=\"https:\/\/blog.rwth-aachen.de\/itc\/tag\/it-sicherheit\/\">IT-Sicherheit<\/a> findet ihr all unsere Blogbeitr\u00e4ge zu diesem Thema.<\/p>\n<p>&nbsp;<\/p>\n<p>Verantwortlich f\u00fcr die Inhalte dieses Beitrags ist <a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/it-center\/IT-Center\/Profil\/Team\/~epvp\/Mitarbeiter-CAMPUS-\/?gguid=0x2C5E1B0A3DA32A45AB293A42E93EEC07&amp;allou=1\">St\u00e9phanie Bauens<\/a>.<\/p>","protected":false},"excerpt":{"rendered":"<p>Cyberangriffe sind f\u00fcr Unternehmen und Organisationen inzwischen zum normalen Tagesgesch\u00e4ft geworden, und die Frage der Absicherung gegen diese Angriffe spielt eine immer wichtigere Rolle. Dabei ist es besonders wichtig, zu [&hellip;]<\/p>\n","protected":false},"author":1859,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"c2c_always_allow_admin_comments":false,"footnotes":""},"categories":[305],"tags":[81,61,827,149],"class_list":["post-14236","post","type-post","status-publish","format-standard","hentry","category-themen","tag-it-security","tag-it-sicherheit","tag-pentest","tag-safetyfirst"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/14236","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/users\/1859"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/comments?post=14236"}],"version-history":[{"count":2,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/14236\/revisions"}],"predecessor-version":[{"id":14239,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/14236\/revisions\/14239"}],"wp:attachment":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/media?parent=14236"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/categories?post=14236"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/tags?post=14236"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}