Definition „Pentesting“ Was ist Penetration Testing?

Autor / Redakteur: Gedeon Rauch / Stephan Augsten

Penetration Testing ist ein Prozess, bei dem Cyberangriffe auf das eigene System simuliert werden. Durch diesen kontrolliert durchgeführten Angriff erhalten Developer, IT-Betrieb und Sicherheitsabteilung einen Einblick in die Systemsicherheit.

Firmen zum Thema

Beim Penetration Testing simulieren interne oder beauftragte Security-Spezialisten Cyberangriffe auf die IT-Systeme.
Beim Penetration Testing simulieren interne oder beauftragte Security-Spezialisten Cyberangriffe auf die IT-Systeme.
(© ipopba - stock.adobe.com)

Penetration Testing (oder kurz Pentesting bzw. Pen Testing) ist ein Prozess, mit dem ein Cyberangriff gegen das eigene System simuliert wird. Das Ziel dieses kontrolliert durchgeführten und überwachten Angriffes ist es, möglichst viele Daten zu sammeln und Schwachstellen in der Sicherheit aufzudecken.

Dabei bezeichnet Penetration Testing keinen vordefinierten Vorgang, um diesen Angriff zu simulieren, sondern ist vielmehr ein Überbegriff, um unterschiedliche praktische Angriffsmethoden zusammenzufassen. Zudem sollte der Pen Test von einem Vulnerability Assessment getrennt werden, da Letzteres vor allem ein Scan und eine Einschätzung der Sicherheitsmechanismen darstellt.

Im Gegensatz dazu führt ein Penetration Test tatsächlich den Angriff unter beobachteten Rahmenbedingungen durch. Eng verwandt mit dem Begriff des Pen Tests ist Ethical Hacking, schließlich handelt es sich auch beim Penetration Testing um einen ethisch durchgeführten Hack. Dieser unterscheidet sich noch einmal von Hacktivism und White-Hat-Hacks durch die vorher eingegangene Vereinbarung zwischen Unternehmen und Angreifern.

Natürlich kann ein Pen Test auch unternehmensintern durchgeführt werden. In vielen Ländern (auch in der gesamten DACH-Region) ist Penetration Testing nur dann legal, wenn testende und durchführende Parteien den Test genau definiert und freigegeben haben.

Wie sieht Penetration Testing in der Praxis aus?

Um sicheres Penetration Testing in der Praxis zu ermöglichen, um verwertbare Daten aus einem Angriff zu ziehen und um sicherzustellen, dass das Netzwerk nicht gefährdet wird und es zu einem unbeabsichtigten DoS kommt, sollten unterschiedliche Stufen des Pen Tests eingehalten werden.

Aufklärung und Planung

Im ersten Schritt eines Pen Tests wird festgelegt, welches System bzw. welche Systeme für den Test angegriffen werden und in welchem Umfang die Angriffe stattfinden. Auch hier stellen sich nicht nur technische, sondern auch rechtliche Fragen, da Pen Tests von Unternehmen nur zu eigenen Netzen oder Systemen freigegeben werden dürfen.

Auf technischer Seite müssen Hacker*innen sich relevante Informationen zu den festgelegten Systemen beschaffen, ein Verständnis für die Funktionsweise vom System zu entwickeln und potentielle Schwachstellen auszunutzen.

Scans und Untersuchungen

In der Folge werden statische und dynamische Analysen genutzt, um den Code und die Funktionsweise in Echtzeit zu untersuchen. Die statische Code-Analyse gibt dabei einen theoretischen Einblick, die dynamische Analyse ist detaillierter, da sie den tatsächlichen Status im Betrieb wiedergibt.

Einmaliger Zugriff

Durch den Einsatz von Hintertürchen, Web Applications, Cross-Site Scripting oder eine SQL-Injektion sollen nun Schwachstellen aufgezeigt werden. Diese werden daraufhin ausgenutzt, um Traffic abzufangen, Daten abzugreifen und Nutzerprivilegien auszuweiten. In diesem Schritt entsteht ein genaueres Bild darüber, wie viel Schaden Hacker*innen mit Kenntnis der Schwachstellen tatsächlich anrichten könnten.

Dauerhafter Zugriff

Anders als beim einmaligen Zugriff soll dieser Testschritt genau prüfen, ob der Zugriff aufrecht erhalten werden kann und wie tief Sicherheitslücken tatsächlich reichen. Hierdurch sollen Advanced Persistent Threats (APTs) simuliert werden, die in der Praxis Monate an Unternehmensdaten abgreifen und selbst sensibelste Informationen stehlen können.

Analyse

Schlussendlich müssen die Daten zusammengetragen werden, um festzustellen, welche Lücken ausgenutzt wurden, auf welche Daten Zugriff bestand und wie lange der Zugriff aufrecht erhalten werden konnte.

Besonderheiten im Penetration Testing

Die Simulation einer Cyberattacke folgt ihren eigenen Gesetzmäßigkeiten und zur Simulation gehören auch unterschiedliche Parameter im Pen Test. Beispielsweise kann der Angriff extern erfolgen, also als Cyberangriff auf von außen sichtbare Stellen eines Systems, oder aber intern, als Simulation eines böswilligen Angestellten oder durch Phishing erbeuteter Zugriffsdaten.

Auch die Sicherheitsabteilungen können auf unterschiedliche Arten eingebunden werden: Bei einem targetierten Test weiß die IT-Sicherheit um den simulierten Angriff und kann sich koordinieren und trainieren. In einem Blind Test hat die IT-Sicherheit nur Kenntnis über das Unternehmen, das Ziel des Pen Tests ist, ein Double-Blind Test erfolgt gänzlich ohne vorherige Warnung.

Eine besondere Unterkategorie des Penetration Testings, die hier nicht unerwähnt bleiben soll, ist der physische Zugriff. Zwar trifft dies nicht auf alle Unternehmen zu, doch in vielen Firmen ist der einfachste Zugriff auf die IT-Infrastruktur über den Zugang zum Gebäude und das Erschleichen von Passwörtern und Zugängen.

Viele Unternehmen haben daher ein berechtigtes Interesse, ihre Sicherheit auch durch einen physischen Penetration Test analysieren zu lassen. Was schließlich nutzt eine perfekte Systeminfrastruktur, wenn der Serverraum offensteht und das VPN-Passwort auf einer Notiz in der Cafeteria klebt?

Gutes Penetration Testing ist daher in der Praxis wie ein Feueralarm für Systeme. Mit dem Pen Test werden Sicherheitsmechanismen erprobt und Schwachstellen erforscht, auch die Reaktion der IT-Sicherheit kann in Echtzeit analysiert werden. So entstehen in der Summe nicht nur sicherere Programme, sondern auch Handlungsempfehlungen für Mitarbeiter*innen, um Systeme und Netzwerke auf allen Ebenen sicherer zu machen.

(ID:47261150)