Unter Penetrationtest oder auch Pen-Test versteht man das geplante Angreifen eines Netzwerkes oder Systems, um potentielle Schwachstellen und damit verbundene Risiken zu entdecken, damit diese in weiterer Folge geschlossen werden können.
Anders gesagt handelt es sich um einen umfassenden Sicherheitstest einzelner Rechner oder Netzwerke jeglicher Größe. Dabei wird mit Mitteln und Methoden gearbeitet, die ein Angreifer sprich „Hacker“ anwenden würde, um unautorisiert in das System einzudringen – die eigentliche „Penetration“.
Wie diese Sicherheitstests genau aussehen, hängt davon ab, um welches System oder Netzwerk es sich handelt bzw. wie dort gearbeitet wird. Ein vom Internet zugänglicher Webserver besitzt klarerweise eine höhere Gefahrenpriorität als eine interne Textverarbeitung. Daher gibt es sehr viele verschiedene Arten von Hilfswerkzeugen für Penetrationtests und dementsprechend sollten derart umfassende Sicherheitstests auch nur von erfahrenen Sicherheitsforschern oder Systemadministratoren durchgeführt werden, die ganz genau wissen, was sie tun, was für Ereignisse sie damit verursachen und welche Ergebnisse sie dadurch erzielen möchten.
Der Begriff Penetrationstest wird immer wieder mit dem automatischen Vulnerability Scan verwechselt. Während dieser weitgehend automatisch abläuft, braucht es bei einem echten Penetrationstest entsprechend intensive, manuelle Vorbereitung in Form von Sichtung des zu überprüfenden Systems bzw. des zu überprüfenden Netzwerks, Planung der Testverfahren und der gewünschten Ziele, Auswahl der notwendigen Werkzeuge und schließlich die Durchführung des Penetrationtests. Außerdem werden die Testergebnisse anschließend manuell verifiziert und die weiteren Schritte ausgearbeitet. Wo kann man was wie und wie schnell verbessern, Sicherheitslücken schließen, sein Personal besser schulen, etc.
Der Penetrationstest ist oft empirischer Teil einer allgemeineren Sicherheitsanalyse. Dabei wird nicht nur die technische Ebene des Netzwerks bzw. der Systeme überprüft, sondern auch die menschliche und organisatorische Ebene.
Die Ziele eines Penetrationstests sind:
- Schwachstellen-Identifikation
- das Aufdecken potentieller Fehler, die sich aus der (fehlerhaften) Bedienung ergeben
- die Erhöhung der Sicherheit auf technischer und organisatorischer Ebene
- die Bestätigung der IT-Sicherheit durch einen externen Dritten, zB. hinsichtlich Compliance, ISO-Zertifizierungen, etc.
Da sich die Bedrohungsbilder heutzutage ständig ändern, ist ein Penetrationstest allerdings eher als Momentaufnahme zu sehen. Im Extremfall kann ein System unmittelbar nach dem Beheben der durch die Sicherheitstests aufgedeckten Schwachstellen durch eine neue Sicherheitslücke wieder angreifbar sein. Somit sollten Penetrationtests auch immer wieder durchgeführt werden! Ein Test deckt im Normalfall aber die Ursachen auf, die zu den festgestellten Problemen führen (zB. Unwissenheit, schlechte Organisation, Budgetmangel, Personalmangel). Die Sicherheitsexperten zeigen allerdings lediglich die Schwachstellen und Probleme auf, verantwortlich für die Behebung der Ursachen ist der Betreibers der getesteten Systeme.
Wenn Sie mehr darüber wissen wollen oder sogar einen Penetrationtest für Ihre Firma durchführen lassen wollen, dann kontaktieren Sie uns!