Was ist ein Pentest?

Ein Penetrationstest (kurz “Pentest”) ist eine Angriffssimulation innerhalb eines kontrollierten Rahmens. Dabei wird ein Angreifer simuliert, der versucht, vorab definierte Ziele zu erreichen. Mögliche Ziele können hierbei zum Beispiel ein Firmengeheimnis oder Zugriff auf einen unternehmenskritischen Server sein.

Beim Penetrationstest werden also nicht nur einzelne Schwachstellen identifiziert und gemeldet, sondern auch die bestehenden Sicherheitslösungen, das Blue Team und die Reaktion des Unternehmens auf Security Incidents auf die Probe gestellt.

So wird im Rahmen eines Penetrationstests das Unternehmen als Ganzes getestet.

Warum sind Pentests sinnvoll?

Erfolgreiche IT-Sicherheit ist das Zusammenspiel verschiedener Maßnahmen. Wie zuverlässig diese Maßnahmen die eigenen Systeme schützen, ist allerdings oft erst im Nachhinein ersichtlich.

Penetrationstests bieten daher die Möglichkeit, die ergriffenen Maßnahmen zu testen und etwaige Defizite frühzeitig zu erkennen.

Auch in der IT-Sicherheit gilt: Die Kette ist nur so stark wie ihr schwächstes Glied. Daher werden in einem Penetrationstest neben rein technischen Angriffsvektoren auch soziale und physische Angriffsvektoren betrachtet. Selbst die beste Anwendungssicherheit schützt die Informationen nicht, wenn ein Angreifer physischen Zugriff auf den Server hat.

Ein Penetrationstest ist daher ein sinnvoller Test für alle Unternehmen, die ihre aktuellen Sicherheitsmaßnahmen testen wollen.

Warum sind Pentests sinnvoll?

Ablauf eines Penetrationstests

Reconnaissance
In der Reconnaissance Phase werden Informationen zur Planung des Angriffs gesammelt. Hierbei werden unter Berücksichtigung der vereinbarten Angriffsvektoren mögliche Angriffsziele identifiziert.
Exploitation & Initial Access
Über die identifizierten Angriffsziele wird versucht, einen initialen Zugriff auf das Netzwerk zu etablieren.
Exploration & Lateral Movement
Sobald der initiale Zugriff hergestellt wurde, wird versucht, im Netzwerk weitere Systeme zu identifizieren. Darauf aufbauend kann damit angefangen werden, sich im Netzwerk fortzubewegen (Lateral Movement) und weitere Systeme anzugreifen.
Analyse & Berichterstattung
Nach dem Pentest folgt der wichtigste Teil: Die Analyse der gefundenen Schwachstellen und die Aufbereitung der Ergebnisse in unserem Pentest-Bericht. Dazu zählt auch das Aufzeigen konkreter Handlungsempfehlungen und eine Ergebnispräsentation, bei der wir Schritt für Schritt unser Vorgehen erklären.

Nachbereitung und Abschluss

Am Ende der Angriffssimulation erhalten Sie einen ausführlichen Bericht über die durchgeführten Angriffe und die ausgenutzten Schwachstellen. In einer Ergebnispräsentation können abschließend Fragen geklärt und Lessions Learned besprochen werden.

Bevor Sie die gewonnenen Erkenntnisse endlich umsetzen können, steht als Abschluss des Pentests noch das sogenannte “Housecleaning” an. Dabei sollten Sie die von uns im Rahmen des Pentests erstellte Benutzeraccounts, Konfigurationen usw. wieder entfernen und das Netzwerk auf seinen ursprünglichen Zustand zurückgesetzen.

Penetrationstest bzw. Red Team Assessment im Überblick

Test der IT-Sicherheit des ganzen Unternehmens
Großer Scope, hohe Tiefe
Test der Reaktion des Unternehmens

Ist ein Penetrationstest als erste Maßnahme sinnvoll?

Falls Sie gerade im Aufbau Ihrer IT-Sicherheit sind, ist ein Penetrationstest (noch) nicht sinnvoll. Ein Penetrationstest eignet sich vor allem zur Überprüfung der vorhandenen Härtungsmaßnahmen.

Wenn Sie Hilfe beim Aufbau benötigen oder wissen wollen, wie groß Ihre aktuelle Angriffsfläche ist (Stichwort OSINT), können Sie uns gerne kontaktieren: hello@lutrasecurity.com.

Was ist der Unterschied zwischen Vulnerability Assessments und Penetrationstests?

Im Gegensatz zu einem Penetrationstest ist das Ziel eines Vulnerability Assessments nicht die Ausnutzung von Schwachstellen, um ein gesetztes Ziel zu erreichen.

Stattdessen soll ein möglichst umfassender und breiter Überblick über die vorhandenen Probleme des jeweiligen Systems gewonnen werden.

Ich möchte die Gebäudesicherheit und die Mitarbeiter nicht miteinbeziehen.

Das ist sehr verständlich. Grundsätzlich bieten wir unterschiedlichste Angriffssimulation an, die wir zusammen mit Ihnen individuell auf Ihre Bedürfnisse anpassen können.

Hier würde sich beispielsweise ein Innentäter-Szenario eignen, bei dem der Startpunkt ein Benutzeraccount mit minimalen Privilegien ist. Dadurch sparen wir uns außerdem die Zeit für die Planung und den Angriff im Rahmen des initialen Netzwerkzugriffs.