Penetrationstest

Was ist ein Pentest?

Was ist ein Pentest?

Ein Penetrationstest (kurz “Pentest”) ist eine Angriffssimulation innerhalb eines kontrollierten Rahmens. Dabei wird ein Angreifer simuliert, der versucht, vorab definierte Ziele zu erreichen. Mögliche Ziele können hierbei zum Beispiel ein Firmen­geheimnis oder Zugriff auf einen unternehmens­kritischen Server sein.

Beim Penetrationstest werden also nicht nur einzelne Schwachstellen identifiziert und gemeldet, sondern auch die bestehenden Sicherheitslösungen, das Blue Team und die Reaktion des Unternehmens auf Security Incidents auf die Probe gestellt.

So wird im Rahmen eines Penetrationstests das Unternehmen als Ganzes getestet.

Warum sind Pentests sinnvoll?

Erfolgreiche IT-Sicherheit ist das Zusammenspiel verschiedener Maßnahmen. Wie zuverlässig diese Maßnahmen die eigenen Systeme schützen, ist allerdings oft erst im Nachhinein ersichtlich.

Penetrationstests bieten daher die Möglichkeit, die ergriffenen Maßnahmen zu testen und etwaige Defizite frühzeitig zu erkennen.

Auch in der IT-Sicherheit gilt: Die Kette ist nur so stark wie ihr schwächstes Glied. Daher werden in einem Penetrationstest neben rein technischen Angriffsvektoren auch soziale und physische Angriffsvektoren betrachtet. Selbst die beste Anwendungssicherheit schützt die Informationen nicht, wenn ein Angreifer physischen Zugriff auf den Server hat.

Ein Penetrationstest ist daher ein sinnvoller Test für alle Unternehmen, die ihre aktuellen Sicherheitsmaßnahmen testen wollen.

Warum sind Pentests sinnvoll?

Ablauf eines Penetrationstests

  • Reconnaissance

    In der Reconnaissance Phase werden Informationen zur Planung des Angriffs gesammelt. Hierbei werden unter Berücksichtigung der vereinbarten Angriffsvektoren mögliche Angriffsziele identifiziert.

  • Exploitation & Initial Access

    Über die identifizierten Angriffsziele wird versucht, einen initialen Zugriff auf das Netzwerk zu etablieren.

  • Exploration & Lateral Movement

    Sobald der initiale Zugriff hergestellt wurde, wird versucht, im Netzwerk weitere Systeme zu identifizieren. Darauf aufbauend kann damit angefangen werden, sich im Netzwerk fortzubewegen (Lateral Movement) und weitere Systeme anzugreifen.

  • Analyse & Berichterstattung

    Nach dem Pentest folgt der wichtigste Teil: Die Analyse der gefundenen Schwachstellen und die Aufbereitung der Ergebnisse in unserem Pentest-Bericht. Dazu zählt auch das Aufzeigen konkreter Handlungsempfehlungen und eine Ergebnispräsentation, bei der wir Schritt für Schritt unser Vorgehen erklären.

Nachbereitung und Abschluss

Am Ende der Angriffssimulation erhalten Sie einen ausführlichen Bericht über die durchgeführten Angriffe und die ausgenutzten Schwachstellen. In einer Ergebnispräsentation können abschließend Fragen geklärt und Lessions Learned besprochen werden.

Bevor Sie die gewonnenen Erkenntnisse endlich umsetzen können, steht als Abschluss des Pentests noch das sogenannte “Housecleaning” an. Dabei sollten Sie die von uns im Rahmen des Pentests erstellte Benutzeraccounts, Konfigurationen usw. wieder entfernen und das Netzwerk auf seinen ursprünglichen Zustand zurückgesetzen.

  • Test der IT-Sicherheit des ganzen Unternehmens
  • Großer Scope, hohe Tiefe
  • Test der Reaktion des Unternehmens

Falls Sie gerade im Aufbau Ihrer IT-Sicherheit sind, ist ein Penetrationstest (noch) nicht sinnvoll. Ein Penetrationstest eignet sich vor allem zur Überprüfung der vorhandenen Härtungsmaßnahmen.

Wenn Sie Hilfe beim Aufbau benötigen oder wissen wollen, wie groß Ihre aktuelle Angriffsfläche ist (Stichwort OSINT), können Sie uns gerne kontaktieren: hello@lutrasecurity.com.

Im Gegensatz zu einem Penetrationstest ist das Ziel eines Vulnerability Assessments nicht die Ausnutzung von Schwachstellen, um ein gesetztes Ziel zu erreichen.

Stattdessen soll ein möglichst umfassender und breiter Überblick über die vorhandenen Probleme des jeweiligen Systems gewonnen werden.

Das ist sehr verständlich. Grundsätzlich bieten wir unterschiedlichste Angriffssimulation an, die wir zusammen mit Ihnen individuell auf Ihre Bedürfnisse anpassen können.

Hier würde sich beispielsweise ein Innentäter-Szenario eignen, bei dem der Startpunkt ein Benutzeraccount mit minimalen Privilegien ist. Dadurch sparen wir uns außerdem die Zeit für die Planung und den Angriff im Rahmen des initialen Netzwerkzugriffs.