Was ist ein Penetrationstest?

Ein Penetrationstest (kurz “Pentest”) ist eine umfassende Sicherheitsanalyse eines oder mehrerer IT-Systeme (z. B. Shopsysteme, Datenbankserver, Android-/iOS-Apps oder auch des gesamten Unternehmensnetzwerks).

Dabei wird versucht (z. B. über im Rahmen einer Schwachstellenanalyse ermittelte Angriffspunkte) in einem kontrollierten Rahmen in die definierten Zielsysteme einzudringen, um den konkreten Schaden eines möglichen Angriffs abschätzen zu können. Dies erfolgt durch eine manuelle Betrachtung der Zielsysteme durch ein Team von ausgewählten Experten.

Durch Anpassen verschiedenster Faktoren, wie zum Beispiel Ausgangspunkt, Umfang und Informationsbasis, kann diese Art des Tests perfekt auf Ihr Bedrohungsszenario abgestimmt werden.

Warum sind Pentests sinnvoll?

Im Zuge der Digitalisierung werden kontinuierlich neue IT-Systeme aufgebaut und alte “analoge” Systeme dadurch ersetzt. Vorhandene Systeme werden zunehmend untereinander vernetzt. Zwar werden Unternehmensprozesse so in der Regel einfacher und nachvollziehbarer, allerdings wird dadurch auch die Absicherung dieser Systeme vor Cyber-Angriffen immer relevanter.

Mit einem vollumfänglichen Penetrationstest können Sie ein tiefgreifendes Verständnis des Sicherheitsniveaus der Zielsysteme erlangen und unter Umständen gleichzeitig Schwachstellen aufdecken, die Angreifer nutzen können, um erheblichen Schaden anzurichten (z. B. via Ransomware-Angriffe, Datenlecks, Defacing, etc.). Auch deshalb werden regelmäßige Pentests mittlerweile immer öfter notwendig, um gesetzliche oder Compliance-Anforderungen zu erfüllen.

Warum sind Pentests sinnvoll?

Ablauf eines Penetrationstests

Informationsbeschaffung
In der ersten Phase (auch Reconnaissance genannt) werden Informationen über das Asset gesammelt, z. B. zu den eingesetzten Technologien, zu den zugehörigen Businessprozessen oder zum Berechtigungskonzept.
Bewertung
Mit Hilfe der gesammelten Informationen wird eine erste Sicherheitsanalyse durchgeführt und eine Methodik für die Durchführung der manuellen Analyse aufgestellt.
Exploitation
Mit Hilfe unserer Expertise, geeigneten Werkzeugen, Kreativität und Hartnäckigkeit stellen wir die Zielsysteme auf die Probe, um ein möglichst vollständiges Bild über die aktuelle Sicherheitslage zu erhalten.
Analyse & Berichterstattung
Nach dem Pentest folgt noch einer der wichtigsten Teile: Die Analyse der gefundenen Schwachstellen und die Aufbereitung der Ergebnisse in unserem Pentest-Bericht. Dazu zählt auch das Aufzeigen konkreter Handlungsempfehlungen und eine Ergebnispräsentation, bei der wir Schritt für Schritt unser Vorgehen erklären.

Nachbereitung und Abschluss

Am Ende jedes Pentests erhalten Sie einen ausführlichen Bericht über die Vorgehensweise und die ermittelten Schwachstellen. In einer Ergebnispräsentation können abschließend Fragen geklärt und alle Handlungsempfehlungen detailliert besprochen werden.

Bevor Sie die gewonnenen Erkenntnisse endlich umsetzen können, steht als Abschluss des Pentests noch das sogenannte “Housecleaning” an. Dabei sollten Sie die für den Pentest erstellten Benutzeraccounts, Konfigurationen, Datensätze usw. wieder entfernen und das Zielsystem auf seinen ursprünglichen Zustand zurücksetzen.

Penetrationstest im Überblick

Manuelle Sicherheitsbetrachtung Ihrer Anwendung/Ihres IT-Systems
Maximale Testabdeckung
Oft notwendig aufgrund gesetzlicher oder Compliance-Anforderungen
Individuell auf Bedrohungsszenario anpassbar

Wann lohnt es sich, einen Penetrationtest durchzuführen?

Pentests sind vor allem vor dem initialen Release oder nach größeren Änderungen an Ihren Systemen sinnvoll. Beispiele hierfür können ein großes Update in der eigenen Anwendung sowie der Einkauf neuer externer Software sein.

Weiterhin kann es sich lohnen, in gewissen Zeitabständen Penetrationtests zu wiederholen, damit auch neu entdeckte Angriffstechniken abgedeckt werden.

Black Box, Grey Box oder White Box?

Diese Begriffe beschreiben die Informationsbasis eines Penetrationstest. Hat ein Tester bei einem sog. White-Box-Penetrationstest Zugriff auf alle verfügbaren Ressourcen (z. B. Systemarchitektur-/Datenflussdiagramme, Netzwerkpläne oder auch den Quellcode einer Anwendung), soll bei einem Black-Box-Pentest ein Angreifer ohne jegliches Vorwissen simuliert werden.

Eine Mischform stellt dabei der Grey-Box-Pentest dar, bei dem nur ausgewählte (z. B. einfach zu erlangende Informationen) zur Verfügung gestellt werden.

In der Regel ist es für einen Penetrationstest sinnvoll, möglichst viele Informationen zu liefern, da so die Effizienz des Tests fast immer deutlich gesteigert werden kann. Daher raten wir, bis auf wenige Ausnahmen, dazu einen White-/Grey-Box-Pentest durchzuführen.

Statt eines Black-Box-Pentests kann oftmals auch noch eine Angriffssimulation sinnvoll sein, bei der ein realistischer Angriff auf das Unternehmen nachgestellt werden soll.

Was ist der Unterschied zwischen Schwachstellenanalysen und Penetrationstests?

Im Gegensatz zu einem Penetrationstest läuft eine Schwachstellenanalyse vorwiegend automatisiert ab.

So kann effizient und kostengünstig ein Überblick über die vorhandenen Probleme und des Sicherheitslevels des untersuchten Systems gewonnen werden.

Allerdings können einige Schwachstellen(-typen) nur sehr schlecht (oder gar nicht) von automatisierten Scannerlösungen entdeckt werden, weshalb ein vollständiger Penetrationstest in regelmäßigen Abständen zu empfehlen ist.

Ist mein Unternehmen nach einem Penetrationstest "unhackbar"?

Ein Penetrationstest ist immer nur eine Momentaufnahme des aktuellen Zustands und kann somit leider nicht garantieren, dass das getestete System nicht in naher Zukunft (z. B. durch ein Update oder eine neu veröffentlichte Schwachstelle) wieder angreifbar ist.

Daher lohnt es sich, eine solche Überprüfung regelmäßig durchführen zu lassen und auch weitere Sicherheitsanalysen in Ihren Businessprozess zu integrieren, um das Sicherheitsniveau Ihrer Assets kontinuierlich zu überwachen.

Wir finden Schwachstellen, so finden Sie uns!

Wir haben Ihr Interesse geweckt? Sie haben noch Fragen? Rufen Sie uns an, schreiben Sie uns eine Mail, oder vereinbaren Sie direkt und unkompliziert ein unverbindliches Erstgespräch mit einem unserer Berater: