Grundsätzliche stehen verschiedene Sicherheitstests zur Verfügung, wenn es darum geht, Netzwerke und IT-Systeme zu überprüfen. Der größten Bekanntheit erfreut sich jedoch der Penetrationstest, der auch als Pentest bezeichnet wird. Ursprünglich stammt der Begriff aus dem Umfeld des Militärs und beschreibt dort simulierte Angriffe, die darauf abzielen, die feindliche Verteidigung zu penetrieren.
Gibt jedoch ein Unternehmen die Durchführung eines Pentests in Auftrag, ist damit gemeint, dass die jeweilige Sicherheitsfirma den Versuch unternimmt, die digitalen Schutzmaßnahmen und Barrieren der Unternehmens-IT zu überwinden. Dieser Vorgang findet natürlich im Rahmen eines rechtlich einwandfreien Vertrages statt, damit auf keiner der beiden Seiten tatsächliche Schäden entstehen können. Für Unternehmen besteht so beispielsweise die Sicherheit, dass aufgedeckte Schwachstellen und exfiltrierte Daten unter Verschluss gehalten und nicht für anderweitige Zwecke genutzt werden. Die Sicherheitsfirma, die den Pentest durchführt, erhält dagegen eine schriftliche Befugnis, sodass der Pentest nicht als kriminelle Handlung ausgelegt werden kann.
Für die Durchführung des Pentests wird unter anderem eine spezielle Software eingesetzt, die beispielsweise auf der Pentest Plattform turingsecure gefunden werden kann. Ob die Durchführung eines Pentests tatsächlich sinnvoll ist, beziehungsweise welche Vor- und Nachteile mit dieser einhergehen, erklärt der folgende Beitrag.
Die Vorteile eines Pentests
Mit einem Penetrationstest wird vor allem der Zweck verfolgt, bestimmte Szenarien oder Risiken auszutesten und so spezifische Sicherheitsfragen zu klären. Anders als bei anderen Sicherheitstests, findet dabei nicht nur die Überprüfung statt, ob generell Schwachstellen zu finden sind, sondern ebenfalls, ob auch ein Ausnutzen dieser möglich ist.
In einem Abschlussbericht werden die Ergebnisse des Tests zusammengefasst. In der Regel besteht dieser nicht nur in der Übersicht der gefundenen Schwachstellen, sondern ebenfalls in einer Dokumentation des Angriffs sowie einer detaillierten Erklärung, welche Exploits verwendet wurden und welche Schwachstellen ausgenutzt werden konnten.
Daneben besteht die Möglichkeit, Pentests um zusätzliche Angriffe zu erweitern, die sich nicht auf technische Schwachstellen beziehen. So werden zum Beispiel mithilfe von Social-Engineering-Methoden auch Mitarbeiter getestet, um ihr Verhalten bei einem möglichen Angriff zu prüfen. Auch ist eine Überprüfung des generellen Mitarbeiterverhaltens und der physikalischen Sicherheit des Unternehmensgebäudes möglich, indem die beauftragte Firma den Versuch unternimmt, sich zu den Büroräumen Zugriff zu verschaffen.
Durch diese zahlreichen Möglichkeiten, die mit der Durchführung eines Pentests einhergehen, zeigt sich, dass der Sicherheitstest für Unternehmen große Vorteile bedeuten kann, um ihre Sicherheitsvorkehrungen zu überprüfen und zu optimieren.
Penetrationstests – Gibt es Nachteile?
Jedoch zeichnen sich Pentests selbstverständlich nicht nur durch Vorteile aus. Sie zeigen sich so generell nicht in jedem Fall geeignet.
Die Pentests umfassen, dass entdeckte Schwachstellen ausgenutzt werden, sodass mit diesem Test grundsätzlich ein höherer Aufwand einhergeht als bei einer bloßen Schwachstellenanalyse. Aus diesem Grund nehmen Pentests in der Regel mehr Zeit in Anspruch und gestalten sich ebenfalls preisintensiver.
Penetrationstest sind daher auch nicht unbedingt geeignet, um so viele Schwachstellen wie möglich aufzudecken. Als empfehlenswerter, um eine Anwendung oder einen Server erstmalig zu untersuchen, zeigen sich ein Schwachstellenscan oder eine Schwachstellenanalyse.
Daneben ist festzuhalten, dass es einige unseriöse Anbieter gibt, die unter der Bezeichnung Penetrationstest lediglich Sicherheitsscans verkaufen. So wird in einigen Fällen ein Penetrationstest in Auftrag gegeben, jedoch eigentlich nur eine Schwachstellenanalyse oder sogar nur ein Schwachstellenscan durchgeführt.