Diese Seite drucken
Dienstag, 24 August 2021 15:21

Pentest: Was ist das?

Penetration Test Penetration Test pixabay

Der Penetration Test oder auch kurz Pentest ist ein gängiger Vorgang, welcher bei der Überprüfung der IT-Sicherheit zum Einsatz kommt.

Dabei sind die genauen Prozesse keinesfalls einheitlich. Pentests können sich deutlich in ihrem Umfang, ihrer Zielsetzung und ihrer Aggressivität unterscheiden. Im Wesentlichen wird bei einem Pentest ein gezielter, erlaubter Angriff auf die IT-Systeme eines Unternehmens oder auch einer Behörde gestartet, um so die Stabilität der getroffenen Sicherheitsmaßnahmen zu überprüfen.

 

Welche Arten von Pentests gibt es?

Tests von Webanwendungen

Bei einem Penetration Test, der auf die Überprüfung der Sicherheit von Webanwendung wie etwa Onlineshops abzielt, wird das Augenmerk auf bestimmte Schlüsselfaktoren der Anwendung gelegt. Diese neuralgischen Punkte der IT-Sicherheit sind zum Beispiel die Logins, Informationslecks oder schlichte Störungen der Funktionalität der Anwendung.

Tests der IT-Infrastruktur

Bei einem Penetration Test, der die Sicherheit einer zugrunde liegenden Infrastruktur testen soll, wird die Aufmerksamkeit auf Serversysteme, Firewalls und Netzwerke gerichtet.

Wie läuft ein Pentest ab?

Auch hier gibt es verschiedene Möglichkeiten, die in der Praxis Anwendung finden. Bei einem sogenannten Black-Box-Test ist der Tester nicht über die Sicherheitsmaßnahmen und deren zugrundeliegende Architektur informiert. Diese Art von Test simuliert ein möglichst realistisches Szenario, was einen Hacker bei einem Systemangriff auf ein ihm unbekanntes System erwarten würde.


Bei einem White-Box-Test hingegen weiß der Tester über die Struktur des zu testenden Systems genau Bescheid. Diese Art der Testung kann als Goldstandard der Penetration Tests angesehen werden. In einem System, das einem White-Box-Test standhält, wurde ein sehr hohes Maß an IT-Sicherheit umgesetzt.


Bei dem Grey-Box-Test schließlich ist dem Tester nur das bekannt, was für den Test relevant ist. Diese Methode wird vor allem dann angewendet, wenn nur bestimmte Elemente der IT-Sicherheit beziehungsweise bestimmte Abschnitte des Netzwerks getestet werden sollen.
Eine letzte Unterscheidung der Art des Penetration Test ist die in interne und externe Testung. Dabei geht es lediglich um die Unterscheidung eines Angriffs von außen oder von Innen. Interne Pentests sind vor allem für Institutionen mit großen Mitarbeiterzahlen wichtig, da hier ein zwischenmenschliches Vertrauensverhältnis keine Rolle mehr spielt.

Die Methoden

In den letzten Jahren wird versucht, die bisher nicht standardisierte Testung in ein genormtes Fundament zu gießen. So bietet etwa ISECOM mit dem Open Source Security Testing Methodology Manual (OSSTMM) eine ständige aktualisierte Sammlung von Richtlinien, die der Optimierung und Normierung der Penetration Tests dienen soll. Auf Bundesebene beschäftigt sich auch das Bundesministerium für Sicherheit in der Informationstechnik mit einem Normkonzept für Pentests. Das Durchführungskonzept für Penetrationstest wurde 2003 veröffentlicht. Seitdem wurde die Bundesrichtlinie nicht mehr aktualisiert und ist daher leider inzwischen aus der Zeit gefallen. Weitere Vorschläge für eine Vereinheitlichung der Standards bietet etwa das OWASP oder der Praxisleitfaden: IT-Sicherheits-Penetration Tests aus dem Jahre 2016. Beim OWASP handelt es sich um eine internationale Initiative, die neben gut aufgearbeiteten Informationen zur Durchführung von Pentests auch eigene Tools entwickelt. Die Aktualität von OWASP ist sehr hoch und alle Infos werden ständig überprüft. Besonders häufige Sicherheitsmängel werden in der OWASP-Top-10 geführt. Dieses Negativ-Ranking hat inzwischen so weite Verbreitung gefunden, dass es Pentests gibt, die speziell die dort aufgeführten Mängel prüfen.