Die Welt ist zunehmend vernetzt und kein Unternehmen kommt mehr ohne das Internet aus. Deshalb betrifft auch IT-Sicherheit heute ausnahmslos jedes Unternehmen. Doch jedes Unternehmen ist anders und hat dementsprechend auch andere Anforderungen und Voraussetzungen an die eigene IT-Sicherheit. Mit Pentesting können die Sicherheitslücken im eigenen Unternehmen entlarvt und beseitigt werden. Doch was genau ist eigentlich ein Pentest und welche Art von Pentest ist denn nun der Richtige?
Pentest Definition
Ein Pentest ist ein Sicherheitstest, bei dem ein sogenannter "Pentester" versucht, in z.B. ein Computer-System oder ein Netzwerk einzudringen, um dessen Sicherheit zu überprüfen und eventuell bestehende Schwachstellen aufzudecken. Dieser Test wird häufig von Unternehmen durchgeführt, um sicherzustellen, dass ihre Systeme und Netzwerke vor Angriffen von außen geschützt sind. Bei einem Pentest werden darüber hinaus verschiedene Techniken und Werkzeuge verwendet, um die Sicherheit des Systems auf mögliche Schwachstellen zu überprüfen und gegebenenfalls zu verbessern.
Welche Arten von Pentests gibt es?
Die Dimension muss klar sein, um in der Vielzahl an Szenarien das Richtige zu finden
Die verschiedenen Arten von Pentests sind klassifiziert in Black Box, White Box oder Grey Box. Aber wie kann diese Klassifizierung bei der Entscheidung für den richtigen Pentest helfen?
Mit der Art des ausgewählten Pentest werden gewisse Ergebnisse vorgegeben. Je nachdem, für welches Szenario man sich entscheidet, ist auch schon die Richtung und das Ergebnis des Pentests eingegrenzt. Weitere Faktoren, die die Wahl des Pentests einschränken, sind der ökonomische Nutzen (Aufwand, Kosten) und die Realitätsnähe der Szenarien. Ziel sollte es sein, beides zu optimieren.
Neben der Klassifizierung von Pentest in White-Box-, Black-Box- und Grey-Box-Szenarien gibt es noch weitere Arten und Bezeichnungen, auf die wir im nachfolgenden Abschnitt einmal – der Vollständigkeit halber – eingehen möchten.
Arten von Pentests
Ein externer Pentest (auch External-Pentest genannt) ist ein Sicherheitstest, bei dem der Pentester von außen versucht, in das Netzwerk und die Systeme eines Unternehmens einzudringen. Das Gegenstück ist der interne Pentest, wobei der Angriff durch einen Insider simuliert werden soll. Interne Pentest kommen häufig zum Einsatz, wenn es beispielsweise darum geht in das E-Mail-Konto eines Mitarbeiters einzudringen (Phishing-Angriff).
Ein blinder Penetrationstest (auch als Closed-Box-Penetrationstest bekannt) ist eine Form des Sicherheitstests, bei dem die Tester keinerlei Informationen über das zu testende System oder Netzwerk haben. Sie beginnen den Test ohne Vorwissen und versuchen mögliche Schwachstellen und Sicherheitslücken aufzudecken. Diese Art von Pentest kann als realitätsnaher angesehen werden, da es im realen Leben möglich ist, dass Angreifer keine Informationen über das Ziel haben und sich daher einen Weg ins System erschleichen müssen.
Ein DoS-Test (Denial of Service) ist ein Sicherheitstest, bei dem versucht wird ein Zielsystem zu überlasten, indem es mit einer großen Anzahl von Anfragen bombardiert wird. Der Zweck dieses Tests besteht darin, die Stabilität und Robustheit des Systems zu prüfen und festzustellen, wie es auf eine solche Belastung reagiert.
Ein Netzwerk-Pentest ist ein Sicherheitstest, bei dem mögliche Schwachstellen und Sicherheitslücken in der Netzwerkinfrastruktur aufgedeckt werden. Dabei wird die gesamte interne Infrastruktur bewertet, auf Sicherheitsrisiken geprüft und Handlungsmaßnahmen erarbeitet, um eventuell identifizierte Sicherheitslücken zu schließen. Ein Network-Pentest eignet sich für Unternehmen jeder Größe, da heutzutage fast alle Unternehmen mit sensiblen Daten arbeiten und diese z.B. über das interne Netzwerk verarbeiten oder versenden.
Ein Application-Penetrationstest (manchmal auch als App-Pentest oder einfach nur App-Test bezeichnet) ist eine Art von Sicherheitstest, bei dem eventuell bestehende Schwachstellen und Sicherheitsrisiken in einer Anwendung (z.B. einem Computerprogramm oder einer mobilen App) aufgedeckt werden sollen.
Diese Tests werden von Experten durchgeführt, die versuchen das System auf die gleiche Weise anzugreifen, wie es ein Hacker tun würde (auch „ethical hacking“ genannt). Ziel ist es, die Sicherheit der Anwendung zu überprüfen und sicherzustellen, dass diese keine Schwachstellen aufweist, die von Hackern ausgenutzt werden könnten. Im Gegensatz zu anderen Arten von Penetrationstests, die sich auf das gesamte Netzwerk oder System konzentrieren, zielt ein Application-Penetrationstest speziell auf einzelne Anwendungen ab und versucht Schwachstellen in diesen Anwendungen zu identifizieren und zu beheben.
Social Engineering ist eine Sonderform, bei der Angreifer versuchen, vertrauliche Informationen von Menschen zu erhalten, indem sie diese dazu bringen, ihnen freiwillig Zugang zu entsprechenden Informationen zu gewähren. Dies kann auf verschiedene Arten geschehen, zum Beispiel indem die Angreifer sich als vertrauenswürdige Personen ausgeben (z.B. als Mitarbeiter eines Unternehmens oder als Dienstleister) und so die Opfer dazu bringen, ihnen vertrauliche Informationen wie Passwörter oder Zugangsdaten preiszugeben. Beim Social Engineering benötigen Angreifer in der Regel keine technischen Fähigkeiten. Stattdessen nutzen sie ihre Fähigkeiten im Bereich der Psychologie und des sozialen Einflusses, um die Opfer zu täuschen und ihnen vertrauliche Informationen zu entlocken.
Dies kann unter anderem auch indirekt über Phishing Attacken passieren, weshalb beim Penetration Testing häufiger auch sogenannte Phishing Simulationen zum Einsatz kommen. Mitarbeitende sollten darüber hinaus regelmäßige durch Awareness Trainings, für entsprechende Attacken, sensibilisiert werden.
Neben
Neben den genannten Arten von Pentests gibt es noch unzählig viele weitere Klassifizierung. Dazu zählt unter anderem das Cloud Penetration Testing, der Client Penetration Test sowie das Red Teaming. Wir beraten Sie gerne individuell zum sinnvollen Einsatz von Pentests für Ihr Unternehmen.
Kontakt
Pentests zielgerichtet einsetzen
Die Formulierung eines klaren Ziels ist Grundvoraussetzung für den Erfolg des Pentests und auch aus zeitlicher und ökonomischer Sicht sinnvoll. Man muss überlegen, was man mit dem Pentest erreichen will. Das Ziel kann von “einfach nur die Schwachstellen sehen” bis “erkennen, wo die größten geschäftsrelevanten Probleme im Unternehmen liegen” reichen. Liegt die Priorität dabei auf dem Schutz von sensiblen Daten vor Fremden oder auf dem Schutz vor einem Betriebsausfall durch Cyber-Angriffe oder steht die Erfüllung gesetzlicher Pflichten oder Qualitätsmanagement im Vordergrund?
Tatsächlich lohnt es sich häufig, sich nicht nur für ein einziges Szenario aus den drei Kategorien zu entscheiden, sondern auch einen Blick in die Möglichkeiten der Szenarien der anderen beiden Kategorien zu werfen. Ein Beispiel: Ein reines Black-Box-Szenario auszuwählen birgt das Risiko, interne Gefahrenherde gar nicht aufzudecken. In vielen Unternehmen sind es sehr naheliegende Probleme, welche diese Szenarien offenbaren. Neue Praktikanten oder Werkstudenten im Unternehmen erhalten oft unabsichtlich oder unwissentlich Zugang zu sämtlichen sensiblen Daten des Unternehmens. Ebenfalls eine häufige Gefahr ist eine geringe Sensibilität der Mitarbeiter im Umgang mit Passwörtern. Derartige Szenarien werden jedoch in Black-Box-Pentests oft nicht betrachtet. Ein sorgfältig gewähltes Szenario, welches einen realistischen Mittelweg zwischen Black-Box und White Box abdeckt, kann in diesem Falle beides offenbaren. Es ist daher auch immer sinnvoll, sowohl ein Black-Box-Pentest Szenario als auch einen Social-Engineering-Pentest auszuwählen.
Meist ist es zu zeitaufwändig und oft auch zu kostenintensiv, die komplette IT-Infrastruktur eines Unternehmens zu testen und alle möglichen Arten von Pentests durchzuführen. Deshalb ist es hilfreich, vorab zu prüfen, welcher Bereich am angreifbarsten ist und wo der größte Schaden für das Unternehmen angerichtet werden könnte. Hat man sorgfältig eine Entscheidung für einen passenden Pentest getroffen, so können im Idealfall auch nach dem Pareto-Prinzip 20% des Testaufwands 80% der Sicherheitslücken abdecken.
Was ist der Unterschied zwischen einem Pentest und einer Schwachstellenanalyse?
Penetrationstests und Schwachstellenanalysen sind zwei verschiedene Arten von Sicherheitstests, die beide dazu dienen, Schwachstellen in einem System oder zum Beispiel in einer Netzwerkumgebung zu identifizieren. Der Hauptunterschied zwischen den beiden Vorgehensweisen besteht darin, dass Penetrationstests tatsächlich versuchen auf diese Schwachstellen zuzugreifen und diese gezielt auszunutzen, um festzustellen, ob sie tatsächlich ein Sicherheitsrisiko darstellen, während Schwachstellenanalysen sich auf das bloße Aufdecken von Schwachstellen beschränken.
In der Regel werden Penetrationstests von Sicherheitsfachleuten (sogenannten Pentestern) durchgeführt, die versuchen das System auf die gleiche Weise anzugreifen, wie es ein Hacker tun würde, während Schwachstellenanalysen häufig von internen IT-Teams durchgeführt werden, die das System regelmäßig überwachen sowie Schwachstellen identifizieren und beheben. Im Allgemeinen bieten Penetrationstests ein höheres Maß an Sicherheit, da sie tatsächlich aktiv versuchen Schwachstellen auszunutzen und festzustellen, ob sie ein Sicherheitsrisiko darstellen.
Lösungen erfordern Prioritäten, der Pentest allein reicht nicht aus
Ist der Pentest mit der Zielsetzung und den richtigen Szenarien von den beauftragten Pentestern durchgeführt worden, erhält man eine Liste von Schwachstellen. Mit dieser bloßen Liste ist jedoch noch kein einziges Problem gelöst und auch noch lange kein Ratschlag gegeben worden. Um auf Schwachstellen in der Unternehmens-IT gut reagieren zu können, müssen diese zunächst priorisiert werden, denn natürlich können nicht alle Probleme auf einmal behoben werden. Dazu sollten die Risiken, die häufig sind und große Auswirkung haben, priorisiert werden (z.B. mit Hilfe der Eisenhower-Matrix). Ein gut dimensionierter Pentest kann diese Priorisierung zum größten Teil liefern. Ziel sollte es sein, die realistischsten, teuersten und für das Unternehmen schädlichsten Szenarien zuerst zu beheben. Man muss sich also Gedanken darüber machen, welche Bereiche im Unternehmen angreifbar sind, welche davon besonders wichtig sind und sich bewusst zu werden, welchen schwerwiegenden Gefahren und Risiken man ausgesetzt ist. Hierzu ist es essenziell, die eigenen Anforderungen zu kennen.
Das Wichtigste ist jedoch, auf die Ergebnisse des Pentests zu reagieren und aktiv zu werden. Bleibe ich nach dem Pentest passiv und ändere nichts im Unternehmen, um für mehr IT-Sicherheit zu sorgen und die eigenen Sicherheitslücken zu schließen, dann ist jeder noch so umfassende und kostenintensive Pentest wirkungslos.
Ihre Reise mit OHB Digital Services
Nutzen Sie das Wissen aus der Raumfahrt für Ihr Business. OHB Digital Services GmbH ist seit vielen Jahren ein verlässlicher Partner für sichere & innovative IT-Lösungen. Wir sind Teil eines der erfolgreichsten Raumfahrt- und Technologieunternehmen in Europa. Mit unseren Produkten und Services unterstützen wir Sie u.a. bei der Digitalisierung Ihrer Unternehmensprozesse entlang der Wertschöpfungskette und bei allen sicherheitsrelevanten Fragen. Kontaktieren Sie uns gerne.
Erfahren Sie mehr über das Penetration Testing und die Einsatzmöglichkeiten für Ihr Unternehmen