Penetrationtest

Was ist ein Penetrationstest?

Penetrationstests (oder Pen-Testing) sind eine Sicherheitsübung, bei der ein Cyber-Sicherheitsexperte versucht, Schwachstellen in einem Computersystem zu finden und auszunutzen. Der Zweck dieses simulierten Angriffs ist es, Schwachstellen in der Abwehr eines Systems zu identifizieren, die Angreifer ausnutzen könnten.

Das ist so, als würde eine Bank jemanden anheuern, der sich als Einbrecher verkleidet und versucht, in ihr Gebäude einzubrechen und sich Zugang zum Tresorraum zu verschaffen. Gelingt es dem "Einbrecher", in die Bank oder den Tresorraum einzudringen, erhält die Bank wertvolle Informationen darüber, wie sie ihre Sicherheitsmaßnahmen verschärfen muss.

Wer führt Pen-Tests durch?

Es ist am besten, einen Pen-Test von jemandem durchführen zu lassen, der wenig bis gar keine Vorkenntnisse über die Sicherheit des Systems hat, da er möglicherweise Schwachstellen aufdecken kann, die von den Entwicklern, die das System gebaut haben, übersehen wurden. Aus diesem Grund werden für die Durchführung der Tests in der Regel externe Auftragnehmer hinzugezogen. Diese Auftragnehmer werden oft als "ethische Hacker" bezeichnet, da sie angeheuert werden, um mit Erlaubnis und zum Zweck der Erhöhung der Sicherheit in ein System zu hacken.

Viele ethische Hacker sind erfahrene Entwickler mit fortgeschrittenen Abschlüssen und einer Zertifizierung für Pen-Tests. Andererseits sind einige der besten Ethik-Hacker Autodidakten. Einige sind sogar reformierte, kriminelle Hacker, die ihr Fachwissen nun dazu nutzen, Sicherheitsmängel zu beheben, anstatt sie auszunutzen. Der beste Kandidat für die Durchführung eines Pen-Tests kann je nach Zielfirma und der Art des Pen-Tests, den sie initiieren möchten, sehr unterschiedlich sein.

Welche Arten von Pen-Tests gibt es?

White-Box-Pen-Test - Bei einem White-Box-Pen-Test erhält der Hacker im Vorfeld einige Informationen über die Sicherheitsinformationen des Zielunternehmens.

Black-Box-Pen-Test - Auch als "Blind"-Test bekannt, bei dem der Hacker außer dem Namen des Zielunternehmens keine weiteren Hintergrundinformationen erhält.

Verdeckter Pen-Test - Auch bekannt als 'double-blind' Pen-Test, dies ist eine Situation, in der fast niemand in der Firma weiß, dass der Pen-Test stattfindet, einschließlich der IT- und Sicherheitsexperten, die auf den Angriff reagieren werden. Bei verdeckten Tests ist es für den Hacker besonders wichtig, den Umfang und andere Details des Tests vorher schriftlich zu haben, um Probleme mit der Strafverfolgung zu vermeiden.

Externer Pen-Test - Bei einem externen Test geht der ethische Hacker gegen die nach außen gerichtete Technologie des Unternehmens, wie z.B. die Website und die externen Netzwerkserver, vor. In manchen Fällen darf der Hacker nicht einmal das Gebäude des Unternehmens betreten. Dies kann bedeuten, dass der Angriff von einem entfernten Standort aus durchgeführt wird oder dass der Test von einem in der Nähe geparkten LKW oder Lieferwagen aus durchgeführt wird.

Interner Pen-Test - Bei einem internen Test führt der ethische Hacker den Test vom internen Netzwerk des Unternehmens aus durch. Diese Art von Test ist nützlich, um festzustellen, wie viel Schaden ein verärgerter Mitarbeiter hinter der Firewall des Unternehmens anrichten kann.

Wie wird ein typischer Pen-Test durchgeführt?

Pen-Tests beginnen mit einer Aufklärungsphase, in der ein ethischer Hacker Zeit damit verbringt, Daten und Informationen zu sammeln, mit denen er seinen simulierten Angriff plant. Danach geht es darum, Zugang zum Zielsystem zu erlangen und aufrechtzuerhalten, wofür eine breite Palette von Werkzeugen erforderlich ist.

Zu den Angriffswerkzeugen gehört Software, die Brute-Force-Angriffe oder SQL-Injektionen erzeugen sollen. Es gibt auch Hardware, die speziell für Pen-Tests entwickelt wurde, wie z.B. kleine, unauffällige Boxen, die an einen Computer im Netzwerk angeschlossen werden können, um dem Hacker einen Fernzugriff auf dieses Netzwerk zu ermöglichen. Darüber hinaus kann ein ethischer Hacker Social-Engineering-Techniken einsetzen, um Schwachstellen zu finden. Zum Beispiel, indem erPhishing-E-Mails an Firmenmitarbeiter sendet oder sich sogar als Zusteller tarnt, um sich physischen Zugang zum Gebäude zu verschaffen.

Der Hacker schließt den Test ab, indem er seine Spuren verwischt; das bedeutet, dass er jegliche eingebettete Hardware entfernt und alles andere tut, um eine Entdeckung zu vermeiden und das Zielsystem genau so zu verlassen, wie er es gefunden hat.

Was passiert nach einem Pen-Test?

Nach Abschluss eines Pen-Tests teilt der ethische Hacker seine Ergebnisse dem Sicherheitsteam des Zielunternehmens mit. Diese Informationen können dann zur Implementierung von Sicherheitsupgrades genutzt werden, um die während des Tests entdeckten Schwachstellen zu schließen. Diese Upgrades können Ratenbegrenzung, neue WAF-Regeln und DDoS-Milderung sowie strengere Formularvalidierungen und Desinfektion umfassen.

Nach oben scrollen