Wie wird der Pentest ausgeführt?

Penetrationstests setzen die hauseigenen Experten von IT-Sicherheitsfirmen daran, ein System zu knacken. Dafür kann die Firma verschiedene Ansätze verfolgen. Ob Angriffe von außerhalb oder aus den internen Reihen eines Unternehmens, ob mit viel oder wenig Vorwissen über das System des Unternehmens; für jedes Unternehmen gibt es die richtigen Strategien.

Das Deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sechs Faktoren bestimmt, die vor einem Penetrationstest definiert werden müssen:

• Informationsbasis
• Aggressivität
• Umfang
• Vorgehensweise
• Technik
• Ausgangspunkt

Sie beschreiben, wie aggressiv, umfangreich und mit welcher Vorgehensweise ein Pentest durchgeführt wird. Auch die genutzte Technik und der Ausgangspunkt, zum Beispiel mit wie viel Vorwissen und aus welcher Situation heraus ein simulierter Cyberangriff durchgeführt werden soll, werden im Vorhinein besprochen.

Bei einem Penetrationstest in Zürich durch die Firma turingpoint können wir sehen, dass zu einem umfangreichen Pentest noch viel mehr gehört. Es geht nicht nur darum, die Schwachstellen zu finden, sondern auch darum, die Mitarbeiter eines Unternehmens zu schulen und zu beraten, wie man Sicherheitslücken schließen und verhindern kann. Dafür verfasst der Tester einen Bericht und gibt Handlungsempfehlungen.

Ziele des Pentests

Der Pentest soll Opfer von Cyberattacken verhindern. Deshalb setzt er nicht erst bei dem Scanning ein, das Sicherheitssysteme von Computern durchführen. Der Penetrationstest soll schon vor dem Vorfall sicher gehen, dass ein potenzieller Hacker gar nicht erst so weit kommt, auf das Netzwerk zugreifen zu können.

Die Ziele des Penetrationstests sind:

• Vermeiden von Cyberangriffen
• Updaten von Sicherheitssystemen
• Schutz vor Ausfällen
• Vermeiden von Kosten bei Schäden und Wiederaufbau
• Halten eines guten Rufs und Kundenvertrauens
• Einhalten von gesetzlichen IT-Sicherheitsrichtlinien (DS-GVO)

Wie oft braucht man Penetrationstests?

Wie häufig ein Pentest durchgeführt werden soll, kommt auf die Firma an. Ist sie besonders groß oder in einem Sektor unterwegs, der sehr anfällig für Cyberangriffe ist, wie der Finanzsektor, lohnt es sich, häufiger umfangreiche Penetrationstests machen zu lassen. Auch für kleine Firmen, die aber davon abhängig sind, dass ihr IT-System läuft, kann sich die zusätzliche Absicherung lohnen.

Verschiedene Pentests

Die in den Faktoren des BSI erwähnten Variationen des Pentests passen sich ganz an die Bedürfnisse der Firma an. Eine Auswahl von ihnen gestaltet sich zum Beispiel folgendermaßen:

IT-Infrastruktur und Webanwendungen

Ein Pentest kann sowohl die IT-Infrastruktur als auch häufig genutzte Webanwendungen von Mitarbeitern überprüfen. Bei dem Infrastrukturtest greift der Tester auf alle Systeme zu, die er aus dem Internet erreichen kann. Dazu zählen:

• DNS
• E-Mail-Systeme
• Fileserver
• Firewalls
• VPNs

Bei Webanwendungen geht es dafür um Programme oder Plattformen, die mit einem Webbrowser aufgerufen werden. Diese Tests sind anspruchsvoll, da viele Menschen aus verschiedenen Zugangspunkten auf die Webanwendungen zugreifen können. Deshalb ist es umso wichtiger, die Sicherheit des Systems zu garantieren.

Vorkenntnisse der Tester

Ein Unternehmen kann sich entscheiden, dem Tester gar kein, ein wenig oder jegliches Wissen über ihre Firma und ihr IT-Netzwerk zu geben. Damit lässt sich gezielt nach Sicherheitslücken des Systems suchen oder ein realistischer Hackingangriff ohne Vorkenntnisse des Netzwerks simulieren.

• Black-Box-Test – Der Tester hat keinerlei Vorwissen.
• Grey-Box-Test – Der Tester hat wenige Informationen.
• White-Box-Test – Der Tester kennt das Unternehmen und hat alle Informationen zu ihrem System.

Externe oder interne Pentests

Viele Unternehmen sind versucht, Sicherheitstests durch ihr hauseigenes IT-Team erledigen zu lassen. Auch wenn diese mit Sicherheit ein breites Wissen über das Netzwerk und seinen Aufbau haben, sind sie dennoch nicht dazu geschult, ohne Betriebsblindheit seine Sicherheitslücken zu erkennen.

Deshalb ist es empfehlenswert immer einen externen Dienstleister einzustellen. Dieser ist nicht nur Experte im Finden von Schwachstellen, sondern kann auch noch einen realistischeren Cyberangriff simulieren als Angestellte des Unternehmens.

Fazit

Penetrationstests werden, gerade für Unternehmen, die mit Kundendaten und Finanzen hantieren, immer wichtiger. Sie führen einen Stresstest für ein Sicherheitssystem durch, indem sie einen Hack simulieren. Damit kann der Tester herausfinden, wo Schwachstellen liegen und sie eliminieren, bevor es zu einem echten Angriff kommen kann.