Sicherheitsprüfung
einzelner Dienste

Penetration Testing

Ein Pentest oder auch Ethical Hacking dient in erster Linie dazu, Angriffsmöglichkeiten auf IT-Systeme zu identifizieren und bereits vorhandene Abwehrmaßnahmen auf ihre Tauglichkeit zu überprüfen. Auch der Gesetzgeber hat dies erkannt und sieht in der DSGVO regelmäßige Penetrationstests vor. Ein System, welches in Intervallen auf Lücken getestet wird, erhöht dauerhaft die Sicherheit ihrer Daten. Grundsätzlich differenziert werden hierbei zwei Herangehensweisen:

Es gibt die sogenannten Blackbox-Tests, bei denen nur sehr wenige Informationen über das IT-System bekannt sind. Hier wird der Angriff eines Hackers simuliert, der lediglich Adressinformationen über das IT-System besitzt.

Weitaus zielgerichteter sind Whitebox-Tests, da hier dem Tester umfangreiche Details über das It-System zur Verfügung stehen. Die Fehleranalyse findet im Inneren statt und hat so natürlich größere Chancen, fündig zu werden. Es werden z.B. Konfigurationen und Regelwerke gecheckt, um anhand deren Patchständen mögliche Schwachstellen zu identifizieren.

Voraussetzungen für effiziente Pentests sind Unabhängigkeit und Flexibilität der Tester. Aussenstehende haben einen anderen Blickwinkel auf eingesetzte Systeme, gepaart mit strategischem Know-How ergeben sich effektive Verteidigungsmethoden und Lösungsvorschläge.

So wird bspw. Software mit einem Codereview auf Schwachstellen untersucht, die sich im Quellcode verbergen können. Durch das Simulieren von unerwarteten Ereignissen und das dadurch erzeugte Verhalten der IT-Anwendungen, können Schwachstellen erkannt und geschlossen werden. 

Ein Augenmerk liegt auch auf der Sicherheit der Webpräsenz eines Unternehmens z.B. ein Onlineshop, der mit meist automatisierten Methoden über das Internet getestet werden kann. Wer vernetzt ist, macht sich zwangsläufig auch angreifbar. Daher sollte es potentiellen Angreifern so schwer wie möglich gemacht werden, in ein System einzudringen, im Idealfall sogar unmöglich.

Ein Pentest ist immer ein höchst individuelles Ereignis, er lässt sich aber auf vier Phasen eingrenzen.

Reconnaissance: Information werden vor dem eigentlichen Angriff bzw. Pentest gesammelt.

Enumeration: Mögliche Angriffspunkte werden gesichtet und aufgelistet.

Exploitation: Gefundene Schwachstellen werden ausgenutzt.

Documentation: Die Zusammenfassung aller Schritte zwecks Erstellung eines Berichtes.

Dieser Zyklus wird mehrere Male wiederholt, um immer tiefer vorzudringen bzw. die Schwachstellen des System immer weiter zu reduzieren.

Das Pentesting ist heutzutage eine unverzichtbare Methode zur Sicherung des eigenen IT-Systems und des Gedankenguts eines Unternehmens.