Was ist ein Penetrationstest?

In diesem Artikel beantworten wir die Frage beantwortet: was ist ein Penetrationstest?
IT-Systeme (oder auch Informationstechnische Systeme) spielen mittlerweile eine große Rolle in unserem täglichen Leben. Darunter versteht man gemeinhin alle Arten elektronischer datenverarbeitender Systeme. Doch gerade, weil diese für uns so wichtig geworden sind, werden sie oft zur Zielscheibe für Hacker-Angriffe. Cyber-Kriminelle versuchen Schwachstellen in Programmen und Servern aufzuspüren, um daraus letztlich Profit schlagen zu können.

Da IT-Systeme und Softwareprogramme höchst komplex aufgebaut sind, ist es gar nicht so einfach, die richtigen Schutzmaßnahmen zu ergreifen. Hier kommt der Penetrationstest ins Spiel.

Ein Penetrationstest – kurz Pentest genannt – wird angewendet, um festzustellen, wie es um die IT Security bestellt ist und inwieweit IT-Systeme oder andere Netzwerke für Hacker angreifbar sind.

Was passiert bei einem Penetrationstest?

Der Penetrationstest wird in der Regel von Experten der IT Sicherheit durchgeführt. Dabei bedienen sich diese selbst den Methoden, die auch von Hackern angewendet werden, um festzustellen, wo die Sicherheitslücken eines Systems liegen und inwieweit der verwendete Virenschutz den Bedrohungen standhält.

Über die Durchführung und die Ergebnisse dieser „Probe-Hacker-Angriffe“ wird sorgfältig Protokoll geführt, damit im Anschluss Wege ermittelt werden können, um die vorhandenen Schwachstellen zu beseitigen. Schließlich werden die Ergebnisse des Pentest Reports mit dem Auftraggeber besprochen und gemeinsam mit ihm über die weitere Vorgehensweise beraten.

Letztendlich ist der Auftraggeber dafür verantwortlich, dass die gefunden Sicherheitslücken auch beseitigt werden.

Historischer Aspekt

Laut der Sicherheitsexpertin Deborah Russell „markierten die 1960er Jahre den wahren Anfang des Zeitalters der Computersicherheit“. Und tatsächlich kamen bereits in den 60er Jahren mit den neuen Kommunikationsmöglichkeiten und Time-Sharing-Computer-Systemen Sicherheitsbedenken zum Vorschein. Dadurch, dass potenzielle Gefahren erkannt wurden, wurde auch der Penetrationstest geboren. Er wurde erstmals 1967 vom United States Department of Defense (DoD) durchgeführt, um die Sicherheit US-amerikanischer Computer-Systeme zu erhöhen.

Der damals führende Penetrationsexperte James P. Anderson erstellte ein Grundrezept, nach dem Unternehmen beim Penetrationstest vorgehen sollten, um größtmögliche Erfolge zu erzielen und welches er mit der Zeit immer weiter verfeinerte. Auch heute arbeiten immer noch zahlreiche Sicherheitsexperten nach dem „Anderson Penetrationstest“.

Das Verhältnis von Penetrationstests und Datenschutz

Bevor der Pentest durchgeführt wird, muss der Auftraggeber eine Einverständniserklärung unterzeichnen. Ist dies nicht der Fall, sind die Tests illegal. Außerdem muss der Auftraggeber vorher eindeutig klarstellen, welche Objekte und Komponenten unter seiner Verantwortung stehen. Netzwerke und IT-Systeme von Drittanbietern müssen aus den Tests ausgeschlossen werden.

Für wen ist ein Penetrationstest sinnvoll?

Da prinzipiell jedes Unternehmen und jede Institution Opfer eines Hacker-Angriffs werden kann, sollte hier generell über entsprechende Schutzmaßnahmen nachgedacht werden, um sensible Daten vor Diebstahl zu schützen.

So kann es für Behörden fatal sein, wenn beispielsweise personenbezogene Daten gestohlen werden. Auch auf das wirtschaftliche Wissen erfolgreicher Unternehmen können es Hacker abgesehen haben. Meist kommt es dann nicht nur zu finanziellen Verlusten, sondern auch zu Imageschäden. In jedem Fall sollte also für größtmögliche Datensicherheit und Datenschutz gesorgt werden.

Ein Pentest kann hier gute Dienste leisten, indem er dafür sorgt, dass Schwachstellen rechtzeitig erkannt werden und es erst gar nicht so weit kommt.

Der Penetrationstest in Abgrenzung zum Vulnerability- oder Security-Scan

Penetrationstest, Vulnerability- und Security-Scan lassen sich alle unter dem Oberbegriff der Schwachstellenanalyse zusammenfassen.

Der Unterschied besteht darin, dass Vulnerability- oder Security-Scans durch automatisierte Programme durchgeführt werden, um Sicherheitslücken zu identifizieren, während ein Penetrationstest im Moment noch nicht automatisiert umsetzbar ist. Eine geeignete Methode wird individuell für das zu testende System ausgewählt und zugeschnitten, wobei auch verschiedene Pentest Tools verwendet werden. Dementsprechend sind für einen Pentest auch die Kosten höher, da er wesentlich zeitintensiver bezüglich Planung und Durchführung ist.

Welche Arten von Penetrationstests gibt es?

Die Art des Pentests, der angewendet wird, ist abhängig vom Unternehmen, für das er durchgeführt wird. Die einen gehen weiter in die Tiefe, andere bewegen sich eher an der Oberfläche. Auch die Komponenten, die am ehesten als Schwachstelle vermutet werden, spielen eine Rolle.

Dies sind die gängigsten Pentests:

• DDos-Tests (Denial of Service): Dabei werden durch den „Angreifer“ bestimmte Ressourcen (z. B. der Arbeitsspeicher) stark in Anspruch genommen, mit dem Ziel, dass der Computer schließlich nicht mehr reagiert. So kann man feststellen, ob die Sicherheitssoftware einem DDos-Angriff standhalten kann und wenn ja, wie lange.
• Out-of-Band-Angriffe: Hier werden Systeme gestört, indem durch den „Angreifer“ bewusst die Standards für IP-Header verletzt werden.
• Tests der Anwendungssicherheit: Damit werden Anwendungen für den Datenverkehr überprüft, z. B. die Qualität der Verschlüsselung von Informationen.
• War Dialing: Bei dieser Technik wird systematisch eine große Zahl an Telefonnummern angerufen, um so Verbindungen für die Fernwartung von Computern in Unternehmen zu ermitteln. Wird ein Zugangsgerät gefunden, wird durch verschiedene Techniken überprüft, ob es möglich ist, dadurch Zugang zum Unternehmensnetzwerk zu erhalten.
• Penetrationstests für WLANs: Durch diese Tests wird die Netzwerksicherheit überprüft, indem Sicherheitslücken im Funknetzwerk eines Unternehmens ausfindig gemacht werden.
• Social-Engineering-Tests: Hier wird versucht Mitarbeiter als „Schwachstellen“ aufzuspüren. Der improvisierte Angreifer versucht unter einem Vorwand durch den Mitarbeiter an sensible Daten heranzukommen. Dies ist auch durch Phishing möglich.

Dies ist nur eine Auswahl an Verfahren, die bei Penetrationstests zum Einsatz kommen können. Alle zu nennen würde den Rahmen dieses Artikels sprengen. Mehr Informationen zum Thema finden Sie auch auf der Seite des Bundesamtes für Sicherheit und Informationstechnik. Interessante Informationen hat das BSI über den Penetrationstest dort in einem „Praxis-Leitfaden für IS-Penetrationstests“ zusammengestellt. Weitere wissenswerte Informationen zu Penetrationstest finden Sie hier.