Wissenswertes zum Pen Test, Penetrationstest, ethisches Hacken

Wissenswertes zum Pen Test

Ein Penetrationstest, umgangssprachlich als Pen Test, Pentest oder ethisches Hacken bezeichnet, ist ein autorisierter simulierter Cyberangriff auf ein Computersystem, der zur Bewertung der Sicherheit des Systems durchgeführt wird. Ein Penetrationstest – kurz Pentest genannt – wird angewendet, um festzustellen, wie es um die IT Security bestellt ist und inwieweit IT-Systeme oder andere Netzwerke für Hacker angreifbar sind.

IT-Systeme (oder auch Informationstechnische Systeme) spielen mittlerweile eine große Rolle in unserem täglichen Leben. Darunter versteht man gemeinhin alle Arten elektronischer datenverarbeitender Systeme. Doch gerade, weil diese für uns so wichtig geworden sind, werden sie oft zur Zielscheibe für Hackerangriffe. Cyber-Kriminelle versuchen Schwachstellen in Programmen und Servern aufzuspüren, um daraus letztlich Profit schlagen zu können.
Da IT-Systeme und Softwareprogramme höchst komplex aufgebaut sind, ist es gar nicht so einfach, die richtigen Schutzmaßnahmen zu ergreifen. Hier kommt der Pen Test ins Spiel.

Was passiert bei einem Pen Test?

Der Pen Test wird in der Regel von Experten der IT Sicherheit durchgeführt. Dabei bedienen sich diese selbst den Methoden, die auch von Hackern angewendet werden. Dadurch stellt der Pen Tester fest, wo die Sicherheitslücken eines Systems liegen und inwieweit der verwendete Virenschutz den Bedrohungen standhält.
Über die Durchführung und die Ergebnisse dieser „Probe-Hacker-Angriffe“ führt der Pen Tester sorgfältig Protokoll, damit im Anschluss Wege ermittelt werden können. Dadurch kann der Pen Tester die vorhandenen Schwachstellen beseitigen. Schließlich werden die Ergebnisse des Pen Test Reports mit dem Auftraggeber besprochen und gemeinsam mit ihm über die weitere Vorgehensweise beraten.
Letztendlich ist der Auftraggeber dafür verantwortlich, dass die gefunden Sicherheitslücken auch zu beseitigen sind.

Historischer Aspekt

Laut der Sicherheitsexpertin Deborah Russell „markierten die 1960er Jahre den wahren Anfang des Zeitalters der Computersicherheit“. Und tatsächlich kamen bereits in den 60er Jahren mit den neuen Kommunikationsmöglichkeiten und Time-Sharing-Computer-Systemen Sicherheitsbedenken zum Vorschein. Dadurch, dass potenzielle Gefahren erkannt wurden, wurde auch der Penetrationstest geboren. Er wurde erstmals 1967 vom United States Department of Defense (DoD) durchgeführt, um die Sicherheit US-amerikanischer Computer-Systeme zu erhöhen.
Der damals führende Penetrationsexperte James P. Anderson erstellte ein Grundrezept, nach dem Unternehmen beim Pen Test vorgehen sollten, um größtmögliche Erfolge zu erzielen und welches er mit der Zeit immer weiter verfeinerte. Auch heute arbeiten immer noch zahlreiche Sicherheitsexperten nach dem „Anderson Penetrationstest“.

Das Verhältnis von Pen Test und Datenschutz

Bevor der Pen Test durchgeführt wird, muss der Auftraggeber eine Einverständniserklärung unterzeichnen. Ist dies nicht der Fall, sind die Tests illegal. Außerdem muss der Auftraggeber vorher eindeutig klarstellen, welche Objekte und Komponenten unter seiner Verantwortung stehen. Netzwerke und IT-Systeme von Drittanbietern müssen aus den Tests ausgeschlossen werden.

Für wen ist ein Pen Test sinnvoll?

Da prinzipiell jedes Unternehmen und jede Institution Opfer eines Hacker-Angriffs werden kann, sollte der IT Sicherheitsbeauftragte hier generell über entsprechende Schutzmaßnahmen nachdenken, um sensible Daten vor Diebstahl zu schützen.
So kann es für Behörden fatal sein, wenn beispielsweise ein Hacker personenbezogene Daten stiehlt. Auch auf das wirtschaftliche Wissen erfolgreicher Unternehmen können es Hacker abgesehen haben. Meist kommt es dann nicht nur zu finanziellen Verlusten, sondern auch zu Imageschäden. In jedem Fall sollte also für größtmögliche Datensicherheit und Datenschutz sorgen.
Ein Pentest kann hier gute Dienste leisten, indem er dafür sorgt, dass er Schwachstellen rechtzeitig erkennt und es erst gar nicht so weit kommt.

Der Pen Test in Abgrenzung zum Vulnerability- oder Security-Scan

Penetrationstest, Vulnerability- und Security-Scan lassen sich alle unter dem Oberbegriff der Schwachstellenanalyse zusammenfassen.
Der Unterschied besteht darin, dass Vulnerability- oder Security-Scans durch automatisierte Programme durchgeführt werden, um Sicherheitslücken zu identifizieren, während ein Penetrationstest im Moment noch nicht automatisiert umsetzbar ist. Eine geeignete Methode wird individuell für das zu testende System ausgewählt und zugeschnitten, wobei Pentester auch verschiedene Pentest Tools verwenden. Dementsprechend sind für einen Pentest auch die Kosten höher, da er wesentlich zeitintensiver bezüglich Planung und Durchführung ist.

Welche Arten von Pen Test gibt es?

Die Art des angewendeten Pen Tests ist abhängig vom Unternehmen und IT Infrastruktur. Die einen gehen weiter in die Tiefe, andere bewegen sich eher an der Oberfläche. Auch die Komponenten, die man am ehesten als Schwachstelle vermuten kann, spielen eine Rolle.

Dies sind die gängigsten Pen Test Methoden:

1. DDos-Tests (Denial of Service): Dabei werden durch den „Angreifer“ bestimmte Ressourcen (z. B. der Arbeitsspeicher) stark in Anspruch genommen, mit dem       Ziel, dass der Computer schließlich nicht mehr reagiert. So kann man feststellen, ob die Sicherheitssoftware einem DDos-Angriff standhalten kann und wenn          ja, wie lange.
2. Out-of-Band-Angriffe: Hier zerstört der Hacker Systeme, indem durch den „Angreifer“ bewusst die Standards für IP-Header verletzt sind.
3. Tests der Anwendungssicherheit: Damit überprüft der Hacker Anwendungen für den Datenverkehr, z. B. die Qualität der Verschlüsselung von Informationen.
4. War Dialing: Bei dieser Technik ruft der Hacker systematisch eine große Zahl an Telefonnummern an, um so Verbindungen für die Fernwartung von                             Computern  in Unternehmen zu ermitteln. Sobald ein Zugangsgerät gefunden ist, überprüft der Hacker verschiedene Techniken, ob es möglich ist, dadurch                     Zugang zum Unternehmensnetzwerk zu erhalten.
5. Pen Test für WLANs: Durch diese Tests prüft der Hacker die Netzwerksicherheit, indem er Sicherheitslücken im Funknetzwerk eines Unternehmens                  ausfindig macht.
6. Social-Engineering-Tests: Hier versucht der Hacker Mitarbeiter als „Schwachstellen“ aufzuspüren. Der improvisierte Hacker versucht unter einem Vorwand                  durch den Mitarbeiter an sensible Daten heranzukommen. Dies ist auch durch Phishing möglich.

Dies ist nur eine Auswahl an Verfahren, die bei Penetrationstests zum Einsatz kommen können. Alle zu nennen würde den Rahmen dieses Artikels sprengen. Mehr Informationen zum Thema finden Sie auch auf der Seite des Bundesamtes für Sicherheit und Informationstechnik. Interessante Informationen hat das BSI über den Penetrationstest dort in einem „Praxis-Leitfaden für IS-Penetrationstests“ zusammengestellt.