Fachgerechtes und rechtskonformes Penetration Testing

Netzwerk-Sicherheit als beauftragter Hacker prüfen

08.09.2008 | Autor / Redakteur: Marco Rogge / Stephan Augsten

Grauzone: Auch beauftragte Hacker können sich strafbar machen und müssen sich deshalb vertraglich absichern.

Aktives Ausnutzen von Schwachstellen

Ist nach der Auswertung/Bewertung der Penetration-Test noch nicht abgeschlossen, so kann der Penetration-Tester nun beginnen, die vorgefundenen Schwachstellen aktiv auszunutzen. Hierbei ist natürlich darauf zu achten, dass Netzwerk-Komponenten nicht beschädigt werden und eine Ausnutzung keinen kriminellen Charakter bedeutet.

Der Penetration-Tester versetzt sich in die Rolle eines möglichen, nicht beauftragten Angreifers. Dabei können diverse Möglichkeiten genutzt werden, ein Netzwerk von innen oder von außen anzugreifen, um in das Netzwerk zu gelangen. Aber auch Angriffe auf Web-basierende Applikationen oder eben Social Engeneering sind möglich, sofern Schwachstellen gefunden wurden.

Wichtig ist in diesem Zusammenhang eine möglichst umfangreiche Dokumentation. Darin sollte der beauftragte Angreifer ausführlich beschreiben, wie es ihm gelungen ist eine Schwachstelle auszunutzen und wie er dabei genau vorgegangen ist.

Abschlussphase

Je nachdem, wie der Umfang in der Vorbereitungsphase besprochen und geregelt wurde, lassen sich nun die Ergebnisse des Penetration-Tests auswerten und genauer erläutern. Hierfür wird ein Bericht/Protokoll erstellt, um dem Auftraggeber die Schwachstellen aufzuzeigen. Aus den aufgezeigten Schwachstellen lassen sich dann Sicherheitsmaßnahmen ableiten, die so schnell als möglich umgesetzt werden sollten.

Bei einem solchen Test ist aber auch davon auszugehen, dass nicht alle Schwachstellen aufgefunden werden. Eine Betrachtung durch einen weiteren beauftragten Angreifer kann die Sicherheit weiter erhöhen. Ein strukturierter Ablauf von der Organisation bis hin zu rechtlichen Aspekten ist bei einem Penetration Test unabdingbar.