Definition Pentest

Was ist ein Penetrationstest?

| Autor / Redakteur: Tutanch / Peter Schmitz

Ein Penetrationstest ist Bestandteil der Schwachstellenanalyse von IT-Systemen und soll deren Anfälligkeit gegen Hacker-Angriffe prüfen.
Ein Penetrationstest ist Bestandteil der Schwachstellenanalyse von IT-Systemen und soll deren Anfälligkeit gegen Hacker-Angriffe prüfen. (Bild: Pixabay / CC0)

Bei einem Penetrationstest werden IT-Systeme oder Netzwerke einer umfassenden Prüfung unterzogen, die die Empfindlichkeit gegenüber Angriffen feststellen soll. Bei einem Pentest kommen Methoden und Techniken zum Einsatz, die von echten Angreifern oder Hackern verwendet werden.

Mit Hilfe eines Penetrationstests, oft Pentest genannt, versuchen IT-Experten durch gezielt ausgeführte Angriffe die Empfindlichkeit von Netzwerken oder IT-Systemen gegenüber Einbruchs- und Manipulationsversuchen festzustellen. Sie verwenden hierfür ähnliche Methoden und Techniken, wie sie Hacker oder Cracker einsetzen, um unautorisiert in ein System einzudringen.

Es lassen sich durch einen Pentest Schwachstellen aufdecken und Gefährdungspotenziale besser einschätzen. Während des kompletten Penetrationstests erfolgt eine genaue Protokollierung aller durchgeführten Maßnahmen. In einem abschließenden Bericht sind die erkannten Schwachstellen und Lösungsansätze zur Verbesserung des IT-Sicherheitsniveaus aufgeführt. Das Beseitigen der Schwachstellen und die Durchführung von Härtungsmaßnahmen der IT ist nicht Bestandteil des Penetrationstests. Der Umfang der durchgeführten Tests orientiert sich am jeweiligen Gefährdungspotenzial eines Systems, einer Anwendung oder eines Netzwerks. Systeme, die hohen Gefahren ausgesetzt sind wie öffentlich erreichbare Webserver, werden meist ausführlicheren Tests unterzogen als interne Anwendungen ohne große Systemrelevanz.

Mit Kali Pentests durchführen und Sicherheitslücken finden

Tool-Tipp: Kali Linux

Mit Kali Pentests durchführen und Sicherheitslücken finden

18.07.17 - Kali gehört zu den bekanntesten Linux-Distributionen für Sicherheit im Netzwerk. Zur Kali Linux Live-DVD gehören zahlreiche Sicherheitstools, mit denen sich Penetrationstests und Netzwerkanalysen durchführen und Sicherheitslücken finden lassen. So können Admins lokale Systeme und Netzwerke optimal absichern. lesen

Die Ziele eines Penetrationstests

Das Hauptziel des Pentests ist es, Schwachstellen von Netzwerken und Computern auf technischer und organisatorischer Ebene zu identifizieren und sie in einem ausführlichen Bericht zu dokumentieren. Die Behebung der gefundenen Schwachstellen liegt jedoch in der Verantwortung des Auftraggebers oder des Betreibers der untersuchten IT-Systeme. Werden die empfohlenen Maßnahmen zur Beseitigung der aufgedeckten Schwachstellen durchgeführt, lässt sich die Sicherheit der untersuchten Systeme verbessern. Mögliche Behebungsmaßnahmen können Schulungen des Personals, Personalaufstockung, Abschaltung eines Systems oder das Einspielen von Korrekturen und Updates sein. Da ein Penetrationstest keine kontinuierliche Überwachung der IT darstellt, kann er als eine Art Momentaufnahme des Sicherheitsstatus verstanden werden. Oft sind Social-Engineering-Penetrationstests Teil der durchgeführten Tests. Hierbei wird versucht, mit Hilfe des Social Engineerings interner Mitarbeiter an Informationen oder Zugangsmöglichkeiten zu gelangen. Die Tests haben zum Ziel, interne Schwachstellen innerhalb des Unternehmens aufzudecken, die sich zum Beispiel durch Aufklärung und Information von Mitarbeitern beheben lassen.

Rechtliche Aspekte von Penetrationstests

Vor der Durchführung von Penetrationstests muss der den Test durchführenden Organisation das Einverständnis der zu testenden Organisation vorliegen. Ohne eine solche Vereinbarung sind Pentests illegal und können eine Straftat darstellen. Der Test darf sich bei Vorliegen einer Einverständniserklärung nur auf Objekte beziehen, die unter der tatsächlichen Hoheit der zu testenden Organisation stehen. Es dürfen keine IT-Systeme oder Netze von Dritten getestet werden. Der Auftraggeber hat vor dem Penetrationstest eindeutig zu klären, für welche Komponenten dies zutrifft. Diverse in Anspruch genommene IT-Dienstleistungen, unterschiedliche Cloud-Services und verschiedene Vertragsverhältnisse zur Nutzung von Hard- und Software können eine solche Klärung erschweren.

Abgrenzung der Begriffe Schwachstellenanalyse, Vulnerability- oder Security Scan und Penetrationstest

Die Schwachstellenanalyse stellt einen Oberbegriff dar und kann Vulnerability- oder Security Scans sowie Penetrationstests beinhalten. Im Gegensatz zu einem Penetrationstest erfolgt die Durchführung von Vulnerability- oder Security Scans automatisiert. Systeme werden durch automatisch ablaufende Programme gegen bekannte Probleme und Sicherheitslücken geprüft.

Ein Penetrationstest hingegen ist kaum automatisiert und erfolgt nach ausführlicher, oft manueller Informationssammlung. Er ist individuell auf das zu testende System zugeschnitten und abgestimmt. Die Planung, Durchführung und die Auswahl der einzusetzenden Tools ist bei einem Pentest wesentlich aufwendiger. Dadurch lassen sich mit einem Penetrationstest bisher unbekannte Sicherheitslücken identifizieren. Es kommen spezielle Hacking-Tools und manuell ausgeführte Angriffsmethoden zum Einsatz. Ein Penetrationstest ist quasi als empirischer Teil einer allgemeinen Schwachstellenanalyse zu verstehen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Risiken im Internet of Things

Qualitätssicherung und IoT

Risiken im Internet of Things

Die Folgen des Internet of Things sind neben den Annehmlichkeiten für Nutzer auch immer mehr Türen für Angreifer, die Geräte im großen Maßstab infizieren und für ihre Zwecke missbrauchen. Dabei haben es Hacker heute leicht, denn ein mangelndes Verständnis für die Risiken und eine fehlende Qualitätssicherung machen Angriffe zu einem Kinderspiel. lesen

Open Source macht Hintertüren transparent

Schutz vor kryptographischen Backdoors

Open Source macht Hintertüren transparent

Unternehmen setzen häufig auf herstellerspezifische Software, um Daten zu verschlüsseln und User zu authentifizieren. Doch das ist riskant, weil der Druck auf Hersteller wächst, Hintertüren in ihre Software einzubauen. Einen Ausweg bietet Open-Source-Software. lesen

Security in agile Software-Projekte integrieren

IT-Security Management & Technology Conference 2017

Security in agile Software-Projekte integrieren

Agile Projekte liefern in Verbindung mit DevOps in der Regel schnell und häufig neue Releases aus. Jedoch kann bei einer hohen Rolloutfrequenz nicht jedes einzelne Release einen eigenen umfangreichen Penetrationstest erhalten, ohne dass Security als Bottleneck den Vorteil zügiger Rollouts wieder zunichtemachen würde. Um dennoch mit einem guten Gewissen agil live gehen zu können, bedarf es anderer Lösungen. lesen

Passwörter knacken mit THC Hydra und John the Ripper

Windows-Kennwörter und Netzwerk-Accounts hacken

Passwörter knacken mit THC Hydra und John the Ripper

Das Knacken von Zugangsdaten sieht im TV immer recht einfach aus – die Realität ist glücklicherweise eine andere. An guten Kennwörter beißen sich Passwort-Cracker die Zähne aus, IT-Verantwortliche sollten sich aber mit den Tools zu Online- und Offline-Attacken auskennen. lesen

Werden Sie zum Hacker (oder heuern Sie einen an)

Schwachstellenmanagement

Werden Sie zum Hacker (oder heuern Sie einen an)

Um ein Netzwerk vor immer neuen Bedrohungen schützen zu können, sollten sich IT-Experten mit den möglichen Taktiken und Strategien der Angreifer auskennen. So lassen sich Schwachstellen im Netzwerk ausfindig machen, bevor es ein Angreifer tut. lesen

So kann die IT-Sicherheit von der Medizin lernen

Risk Management

So kann die IT-Sicherheit von der Medizin lernen

In der Medizin konnte man jahrhundertelang Erfahrung sammeln und aus Fehlern lernen. Die IT-Sicherheit ist verhältnismäßig jung und oft ein schwieriges oder vernachlässigtes Feld. Dabei gibt es erstaunlich viele Parallelen zwischen den beiden Disziplinen. lesen

Penetration Testing Tool für Cyber-Attacken verwendet

Open-Source-Missbrauch

Penetration Testing Tool für Cyber-Attacken verwendet

Anstelle von Malware nutzen Cyber-Kriminelle für ihre Angriffe immer öfter Open-Source-Software. Ein solches quelloffenes Security-Testing-Tool ist das Browser Exploitation Framework (BeEF), berichten die Sicherheitsexperten von Kaspersky Lab. lesen

Schwachstellen in Open Source Software aufspüren

Was Analyse-Tools entgeht

Schwachstellen in Open Source Software aufspüren

Statische und dynamische Code-Analyse-Tools helfen dabei, allgemeine Programmierfehler und damit potenzielle Schwachstellen zu identifizieren. In Open Source-Komponenten finden sich aber alltägliche Bugs, die sich auf diese Weise nicht so einfach aufspüren lassen. lesen

Penetrationstests retten Leben

Professionelle Schwachstellensuche

Penetrationstests retten Leben

Zugegeben, Leben haben Penetrationstests vermutlich noch nicht gerettet, aber sie können Unternehmen vor dem finanziellen Ruin bewahren. Dennoch gelten sie noch immer als aufwändig und teuer. Allerdings mindert ein professioneller Pentest gerade in Zeiten knapper IT-Budgets nicht nur die Risiken, sondern hilft sogar dabei, Geld zu sparen und den Fortbestand des Unternehmens zu sichern. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45035505 / Definitionen)