Definition Pentest

Was ist ein Penetrationstest?

| Autor / Redakteur: Tutanch / Peter Schmitz

Ein Penetrationstest ist Bestandteil der Schwachstellenanalyse von IT-Systemen und soll deren Anfälligkeit gegen Hacker-Angriffe prüfen.
Ein Penetrationstest ist Bestandteil der Schwachstellenanalyse von IT-Systemen und soll deren Anfälligkeit gegen Hacker-Angriffe prüfen. (Bild: Pixabay / CC0)

Bei einem Penetrationstest werden IT-Systeme oder Netzwerke einer umfassenden Prüfung unterzogen, die die Empfindlichkeit gegenüber Angriffen feststellen soll. Bei einem Pentest kommen Methoden und Techniken zum Einsatz, die von echten Angreifern oder Hackern verwendet werden.

Mit Hilfe eines Penetrationstests, oft Pentest genannt, versuchen IT-Experten durch gezielt ausgeführte Angriffe die Empfindlichkeit von Netzwerken oder IT-Systemen gegenüber Einbruchs- und Manipulationsversuchen festzustellen. Sie verwenden hierfür ähnliche Methoden und Techniken, wie sie Hacker oder Cracker einsetzen, um unautorisiert in ein System einzudringen.

Es lassen sich durch einen Pentest Schwachstellen aufdecken und Gefährdungspotenziale besser einschätzen. Während des kompletten Penetrationstests erfolgt eine genaue Protokollierung aller durchgeführten Maßnahmen. In einem abschließenden Bericht sind die erkannten Schwachstellen und Lösungsansätze zur Verbesserung des IT-Sicherheitsniveaus aufgeführt. Das Beseitigen der Schwachstellen und die Durchführung von Härtungsmaßnahmen der IT ist nicht Bestandteil des Penetrationstests. Der Umfang der durchgeführten Tests orientiert sich am jeweiligen Gefährdungspotenzial eines Systems, einer Anwendung oder eines Netzwerks. Systeme, die hohen Gefahren ausgesetzt sind wie öffentlich erreichbare Webserver, werden meist ausführlicheren Tests unterzogen als interne Anwendungen ohne große Systemrelevanz.

Mit Kali Pentests durchführen und Sicherheitslücken finden

Tool-Tipp: Kali Linux

Mit Kali Pentests durchführen und Sicherheitslücken finden

18.07.17 - Kali gehört zu den bekanntesten Linux-Distributionen für Sicherheit im Netzwerk. Zur Kali Linux Live-DVD gehören zahlreiche Sicherheitstools, mit denen sich Penetrationstests und Netzwerkanalysen durchführen und Sicherheitslücken finden lassen. So können Admins lokale Systeme und Netzwerke optimal absichern. lesen

Die Ziele eines Penetrationstests

Das Hauptziel des Pentests ist es, Schwachstellen von Netzwerken und Computern auf technischer und organisatorischer Ebene zu identifizieren und sie in einem ausführlichen Bericht zu dokumentieren. Die Behebung der gefundenen Schwachstellen liegt jedoch in der Verantwortung des Auftraggebers oder des Betreibers der untersuchten IT-Systeme. Werden die empfohlenen Maßnahmen zur Beseitigung der aufgedeckten Schwachstellen durchgeführt, lässt sich die Sicherheit der untersuchten Systeme verbessern. Mögliche Behebungsmaßnahmen können Schulungen des Personals, Personalaufstockung, Abschaltung eines Systems oder das Einspielen von Korrekturen und Updates sein. Da ein Penetrationstest keine kontinuierliche Überwachung der IT darstellt, kann er als eine Art Momentaufnahme des Sicherheitsstatus verstanden werden. Oft sind Social-Engineering-Penetrationstests Teil der durchgeführten Tests. Hierbei wird versucht, mit Hilfe des Social Engineerings interner Mitarbeiter an Informationen oder Zugangsmöglichkeiten zu gelangen. Die Tests haben zum Ziel, interne Schwachstellen innerhalb des Unternehmens aufzudecken, die sich zum Beispiel durch Aufklärung und Information von Mitarbeitern beheben lassen.

Rechtliche Aspekte von Penetrationstests

Vor der Durchführung von Penetrationstests muss der den Test durchführenden Organisation das Einverständnis der zu testenden Organisation vorliegen. Ohne eine solche Vereinbarung sind Pentests illegal und können eine Straftat darstellen. Der Test darf sich bei Vorliegen einer Einverständniserklärung nur auf Objekte beziehen, die unter der tatsächlichen Hoheit der zu testenden Organisation stehen. Es dürfen keine IT-Systeme oder Netze von Dritten getestet werden. Der Auftraggeber hat vor dem Penetrationstest eindeutig zu klären, für welche Komponenten dies zutrifft. Diverse in Anspruch genommene IT-Dienstleistungen, unterschiedliche Cloud-Services und verschiedene Vertragsverhältnisse zur Nutzung von Hard- und Software können eine solche Klärung erschweren.

Abgrenzung der Begriffe Schwachstellenanalyse, Vulnerability- oder Security Scan und Penetrationstest

Die Schwachstellenanalyse stellt einen Oberbegriff dar und kann Vulnerability- oder Security Scans sowie Penetrationstests beinhalten. Im Gegensatz zu einem Penetrationstest erfolgt die Durchführung von Vulnerability- oder Security Scans automatisiert. Systeme werden durch automatisch ablaufende Programme gegen bekannte Probleme und Sicherheitslücken geprüft.

Ein Penetrationstest hingegen ist kaum automatisiert und erfolgt nach ausführlicher, oft manueller Informationssammlung. Er ist individuell auf das zu testende System zugeschnitten und abgestimmt. Die Planung, Durchführung und die Auswahl der einzusetzenden Tools ist bei einem Pentest wesentlich aufwendiger. Dadurch lassen sich mit einem Penetrationstest bisher unbekannte Sicherheitslücken identifizieren. Es kommen spezielle Hacking-Tools und manuell ausgeführte Angriffsmethoden zum Einsatz. Ein Penetrationstest ist quasi als empirischer Teil einer allgemeinen Schwachstellenanalyse zu verstehen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Kontrollierte Zerstörung

Security-Startups im Blickpunkt: Crashtest Security

Kontrollierte Zerstörung

Im Automobilbau gehört ein Crashtest inzwischen zum Standardrepertoire bei der Entwicklung neuer Fahrzeuge. Beim Betrieb von Webanwendungen empfiehlt das Münchner Startup-Unternehmen Crashtest Security einen ähnlichen Ansatz: Anwendung einem Penetrationstest zu unterziehen und Schwachstellen aufdecken, bevor ein Hacker sie zu bösartigen Zwecken missbrauchen kann. lesen

Security Awareness hilft, wo Technik an Grenzen stößt

IT-Security-Coaching

Security Awareness hilft, wo Technik an Grenzen stößt

DSGVO und Malware-Angriffe sorgen dafür, dass immer mehr Unternehmen die IT-Sicherheit ernst nehmen. Das ist zwar eine erfreuliche Entwicklung für die Gesellschaft, weniger erfreulich ist allerdings, dass es gerade bei kleineren und mittleren Unternehmen noch oft am kontinuierlichen Management mangelt und eine wichtige Komponente zu kurz kommt: Security Awareness. lesen

Frisches Wissen für die Informations­sicherheit!

Security-Startups im Blickpunkt: IT-Transfusion

Frisches Wissen für die Informations­sicherheit!

IT-Sicherheit wird von vielen Unternehmen nur als Checkliste gesehen, bei der die Sicherheit von Hard- und Software geprüft und abgehakt wird. Dabei lassen sich viele Sicherheitsrisiken oft schon dadurch beseitigen, dass man von außen einen neutralen Blick auf bestehende Abläufe wirft und dann Impulse für sicherere Prozesse gibt. lesen

So lassen sich IoT-Gateways richtig absichern

Security im Internet of Things

So lassen sich IoT-Gateways richtig absichern

Kritische Infrastrukturen erfordern besonders sichere IoT-Gateways. UL, ein globales Forschungs- und Prüfunternehmen wurde damit beauftragt, die Cybersecurity von IoT-Gateways für industrielle Steuerungssysteme zu erforschen und gibt jetzt Einblicke in den Prüfprozess und hat Tipps, was deutsche Unternehmen daraus für ihre IoT-Plattformen lernen sollten. lesen

Kali Linux installieren und Hacking-Lab aufsetzen

Kali Linux Workshop, Teil 1

Kali Linux installieren und Hacking-Lab aufsetzen

Angehende Sicherheitsexperten, Pentester und IT-Verantwortliche finden in Kali eine umfangreiche Plattform, um digitale Attacken zu planen und durchzuführen. Warum sollte man dies tun? Zum einen um sich mit potentiellen Angriffen auf die eigenen Systeme auseinanderzusetzen und zum zweiten um interne oder externe Schwachstellentests besser zu verstehen. Im ersten Teil stellen wir Kali genauer vor und erklären, wie sich ein Hacking-Lab aufzusetzen lässt. lesen

Security Awareness für Programmierer

Security-Startups im Blickpunkt: Securai

Security Awareness für Programmierer

Hacker, Malware und Cyberspionen wirksam den Zugriff auf digitale Unternehmenswerte zu verwehren ist nicht einfach. Man investiert dafür in clevere Software, durchdachte Prozesse und letztendlich auch in Security Awareness beim Mitarbeiter, der als engagierter Wächter ebenfalls Bedrohungen erkennen und eliminieren soll. Gerade Gruppen wie Programmierer bleiben bei diesen Maßnahmen aber oft inhaltlich ausgeschlossen, da man nicht auf Ihre Bedürfnisse eingeht. lesen

Was ist Kali Linux?

Definition Kali Linux

Was ist Kali Linux?

Bei Kali Linux handelt es sich um eine Linux-Distribution, die auf Sicherheits- und Penetrationstests von IT-Systemen spezialisiert ist. Mit zur Distribution gehören zahlreiche Tools und Werkzeuge für die Durchführung unterschiedlichster Testmethoden. lesen

Risiken im Internet of Things

Qualitätssicherung und IoT

Risiken im Internet of Things

Die Folgen des Internet of Things sind neben den Annehmlichkeiten für Nutzer auch immer mehr Türen für Angreifer, die Geräte im großen Maßstab infizieren und für ihre Zwecke missbrauchen. Dabei haben es Hacker heute leicht, denn ein mangelndes Verständnis für die Risiken und eine fehlende Qualitätssicherung machen Angriffe zu einem Kinderspiel. lesen

Open Source macht Hintertüren transparent

Schutz vor kryptographischen Backdoors

Open Source macht Hintertüren transparent

Unternehmen setzen häufig auf herstellerspezifische Software, um Daten zu verschlüsseln und User zu authentifizieren. Doch das ist riskant, weil der Druck auf Hersteller wächst, Hintertüren in ihre Software einzubauen. Einen Ausweg bietet Open-Source-Software. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45035505 / Definitionen)