Definition Pentest

Was ist ein Penetrationstest?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Ein Penetrationstest ist Bestandteil der Schwachstellenanalyse von IT-Systemen und soll deren Anfälligkeit gegen Hacker-Angriffe prüfen.
Ein Penetrationstest ist Bestandteil der Schwachstellenanalyse von IT-Systemen und soll deren Anfälligkeit gegen Hacker-Angriffe prüfen. (Bild: Pixabay / CC0)

Bei einem Penetrationstest werden IT-Systeme oder Netzwerke einer umfassenden Prüfung unterzogen, die die Empfindlichkeit gegenüber Angriffen feststellen soll. Bei einem Pentest kommen Methoden und Techniken zum Einsatz, die von echten Angreifern oder Hackern verwendet werden.

Mit Hilfe eines Penetrationstests, oft Pentest genannt, versuchen IT-Experten durch gezielt ausgeführte Angriffe die Empfindlichkeit von Netzwerken oder IT-Systemen gegenüber Einbruchs- und Manipulationsversuchen festzustellen. Sie verwenden hierfür ähnliche Methoden und Techniken, wie sie Hacker oder Cracker einsetzen, um unautorisiert in ein System einzudringen.

Es lassen sich durch einen Pentest Schwachstellen aufdecken und Gefährdungspotenziale besser einschätzen. Während des kompletten Penetrationstests erfolgt eine genaue Protokollierung aller durchgeführten Maßnahmen. In einem abschließenden Bericht sind die erkannten Schwachstellen und Lösungsansätze zur Verbesserung des IT-Sicherheitsniveaus aufgeführt. Das Beseitigen der Schwachstellen und die Durchführung von Härtungsmaßnahmen der IT ist nicht Bestandteil des Penetrationstests. Der Umfang der durchgeführten Tests orientiert sich am jeweiligen Gefährdungspotenzial eines Systems, einer Anwendung oder eines Netzwerks. Systeme, die hohen Gefahren ausgesetzt sind wie öffentlich erreichbare Webserver, werden meist ausführlicheren Tests unterzogen als interne Anwendungen ohne große Systemrelevanz.

Mit Kali Pentests durchführen und Sicherheitslücken finden

Tool-Tipp: Kali Linux

Mit Kali Pentests durchführen und Sicherheitslücken finden

18.07.17 - Kali gehört zu den bekanntesten Linux-Distributionen für Sicherheit im Netzwerk. Zur Kali Linux Live-DVD gehören zahlreiche Sicherheitstools, mit denen sich Penetrationstests und Netzwerkanalysen durchführen und Sicherheitslücken finden lassen. So können Admins lokale Systeme und Netzwerke optimal absichern. lesen

Die Ziele eines Penetrationstests

Das Hauptziel des Pentests ist es, Schwachstellen von Netzwerken und Computern auf technischer und organisatorischer Ebene zu identifizieren und sie in einem ausführlichen Bericht zu dokumentieren. Die Behebung der gefundenen Schwachstellen liegt jedoch in der Verantwortung des Auftraggebers oder des Betreibers der untersuchten IT-Systeme. Werden die empfohlenen Maßnahmen zur Beseitigung der aufgedeckten Schwachstellen durchgeführt, lässt sich die Sicherheit der untersuchten Systeme verbessern. Mögliche Behebungsmaßnahmen können Schulungen des Personals, Personalaufstockung, Abschaltung eines Systems oder das Einspielen von Korrekturen und Updates sein. Da ein Penetrationstest keine kontinuierliche Überwachung der IT darstellt, kann er als eine Art Momentaufnahme des Sicherheitsstatus verstanden werden. Oft sind Social-Engineering-Penetrationstests Teil der durchgeführten Tests. Hierbei wird versucht, mit Hilfe des Social Engineerings interner Mitarbeiter an Informationen oder Zugangsmöglichkeiten zu gelangen. Die Tests haben zum Ziel, interne Schwachstellen innerhalb des Unternehmens aufzudecken, die sich zum Beispiel durch Aufklärung und Information von Mitarbeitern beheben lassen.

Rechtliche Aspekte von Penetrationstests

Vor der Durchführung von Penetrationstests muss der den Test durchführenden Organisation das Einverständnis der zu testenden Organisation vorliegen. Ohne eine solche Vereinbarung sind Pentests illegal und können eine Straftat darstellen. Der Test darf sich bei Vorliegen einer Einverständniserklärung nur auf Objekte beziehen, die unter der tatsächlichen Hoheit der zu testenden Organisation stehen. Es dürfen keine IT-Systeme oder Netze von Dritten getestet werden. Der Auftraggeber hat vor dem Penetrationstest eindeutig zu klären, für welche Komponenten dies zutrifft. Diverse in Anspruch genommene IT-Dienstleistungen, unterschiedliche Cloud-Services und verschiedene Vertragsverhältnisse zur Nutzung von Hard- und Software können eine solche Klärung erschweren.

Abgrenzung der Begriffe Schwachstellenanalyse, Vulnerability- oder Security Scan und Penetrationstest

Die Schwachstellenanalyse stellt einen Oberbegriff dar und kann Vulnerability- oder Security Scans sowie Penetrationstests beinhalten. Im Gegensatz zu einem Penetrationstest erfolgt die Durchführung von Vulnerability- oder Security Scans automatisiert. Systeme werden durch automatisch ablaufende Programme gegen bekannte Probleme und Sicherheitslücken geprüft.

Ein Penetrationstest hingegen ist kaum automatisiert und erfolgt nach ausführlicher, oft manueller Informationssammlung. Er ist individuell auf das zu testende System zugeschnitten und abgestimmt. Die Planung, Durchführung und die Auswahl der einzusetzenden Tools ist bei einem Pentest wesentlich aufwendiger. Dadurch lassen sich mit einem Penetrationstest bisher unbekannte Sicherheitslücken identifizieren. Es kommen spezielle Hacking-Tools und manuell ausgeführte Angriffsmethoden zum Einsatz. Ein Penetrationstest ist quasi als empirischer Teil einer allgemeinen Schwachstellenanalyse zu verstehen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Die vier größten Fehler bei Authentifizierungsvorgängen

Authentifizierung sicher planen

Die vier größten Fehler bei Authentifizierungsvorgängen

Jede Web- und Mobilanwendung, die von Unternehmen benutzt wird, setzt Authentifizie­rungsmethoden ein. Sie sind Dreh- und Angel­punkt der Sicherheit von Applikationen. Au­then­ti­fizie­rungs­vorgänge sichern nicht nur die Anwendungen selbst, sondern schaffen auch individuellen Zugriffsschutz für jedes Benutzer­konto. Gleich­zeitig können sie jedoch auch zu einem der gefährlichsten Einfallstore für Hacker und Cyberkriminelle werden. lesen

Penetrationstests machen sensible Daten zugänglich

BlackBerry Cylance Pentest-Report

Penetrationstests machen sensible Daten zugänglich

Forscher des BlackBerry Cylance Threat Intelligence Teams haben eine Vielzahl hochsensibler Daten aus dem zivilen Flugsicherungssystem eines Landes in einer halböffentlichen Schadsoftware-Datenbank entdeckt. Die Forscher zeigen, dass sicherheitsrelevante Informationen als Nebenprodukt von Penetrationstests in Malware-Repositorien gespeichert werden. lesen

IT-Sicherheit professionell unter die Lupe nehmen

Schwachstellenscan, Penetrationstest, Redteaming

IT-Sicherheit professionell unter die Lupe nehmen

Schwachstellenscan, Penetrationstest und Redteaming sind drei Begriffe, die zwar alle etwas mit dem technischen Security Audit zu tun haben, für die beauftragenden Unternehmen und die Tester aber deutliche Unterschiede aufweisen. Spätestens bei der Beauftragung sollte man sich aber bewusst sein, wann welches Verfahren angewendet werden sollte. lesen

Wie Hacker Unternehmen sicherer machen

Kommentar von Martin Lundborg, Mittelstand-Digital

Wie Hacker Unternehmen sicherer machen

Neue Software-Lösungen werden von Unternehmen vor ihrer Implementierung oftmals nicht ausreichend getestet: So können Hacker leichtes Spiel haben. Bei sogenannten „Live-Hacking-Events“ werden Angriffsszenarien durchgespielt, um zu erfahren, ob und wie weit ein Angreifer in ein IT-System eindringen kann – um dann entsprechende Vorkehrungen zu treffen. Events rund um das Thema IT-Sicherheit werden kostenfrei von Mittelstand 4.0-Kompetenzzentren, die vom Bundesministerium für Wirtschaft und Energie gefördert werden, ausgerichtet. lesen

Der Mittelstand hat Nachholbedarf bei der IT-Sicherheit

IT-Security Management & Technology Conference 2019

Der Mittelstand hat Nachholbedarf bei der IT-Sicherheit

Der IT-Schutzstatus im deutschen Mittelstand ist ungenügend. Häufig wird die eigene Gefährdung unterschätzt und daher die Absicherung der IT-Systeme vernachlässigt. Das wissen Angreifer und somit geraten KMUs verstärkt ins Visier der Cyberkriminellen. Dabei lassen sich auch mit kleinen Budgets viele der häufigen Schwachstellen beseitigen, beispielsweise beim Umgang mit Passwörtern und Berechtigungen. lesen

Digitale Wachposten für das Connected Car

Automotive Security Operation Center

Digitale Wachposten für das Connected Car

Immer eine Reifenbreite voraus – so könnte das Motto von Cyberkriminellen lauten, die Schwachpunkte in vernetzten Autos entdecken und angreifen. Um ihnen zuvorzukommen und Angriffe abzuwehren, müssen Datenflüsse aus allen IT- und TK-Systemen rund um das Fahrzeug analysiert werden – und das während der gesamten Nutzungszeit. Eine Aufgabe für die Sicherheitsexperten in einem Automotive Security Operation Center (SOC). lesen

Die ganze IT-Security im Blick

Security-Startups im Blickpunkt: Cyberscan.io

Die ganze IT-Security im Blick

IT-Security ist, durchaus vergleichbar, mit einem Eisberg. Bei der Eismasse sind gut 85 Prozent unter Wasser verborgen und nur ein kleiner Rest ist über der Wasserlinie sichtbar. Bei der IT-Sicherheit verhält es sich ebenso, denn Malware-Scanner, die Zwei-Faktor-Authentifi­zierung oder der Bildschirmschoner sind nur die sichtbaren Komponenten. Der größere Security-Teil ist meistens unsichtbar, entfaltet aber oft die größte Wirkung. lesen

Anatomie eines simulierten Cyberangriffs

Angriffssimulationen durch Red Teams

Anatomie eines simulierten Cyberangriffs

Ein Red-Team ist eine Gruppe von Security-Experten, die Unternehmen durch Angriffs­simulation beim Aufdecken von Schwachstellen unterstützt. Auf Basis der gewonnenen Erkenntnisse können Unternehmen dann adäquate Verbesserungen umsetzen und Abwehrmaßnahmen ergreifen. Am Beispiel des Red-Team von CyberArk zeigen wir, wie ein solches Team bei einer Angriffssimulation im Detail vorgeht! lesen

Digitale Transformation kontra Datenschutz und -sicherheit

Sicherheit für die digitale Zukunft

Digitale Transformation kontra Datenschutz und -sicherheit

Die digitale Transformation generiert immer schneller immer mehr Daten. Künstliche Intelligenz wird immer besser darin, große Mengen an Daten zu verarbeiten und daraus Schlüsse zu ziehen. All das ist für neue Geschäftsmodelle und die Automatisierung von Prozessen eine tolle Sache, das große Risiko ist allerdings, dass bei der ganzen Daten­euphorie der Datenschutz und die Daten­sicherheit zu kurz kommt. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45035505 / Definitionen)